AWS GuardDuty
AWS GuardDuty를 Panther 콘솔에 연결하기
개요
Panther는 Amazon Web Services (AWS)를 수집하는 것을 지원합니다 GuardDuty 로그를 일반 데이터 전송 옵션:
Amazon S3: 보기 아래의 S3로 GuardDuty 로그 온보딩 지침.
Amazon SQS: 보기 아래의 SQS로 GuardDuty 로그 온보딩 지침.
또한 다음을 사용하여 GuardDuty 로그를 수집할 수 있습니다 Amazon EventBridge.
S3를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법
이 방법으로 AWS GuardDuty 로그를 수집하려면 KMS 키 ARN을 입력해야 합니다. 서버측 암호화(SSE)가 활성화되어 있지만 KMS 키를 생성할 수 없는 경우 이 프로세스를 중단하고 대신 사용자 정의 S3 로그 소스 를 설정하여 GuardDuty 로그를 수집하세요. "Configure Prefixes & Schemas (Optional)"을 클릭하여 AWS.GuardDuty 스키마를 연결하세요 Configure Prefixes & Schemas (Optional)합니다. KMS 키를 입력하라는 요구가 없습니다.
S3로 GuardDuty 로그를 온보딩하기 위한 전제 조건
다음이 있습니다 GuardDuty 활성화.
1단계: KMS 키 생성
AWS에서 올바른 리전에 있는지 확인한 후 키 관리 서비스(KMS)로 이동합니다.
클릭 사용자 관리형 키그런 다음 키 생성.
기본값을 그대로 두세요 키 유형 (대칭형) 및 키 사용 (암호화 및 복호화) 선택을 유지한 다음 클릭하세요 다음(Next).
페이지에서 레이블 추가 페이지에서 원하는 별칭 를 입력하세요. 예:
guardduty-log-key.클릭 검토로 건너뛰기합니다. (추후 단계에서 이 키에 정책을 추가할 것입니다.)
클릭 완료.
페이지에서 사용자 관리형 키 목록에서 방금 생성한 키를 클릭하고 향후 단계에서 사용할 ARN 을 기록해 두세요.
2단계: S3 버킷 생성
AWS에서 올바른 리전에 있는지 확인한 후 S3로 이동합니다.
아래 범용 목적 버킷활성화되어 있다면, 클릭하세요 "<Panther 설정의 Databricks 역할 ARN>",.
다음 필드를 작성하세요:
다음 일반 구성 타일에 고유한 14단계: S3 버킷 및 외부 위치 생성 (예:
panther-guardduty-logs-<identifier>).다음 기본 암호화 타일:
다음을 위해 암호화 유형에서, 선택하십시오 AWS Key Management Service 키를 사용하는 서버 측 암호화 (SSE-KMS).
아래 AWS KMS 키에서, 선택하십시오 AWS KMS 키에서 선택.
아래 사용 가능한 AWS KMS 키, 2단계에서 생성한 KMS 키를 선택하세요.
클릭 "<Panther 설정의 Databricks 역할 ARN>",.
페이지에서 범용 목적 버킷 목록에서 방금 생성한 버킷의 이름을 클릭한 다음 속성을 확인하고 ARN 을 기록해 두세요.
3단계: GuardDuty 로그 내보내기 구성
AWS 콘솔에서 GuardDuty로 이동합니다.
왼쪽 탐색 메뉴에서 설정.
내에서 발견 내보내기 옵션에서 S3 버킷활성화되어 있다면, 클릭하세요 지금 구성.
내보내기 발견 구성 필드를 작성하세요:
S3 버킷 ARN: 2단계에서 생성한 S3 버킷의 ARN을 입력하세요.
KMS 키 ARN: 1단계에서 생성한 KMS 키의 ARN을 입력하세요.
내에서 정책 연결활성화되어 있다면, 클릭하세요 S3 버킷의 정책 보기. 클릭 복사, 그런 다음 S3 버킷 정책 오른쪽 상단에서 모달을 닫으세요.
이전에 생성한 버킷의 버킷 정책을 업데이트하세요:
별도의 브라우저 탭에서 AWS 콘솔을 열고 S3 서비스로 이동합니다.
아래 범용 목적 버킷, 2단계에서 생성한 버킷의 이름을 클릭하세요.
다음 항목을 클릭하십시오 권한 탭을 클릭하십시오.
