search
Ctrlk
Knowledge BaseRelease NotesRequest Demo

AWS GuardDuty

AWS GuardDuty를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 Amazon Web Services (AWS) GuardDutyarrow-up-right 일반적인 방식을 통한 로그 데이터 전송 옵션:

다음을 사용하여 GuardDuty 로그를 수집할 수도 있습니다 Amazon EventBridge.

hashtag
S3를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법

circle-info

아래 비디오는 다소 오래된 Panther Console을 보여줍니다. 현재 안내는 비디오 아래의 단계별 지침을 따르세요.

circle-exclamation

이 방식으로 AWS GuardDuty 로그를 수집하려면 KMS 키 ARN을 입력해야 합니다. 서버 측 암호화(SSE)가 활성화되어 있지만 KMS 키를 생성할 수 없는 경우, 이 과정을 중단하고 대신 사용자 지정 S3 로그 소스 를 설정하여 GuardDuty 로그를 수집하세요. 다음을 클릭하여 AWS.GuardDuty 스키마를 연결합니다 접두사 및 스키마 구성(선택 사항). KMS 키를 입력할 필요는 없습니다.

hashtag
S3를 사용한 GuardDuty 로그 온보딩을 위한 사전 요구 사항

circle-info

GuardDuty는 지역 서비스이므로 S3 내보내기 버킷과 KMS 키가 동일한 리전에 있어야 합니다.

hashtag
1단계: KMS 키 생성

  1. AWS에서 올바른 리전에 있는 상태로 Key Management Service(KMS)로 이동합니다.

  2. 다음을 클릭하세요. Customer managed keys의 가장 높은 패치 버전으로 업그레이드한 다음, Create Key.

  3. 기본값을 그대로 둡니다 키 유형 (대칭형) 및 키 용도 (암호화 및 복호화) 선택을 유지한 다음 다음을 클릭합니다 다음.

  4. 다음 항목에서 레이블 추가 페이지에서 별칭 원하는 guardduty-log-key.

  5. 다음을 클릭하세요. 검토로 건너뛰기. (이 키에 대한 정책은 다음 단계에서 추가합니다.)

  6. 다음을 클릭하세요. 완료.

  7. 다음 항목에서 Customer managed keys 목록에서 방금 생성한 키를 클릭하고, ARN 를 향후 단계에서 사용할 수 있도록 기록해 둡니다.

hashtag
2단계: S3 버킷 생성

  1. AWS에서 올바른 리전에 있는 상태로 S3로 이동합니다.

  2. 다음에서 범용 버킷의 오른쪽에서, 다음을 클릭합니다 버킷 생성.

  3. 다음 필드를 채웁니다:

    • 다음에서 일반 구성 타일에서 고유한 버킷 이름 (예: panther-guardduty-logs-<identifier>).

    • 다음에서 기본 암호화 타일:

      1. ~에 대해 암호화 유형에서 다음을 선택하세요 AWS Key Management Service 키를 사용하는 서버 측 암호화(SSE-KMS).

      2. 다음에서 AWS KMS 키에서 다음을 선택하세요 AWS KMS 키에서 선택.

      3. 다음에서 사용 가능한 AWS KMS 키, 에서 2단계에서 생성한 KMS 키를 선택합니다.

  4. 다음을 클릭하세요. 버킷 생성.

  5. 다음 항목에서 범용 버킷 목록에서 방금 생성한 버킷의 이름을 클릭한 다음 속성, 그리고 ARN 를 향후 단계에서 사용할 수 있도록 기록해 둡니다.

hashtag
3단계: GuardDuty 로그 내보내기 구성

  1. AWS 콘솔에서 GuardDuty로 이동합니다.

  2. 왼쪽 탐색 메뉴에서 다음을 클릭합니다 설정.

  3. 내에서 조사 결과 내보내기 옵션, S3 버킷의 오른쪽에서, 다음을 클릭합니다 지금 구성.

  4. 조사 결과 내보내기 구성 필드를 채웁니다:

    • S3 버킷 ARN: 2단계에서 생성한 S3 버킷의 ARN을 입력합니다.

    • KMS 키 ARN: 1단계에서 생성한 KMS 키의 ARN을 입력합니다.

  5. 내에서 정책 연결의 오른쪽에서, 다음을 클릭합니다 S3 버킷의 정책 보기. 다음을 클릭합니다 복사, 그런 다음 S3 버킷 정책 모달.

  6. 이전에 생성한 버킷의 버킷 정책을 업데이트합니다:

    1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 S3 서비스로 이동합니다.

    2. 다음에서 범용 버킷, 에서 2단계에서 생성한 버킷의 이름을 클릭합니다.

