Ctrlk
Knowledge BaseRelease NotesRequest Demo

AWS Config

AWS Configuration 로그를 Panther Console에 연결하기

개요

Panther는 Amazon Web Services(AWS) Config 구성 스냅샷 로그를 AWS S3를 통해 수집하는 것을 지원합니다. Panther는 AWS Config History 로그를 지원하지 않습니다.

AWS Config 로그를 Panther에 온보딩하는 방법

AWS Config가 구성 스냅샷 로그를 생성하도록 구성된 후 AWS CLI를 통해, 해당 로그는 S3 버킷으로 전송됩니다.

AWS Config는 6시간마다 구성 이력 파일을 S3 버킷으로 전송하지만, 이러한 파일은 수집이 지원되지 않습니다. 대신, S3 버킷으로 전송되도록 구성 스냅샷(이는 Panther에서 지원됨)을 수동으로 트리거해야 합니다. 이는 다음 중 하나를 사용하여 수행할 수 있습니다. deliver-config-snapshot AWS CLI를 통한 명령 또는 DeliverConfigSnapshot AWS Config API의 작업입니다. 정기적인 주기로 스냅샷 파일을 생성하려면 EventBridge Scheduler, AWS Systems Manager Automation 또는 외부 cron 작업 사용을 고려하세요.

자세한 내용은 다음을 참조하세요. AWS Config 문서.

이후 이러한 로그를 Panther로 가져오려면 Panther Console에서 S3 버킷을 설정해야 합니다.

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. 구성 > 로그 소스.

  2. 다음을 클릭하세요. 새로 만들기.

  3. “AWS Config”를 검색한 다음 해당 타일을 클릭합니다.

    • 다음 화면에서 오른쪽 상단 모서리의 전송 메커니즘 드롭다운에는 다음이 채워집니다. AWS S3 버킷 옵션.

  4. 다음을 클릭하세요. 설정 시작.

  5. 다음을 따르세요. 데이터 전송을 위한 S3 구성에 대한 Panther의 문서.

    • Panther에서 S3 버킷 소스를 구성하는 동안 다음 제외 필터를 구성하세요:

      • *_Config_*ConfigHistory*.json.gz. 이렇게 하면 Panther가 지원되지 않는 Config History 로그가 포함된 S3 객체를 무시하게 됩니다.

      • */OversizedChangeNotification/*.json.gz. 이렇게 하면 Panther가 지원되지 않는 변경 SNS 알림이 포함된 S3 객체를 무시하게 됩니다.

Panther 관리형 디택션

다음을 참조하세요 Panther 관리형 AWS용 규칙은 panther-analysis GitHub 저장소에 있습니다.

지원되는 AWS Config 로그

AWS.Config

AWS 리소스 구성의 스냅샷을 기록하고 평가합니다. 자세한 내용은 다음을 참조하세요. Config의 작동 방식에 대한 AWS 문서.

Panther가 관리하는 AWS.Config 스키마는 다음에서 이벤트를 추출하도록 특별히 설계되었습니다. configurationItems 컨테이너로, 이는 AWS에서 도착하는 방식입니다. 이는 S3 키 이름을 기반으로 작동합니다. 이 스키마를 복제하거나 AWS가 파일 이름을 지정하는 방식과 동일하게 이름 지정되지 않은 파일에 적용하려고 하면 분류 실패가 발생할 수 있습니다.

이벤트 시간(p_event_time)은 스냅샷이 생성된 시간입니다.

이전AWS CloudWatch다음AWS EKS

마지막 업데이트

도움이 되었나요?