버킷 정책 타일에서 클릭하세요 편집을 클릭하고.
정책 편집기에서 복사한 정책을 붙여넣은 다음 클릭하세요 변경 사항 저장.
GuardDuty 설정이 열린 브라우저 탭으로 돌아가서 아래에서 정책 연결활성화되어 있다면, 클릭하세요 KMS 키 정책 보기. 클릭 복사, 그런 다음 KMS 키 정책 오른쪽 상단에서 모달을 닫으세요.
이전에 생성한 KMS 키의 정책을 업데이트하세요:
별도의 브라우저 탭에서 AWS 콘솔을 열고 KMS 서비스로 이동합니다.
아래 사용자 관리형 키, 1단계에서 생성한 KMS 키의 별칭을 클릭하세요.
indicators: [ url ] 키 정책 탭에서 정책 보기로 전환.
클릭 편집을 클릭하고.
기존 콘솔 정책(즉, 내부 객체) 후에 쉼표를 추가한 다음 복사한 정책 문을 붙여넣으세요.
문 블록에 추가합니다. 반드시을 추가한 다음 복사한 정책 문을 붙여넣으세요.
클릭 변경 사항 저장.
GuardDuty 설정 탭으로 돌아가서 클릭하세요 저장.
다음 알림이 표시되어야 합니다 게시 대상이 성공적으로 생성되었습니다를 보지 못하면 ARN과 정책을 다시 확인하거나 AWS의 GuardDuty 내보내기 문서.
4단계: GuardDuty를 Panther에 온보딩
Panther 콘솔의 왼쪽 탐색 막대에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
"AWS GuardDuty"를 검색한 다음 해당 타일을 클릭하세요.
슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 AWS S3 버킷 옵션—이 옵션을 선택한 상태로 두고 클릭하세요 설정 시작.
다음을 따르십시오 S3 소스를 구성하기 위한 Panther의 지침, 1.4단계부터 시작합니다.
위에서 생성한 KMS 키와 S3 버킷의 ARN이 필요합니다.
SQS를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법
SQS로 GuardDuty 로그를 온보딩하기 위한 전제 조건
Panther 인스턴스의 AWS 계정 ID가 있어야 합니다.
이 값을 찾으려면 Panther 콘솔의 오른쪽 상단 모서리에서 톱니바퀴 아이콘 > 를 클릭하세요 일반 이 페이지 하단에서 AWS 계정 ID.
1단계: Panther에서 AWS GuardDuty 소스 생성
GuardDuty 로그를 Panther로 가져오려면 먼저 Panther 콘솔에서 AWS 계정에서 데이터를 스트리밍할 S3 버킷 또는 SQS 대기열을 설정해야 합니다.
Panther 콘솔의 왼쪽 탐색 막대에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
"AWS GuardDuty"를 검색한 다음 해당 타일을 클릭하세요.
슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 AWS S3 버킷 옵션. 이 옵션을 계속 선택하거나 AWS SQS Queue.
클릭 설정 시작.
Panther의 AWS SQS Queue 문서를 따라 Data Transport용 SQS 구성 방법을 따르세요.
페이지에서 구성 페이지에서 허용된 AWS 주체 와 허용된 소스 ARN 필드를 비워 두세요. 이 페이지로 다시 돌아올 것입니다 단계 3.
2단계: Amazon SNS 주제 생성
AWS 콘솔에서 Panther 인스턴스가 위치한 AWS 리전을 선택한 다음 단순 알림 서비스 콘솔로 이동하세요.
탐색 표시줄에서 주제(Topics).
클릭 주제 생성.
다음 세부 정보 섹션에서 다음 필드에 대한 값을 입력하세요:
타입: 선택 표준.
이름: 설명적인 이름을 입력하세요.
다음 암호화 섹션에서 토글을 암호화 끔으로 두세요.
다음 액세스 정책 섹션:
내에서 게시자에서, 선택하십시오 지정된 AWS 계정만. 에서 AWS 계정 ID 입력 텍스트 상자에 Panther AWS 계정 ID를 입력하세요.
내에서 구독자에서, 선택하십시오 지정된 AWS 계정만. 에서 AWS 계정 ID 입력 텍스트 상자에 Panther AWS 계정 ID를 입력하세요.
클릭 주제 생성.
