search
Knowledge BaseRelease NotesRequest Demo

AWS EKS

AWS EKS 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 AWS CloudWatch Logs를 통해 Amazon Web Services(AWS) Elastic Kubernetes Service(EKS) 로그를 수집하는 것을 지원합니다.

EKS는 로그를 직접 S3로 전송할 수 없습니다—대신 EKS 로그를 다음으로 보내도록 지정해야 합니다 이벤트는 CloudWatch Logs에서 왔습니다.arrow-up-right그런 다음 구성해야 합니다 Kinesis Data Firehosearrow-up-right 를 사용하여 이를 S3 버킷으로 전송하면 Panther가 해당 버킷에서 읽습니다.

hashtag
AWS 온보딩 방법 EKS 로그를 Panther에

hashtag
1단계: EKS 컨트롤 플레인 로깅 활성화

EKS 컨트롤 플레인 로그를 활성화하면 AWS가 해당 로그를 CloudWatch Logs로 라우팅하기 시작합니다.

hashtag
2단계: Panther 콘솔에서 CloudWatch Logs 소스 구성

EKS 컨트롤 플레인 로깅을 활성화하면 EKS 감사 및 인증자 로그가 CloudWatch Logs에서 사용 가능해집니다. 이제 Panther에서 CloudWatch Logs 소스를 설정할 시간입니다.

  1. Panther 콘솔의 왼쪽 탐색 막대에서 클릭하세요 구성 > 로그 소스.

  2. 오른쪽 상단에서 클릭 새로 만들기.

  3. 다음 항목을 클릭하십시오 사용자 정의 로그 형식 타일.

  4. 페이지에서 AWS CloudWatch Logs 타일에서, 클릭 시작.

  5. "소스 구성" 페이지에서 다음 필드를 입력하세요:

    • 이름: CloudWatch Logs 소스의 설명 이름을 입력하세요.

    • 로그 그룹 이름: CloudWatch Logs 그룹의 고유 이름을 입력하세요. AWS CloudWatch Logs LogGroup의 이름 형식은 /aws/eks/{your_cluster_name}/cluster

    • AWS 계정 ID: EKS 클러스터를 호스팅하는 AWS 계정의 ID 번호를 입력하세요.

    • (선택 사항) 패턴 필터: 로그 이벤트를 필터링할 패턴을 입력하세요. 참고: AWS의 CloudWatch Logs 패턴 필터 문서arrow-up-right 을 참조하십시오.

    • 로그 유형: 선택 Amazon.EKS.AuditAmazon.EKS.Authenticator.

  6. 클릭 설정.

hashtag
3단계: S3 버킷, Kinesis Data Firehose 및 IAM 역할 설정

Panther는 CloudWatch Logs 소스에서 객체를 읽기 위해 다양한 AWS 리소스가 필요합니다. 이를 구성하기 위해 Panther는 S3 버킷, Kinesis Data Firehose, IAM 역할 및 기타 필요한 리소스를 설정하는 CloudFormation 템플릿을 제공합니다.

  1. 허용. AWS 콘솔 UI 사용. 템플릿이 미리 채워진 상태로 AWS CloudFormation 콘솔 UI로 리디렉션됩니다.

    • 또한 템플릿을 다운로드하여 자체 파이프라인을 통해 적용하거나 리소스를 수동으로 구성하는 옵션도 있음을 유의하세요. 자세한 내용은 CloudWatch Logs 소스 문서.

  2. EKS 클러스터를 호스팅하는 AWS 계정 ID와 리전에 CloudFormation 스택 템플릿을 설치하세요.

    • CloudFormation 스택 생성이 완료될 때까지 기다리세요.

  3. CloudFormation 스택이 준비되면 Panther 콘솔에 버킷 이름역할 ARN 를 입력하세요.

    • CloudFormation 스택 생성이 완료되면 AWS의 스택 "Outputs" 섹션에서 리소스 ARN을 찾을 수 있습니다.

hashtag
4단계: Panther에서 소스 설정 마무리

성공 화면으로 이동됩니다:

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 선택적으로 하나 이상의 탐지 팩(Detection Packs)arrow-up-right.

  • 설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 . 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

Panther의 사전 작성된 AWS 규칙은 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 AWS EKS 로그 유형

Panther는 지원합니다 Amazon.EKS.AuditAmazon.EKS.Authenticator 로그.

hashtag
Amazon.EKS.Audit

EKS 감사 로그는 클러스터에 영향을 준 개별 사용자, 관리자 또는 시스템 구성 요소의 기록을 제공합니다. 자세한 내용은 EKS 컨트롤 플레인 로그에 관한 AWS 문서arrow-up-right.

hashtag
Amazon.EKS.Authenticator

이 로그는 IAM 자격 증명을 사용하여 Kubernetes 역할 기반 접근 제어(RBAC) 인증을 위해 EKS가 사용하는 컨트롤 플레인 구성 요소를 나타냅니다. 자세한 내용은 EKS 컨트롤 플레인 로그에 관한 AWS 문서arrow-up-right.

PreviousAWS ConfigNextAWS GuardDuty

Last updated

Was this helpful?