# AWS Config

## 개요

Panther는 Amazon Web Services(AWS) Config [구성 스냅샷](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot) 로그를 AWS S3를 통해 수집하는 것을 지원합니다. Panther는 AWS Config History 로그를 지원하지 않습니다.

## AWS Config 로그를 Panther에 온보딩하는 방법

AWS Config가 구성 스냅샷 로그를 생성하도록 구성된 후 [AWS CLI를 통해](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html), 해당 로그는 S3 버킷으로 전송됩니다.

{% hint style="info" %}
AWS Config는 6시간마다 구성 이력 파일을 S3 버킷으로 전송하지만, 이러한 파일은 수집이 지원되지 않습니다. 대신, S3 버킷으로 전송되도록 구성 스냅샷(이는 *은* Panther에서 지원됨)을 수동으로 트리거해야 합니다. 이는 다음 중 하나를 사용하여 수행할 수 있습니다. [deliver-config-snapshot](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html) AWS CLI를 통한 명령 또는 [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html) AWS Config API의 작업입니다. 정기적인 주기로 스냅샷 파일을 생성하려면 EventBridge Scheduler, AWS Systems Manager Automation 또는 외부 cron 작업 사용을 고려하세요.

자세한 내용은 다음을 참조하세요. [AWS Config 문서](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html#delivery-channel).
{% endhint %}

이후 이러한 로그를 Panther로 가져오려면 Panther Console에서 S3 버킷을 설정해야 합니다.

1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **구성** > **로그** **소스**.
2. 다음을 클릭하세요. **새로 만들기.**
3. “AWS Config”를 검색한 다음 해당 타일을 클릭합니다.
   * 다음 화면에서 오른쪽 상단 모서리의 전송 메커니즘 드롭다운에는 다음이 채워집니다. **AWS S3 버킷** 옵션.
4. 다음을 클릭하세요. **설정 시작**.
5. 다음을 따르세요. [데이터 전송을 위한 S3 구성에 대한 Panther의 문서](/ko/data-onboarding/data-transports/aws/s3.md).
   * Panther에서 S3 버킷 소스를 구성하는 동안 다음 제외 필터를 구성하세요:
     * `*_Config_*ConfigHistory*.json.gz`. 이렇게 하면 Panther가 지원되지 않는 Config History 로그가 포함된 S3 객체를 무시하게 됩니다.
     * `*/OversizedChangeNotification/*.json.gz`. 이렇게 하면 Panther가 지원되지 않는 변경 SNS 알림이 포함된 S3 객체를 무시하게 됩니다.

## Panther 관리형 디택션

다음을 참조하세요 [Panther 관리형](https://docs.panther.com/detections/panther-managed) AWS용 규칙은 [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/main/rules).

## 지원되는 AWS Config 로그

### AWS.Config

AWS 리소스 구성의 스냅샷을 기록하고 평가합니다. 자세한 내용은 다음을 참조하세요. [Config의 작동 방식에 대한 AWS 문서](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html).

{% hint style="warning" %}
Panther가 관리하는 `AWS.Config` 스키마는 다음에서 이벤트를 추출하도록 특별히 설계되었습니다. `configurationItems` 컨테이너로, 이는 AWS에서 도착하는 방식입니다. 이는 S3 키 이름을 기반으로 작동합니다. 이 스키마를 복제하거나 AWS가 파일 이름을 지정하는 방식과 동일하게 이름 지정되지 않은 파일에 적용하려고 하면 분류 실패가 발생할 수 있습니다.
{% endhint %}

{% hint style="info" %}
이벤트 시간(`p_event_time`)은 스냅샷이 생성된 시간입니다.
{% endhint %}

```yaml
스키마: AWS.Config
fields:
  - name: relatedEvents
    description: RelatedEvents 필드
    type: array
    element:
      type: json
  - name: relationships
    description: Relationships 필드
    type: array
    element:
      type: object
      fields:
        - name: resourceId
          description: ResourceId 필드
          type: string
        - 이름: resourceType
          description: ResourceType 필드
          type: string
        - name: name
          description: Name 필드
          type: string
  - name: configuration
    required: true
    description: Configuration 필드
    type: json
  - name: supplementaryConfiguration
    description: SupplementaryConfiguration 필드
    type: json
  - name: tags
    description: Tags 필드
    type: json
  - name: configurationItemVersion
    description: ConfigurationItemVersion 필드
    type: string
  - name: configurationItemCaptureTime
    required: true
    description: ConfigurationItemCaptureTime 필드
    type: timestamp
    timeFormat: rfc3339
    isEventTime: true
  - name: configurationStateId
    description: ConfigurationStateId 필드
    유형: bigint
  - name: awsAccountId
    required: true
    description: AwsAccountId 필드
    type: string
    indicators:
      - aws_account_id
  - name: configurationItemStatus
    description: ConfigurationItemStatus 필드
    type: string
  - 이름: resourceType
    required: true
    description: ResourceType 필드
    type: string
  - name: resourceId
    description: ResourceId 필드
    type: string
  - name: resourceName
    description: ResourceName 필드
    type: string
  - name: ARN
    description: ARN 필드
    type: string
    indicators:
      - aws_arn
  - name: awsRegion
    description: AwsRegion 필드
    type: string
  - name: availabilityZone
    description: AvailabilityZone 필드
    type: string
  - name: configurationStateMd5Hash
    description: ConfigurationStateMd5Hash 필드
    type: string
    indicators:
      - md5
  - name: resourceCreationTime
    description: ResourceCreationTime 필드
    type: timestamp
    timeFormat: rfc3339
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/config.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.