# AWS Config ## 개요 Panther는 Amazon Web Services(AWS) Config의 수집을 지원합니다 [구성 스냅샷](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot) 로그를 AWS S3를 통해. Panther는 AWS Config 히스토리 로그를 지원하지 않습니다. ## AWS Config 로그를 Panther에 온보딩하는 방법 AWS Config가 구성 스냅샷 로그를 생성하도록 구성된 후 [AWS CLI를 통해](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)이들은 S3 버킷으로 전송됩니다. {% hint style="info" %} AWS Config는 구성 히스토리 파일을 6시간마다 S3 버킷으로 전송하지만 이러한 파일은 수집을 위해 지원되지 않습니다. 대신 구성 스냅샷(이 *정의되어* Panther에서 지원됨)이 S3 버킷으로 전송되도록 수동으로 트리거해야 합니다. 이는 [deliver-config-snapshot](https://docs.aws.amazon.com/cli/latest/reference/configservice/deliver-config-snapshot.html) 명령을 AWS CLI로 사용하거나 [DeliverConfigSnapshot](https://docs.aws.amazon.com/config/latest/APIReference/API_DeliverConfigSnapshot.html) AWS Config API의 액션을 사용하여 수행할 수 있습니다. 스냅샷 파일을 정기적으로 생성하려면 EventBridge Scheduler, AWS Systems Manager Automation 또는 외부 cron 작업 사용을 고려하세요. 자세한 내용은 [AWS Config 문서](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html#delivery-channel). {% endhint %} 그런 다음 이러한 로그를 Panther로 가져오려면 Panther 콘솔에서 S3 버킷을 설정해야 합니다. 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그** **소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.** 3. “AWS Config”를 검색한 다음 해당 타일을 클릭하세요. * 다음 화면에서 오른쪽 상단의 전송 메커니즘 드롭다운은 다음으로 채워집니다 **AWS S3 버킷** 옵션. 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**. 5. 다음을 따르세요 [데이터 전송을 위한 S3 구성에 대한 Panther 문서](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3). * Panther에서 S3 버킷 소스를 구성하는 동안 다음 제외 필터를 구성하세요: * `*_Config_*ConfigHistory*.json.gz`. 이렇게 하면 Panther가 지원되지 않는 Config 히스토리 로그를 포함하는 S3 객체를 무시하도록 보장합니다. * `*/OversizedChangeNotification/*.json.gz`. 이렇게 하면 Panther가 지원되지 않는 변경 SNS 알림을 포함하는 S3 객체를 무시하도록 보장합니다. ## Panther 관리 디텍션 참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) AWS용 룰 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/rules). ## 지원되는 AWS Config 로그 ### AWS.Config AWS 리소스 구성의 스냅샷을 기록하고 평가합니다. 자세한 내용은 [Config 작동 방식에 대한 AWS 문서](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html). {% hint style="warning" %} Panther에서 관리하는 `AWS.Config` 스키마는 AWS에서 도착하는 방식인 `configurationItems` 엔벨로프에서 이벤트를 추출하도록 특별히 설계되었습니다. 이는 S3 키 이름을 기반으로 작동합니다. 이 스키마를 복제하거나 AWS가 이름을 지정하는 방식과 동일하지 않은 파일에 적용하려고 하면 분류 실패가 발생할 수 있습니다. {% endhint %} {% hint style="info" %} 이벤트 시간(`p_event_time`)은 스냅샷이 생성된 시간입니다. {% endhint %} ```yaml 스키마: AWS.Config 필드: - name: relatedEvents description: RelatedEvents 필드 type: array element: 유형: json - name: relationships description: Relationships 필드 type: array element: type: object 필드: - name: resourceId 설명: ResourceId 필드 type: string - 이름: resourceType description: ResourceType 필드 type: string - 이름: name 설명: Name 필드 type: string - name: configuration required: true description: Configuration 필드 유형: json - name: supplementaryConfiguration description: SupplementaryConfiguration 필드 유형: json allowContains: ["critical", "warning"] description: Tags 필드 유형: json - name: configurationItemVersion description: ConfigurationItemVersion 필드 type: string - name: configurationItemCaptureTime required: true description: ConfigurationItemCaptureTime 필드 type: timestamp 시간 형식: rfc3339 isEventTime: true - name: configurationStateId description: ConfigurationStateId 필드 type: bigint - name: awsAccountId required: true description: AwsAccountId 필드 type: string 지표: - aws_account_id - name: configurationItemStatus description: ConfigurationItemStatus 필드 type: string - 이름: resourceType required: true description: ResourceType 필드 type: string - name: resourceId 설명: ResourceId 필드 type: string - name: resourceName description: ResourceName 필드 type: string - name: ARN description: ARN 필드 type: string 지표: - aws_arn - name: awsRegion description: AwsRegion 필드 type: string - name: availabilityZone description: AvailabilityZone 필드 type: string - name: configurationStateMd5Hash description: ConfigurationStateMd5Hash 필드 type: string 지표: - md5 - name: resourceCreationTime description: ResourceCreationTime 필드 type: timestamp 시간 형식: rfc3339 ```