다음을 복사하세요 ARN 다음 단계에서 필요하므로 안전한 장소에 저장하세요.
3단계: SNS 주제로 GuardDuty 로그 소스 구성
Panther 콘솔에서 1단계에서 생성한 GuardDuty 로그 소스로 이동하세요. 1단계.
아직 1단계 끝에서 도달한 성공 화면에 있다면 클릭하세요 로그 소스 보기.
클릭 구성그런 다음 편집 을 클릭합니다.
페이지에서 구성 페이지에서 허용된 소스 ARN 필드에 이전 단계에서 복사한 SNS 주제 ARN을 입력하세요.
클릭 저장.
4단계: SNS 구독 생성
Panther GuardDuty SQS 대기열에 대한 구독을 생성하세요.
AWS의 SNS 콘솔로 돌아가세요.
네비게이션 바에서 클릭하세요 구독.
클릭 구독 생성.
다음 필드에 값을 입력하세요:
프로토콜: 선택 Amazon SQS.
엔드포인트: 엔드포인트는 다음 형식을 사용하여 구성하세요:
arn:aws:sqs:<Panther-region>:<account-id>:<Panther-notifications-queue-name>Panther-region: Panther 인스턴스가 배포된 AWS 리전account-id: Panther 인스턴스의 AWS 계정 ID
다음 항목을 클릭하십시오 로 시작하는 부분입니다 체크박스를 선택하세요.
클릭 구독 생성.
원시 메시지 전송 활성화
5단계: GuardDuty가 SNS 주제에 알림을 게시하도록 구성
계정에서 GuardDuty를 활성화한 후 EventBridge 규칙을 작성하여 경고를 Panther로 전송하기 시작합니다. AWS 계정에서 아직 GuardDuty를 활성화하지 않았다면 다음 지침을 따르세요.
이를 수행하려면 AWS에서 Amazon 콘솔로 이동하세요.
탐색 표시줄에서 규칙EventBridge 버스 섹션.
클릭 규칙 생성.
로 이동한 다음
이름: 설명적인 이름을 입력하세요.
이벤트 버스: 선택 탐지에서 찾을 수 있습니다..
선택된 이벤트 버스에서 규칙 활성화검색이 0개의 결과를 반환하더라도 이메일 전송 켜기.
다음 필드에 대한 값을 제공하세요: 선택하세요 이벤트 패턴이 있는 규칙.
클릭 다음(Next).
페이지에서 규칙 유형: 페이지:
다음 이벤트 소스 이벤트 패턴 빌드 이벤트 소스에서, 선택하십시오 AWS 이벤트 또는 EventBridge 파트너 이벤트.
다음 섹션에서 섹션:
다음을 위해 샘플 이벤트에서, 선택하십시오 샘플 이벤트 유형.
다음을 위해 AWS 이벤트에서, 선택하십시오 샘플 이벤트들.
다음 GuardDuty 발견 이벤트 패턴
이벤트 소스: 선택 AWS 서비스.
AWS 서비스: 선택 GuardDuty.
이벤트 유형: 선택 샘플 이벤트들.
클릭 다음(Next).
페이지에서 섹션에서 다음을 선택하세요: 페이지에서 대상 선택 대상 1
대상 유형: 선택 AWS 서비스.
대상 선택: 선택 섹션에서 다음 필드에 대한 값을 입력하세요:
주제SNS 주제. 2단계.
내에서 : 을(를) 생성한 주제 이름을 선택하세요추가 설정
클릭 다음(Next).
페이지에서 에서 필요에 따라 조정하세요. 페이지에서 클릭하십시오 다음(Next).
페이지에서 태그 구성 페이지에서 클릭하십시오 규칙 생성.
앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우
Panther의 사전 작성된 AWS 규칙은 panther-analysis Github 리포지토리.
검토 및 생성
Data Explorer에서 로그 쿼리하기 데이터 탐색기Panther의 예제 SQL 쿼리를 보려면, 에서 GuardDuty 로그 쿼리를 참조하세요.
지원되는 AWS GuardDuty 로그
AWS.GuardDuty
GuardDuty는 AWS 계정 내부에서 악의적 활동과 무단 행동을 지속적으로 모니터링하는 위협 탐지 서비스입니다. 자세한 내용은 GuardDuty 발견 형식에 대한 AWS 문서.
Last updated
Was this helpful?