    3. 다음을 클릭하세요. 권한 탭.

    4. 버킷 정책 타일에서 다음을 클릭합니다 편집.

    5. 정책 편집기에서 복사한 정책을 붙여넣은 다음 다음을 클릭합니다 변경 사항 저장.

  7. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 정책 연결의 오른쪽에서, 다음을 클릭합니다 KMS 키의 정책 보기. 다음을 클릭합니다 복사, 그런 다음 KMS 키 정책 모달.

  8. 이전에 생성한 KMS 키의 정책을 업데이트합니다:

    1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 KMS 서비스로 이동합니다.

    2. 다음에서 Customer managed keys, 에서 1단계에서 생성한 KMS 키의 별칭을 클릭합니다.

    3. 아래 Key policy 탭에서 다음을 클릭합니다. 정책 보기로 전환.

    4. 다음을 클릭하세요. 편집.

    5. 기존 콘솔 정책 후(즉, 다음 안의 객체) Statement), 쉼표를 추가한 다음 복사한 정책 문을 붙여넣습니다.

    6. 다음을 클릭하세요. 변경 사항 저장.

  9. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 다음을 클릭합니다 저장.

hashtag
4단계: Panther에 GuardDuty 온보딩

  1. Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 구성 > 로그 소스.

  2. 다음을 클릭하세요. 새로 만들기.

  3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다.

  4. 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운이 다음 값으로 미리 채워집니다. AWS S3 버킷 옵션—이 옵션을 선택한 상태로 두고 다음을 클릭합니다 설정 시작.

  5. 다음을 따르세요. Panther의 S3 Source 구성 지침을, Step 1.4부터 시작합니다.

    • 위에서 생성한 KMS 키와 S3 버킷의 ARN이 필요합니다.

hashtag
SQS를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법

hashtag
SQS를 사용한 GuardDuty 로그 온보딩을 위한 사전 요구 사항

  • Panther 인스턴스의 AWS 계정 ID를 가지고 있어야 합니다.

    • 이 값을 찾으려면 Panther Console의 오른쪽 상단에서 기어 아이콘 > 일반. 이 페이지의 푸터에서 AWS 계정 ID.

hashtag
1단계: Panther에 AWS GuardDuty 소스 생성

GuardDuty 로그를 Panther로 가져오려면 먼저 Panther Console에서 AWS 계정의 데이터를 스트리밍할 S3 버킷 또는 SQS 대기열을 설정해야 합니다.

  1. Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 구성 > 로그 소스.

  2. 다음을 클릭하세요. 새로 만들기.

  3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다.

  4. 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운이 다음 값으로 미리 채워집니다. AWS S3 버킷 옵션. 이 옵션을 선택한 상태로 두거나 AWS SQS Queue.

  5. 다음을 클릭하세요. 설정 시작.

  6. Panther의 AWS SQS Queuearrow-up-right Data Transport용 SQS 구성 문서를 따르세요.

    • 다음 항목에서 구성 페이지에서 허용된 AWS 주체허용된 소스 ARN 필드를 비워 둡니다. 이 페이지로 돌아오게 됩니다 3단계arrow-up-right.

hashtag
2단계: Amazon SNS 주제 생성

  1. AWS 콘솔에서 Panther 인스턴스가 위치한 AWS 리전을 선택한 다음 Simple Notification Service 콘솔로 이동합니다.

  2. 탐색 모음에서 다음을 클릭합니다. Topics.

  3. 다음을 클릭하세요. Create Topic.

  4. 다음에서 세부 정보 섹션에서 다음 필드에 값을 입력합니다:

    • 유형: 표준.

    • 이름: 설명적인 이름을 입력합니다.

  5. 다음에서 암호화 섹션에서 암호화 토글을 끔으로 둡니다.

  6. 다음에서 액세스 정책 섹션에:

    1. 내에서 게시자에서 다음을 선택하세요 지정된 AWS 계정만AWS 계정 ID 입력 텍스트 상자에 Panther AWS 계정 ID를 입력합니다.

    2. 내에서 구독자에서 다음을 선택하세요 지정된 AWS 계정만AWS 계정 ID 입력 텍스트 상자에 Panther AWS 계정 ID를 입력합니다.

  7. 다음을 클릭하세요. 주제 생성.

  8. 다음을 복사합니다. ARN 그리고 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

hashtag
3단계: SNS 주제를 사용하여 GuardDuty 로그 소스 구성

  1. Panther Console에서 1단계에서 생성한 GuardDuty 로그 소스로 이동합니다. 1단계arrow-up-right.

    • 1단계가 끝날 때 도달한 성공 화면에 아직 있다면, 다음을 클릭합니다 로그 소스 보기.

  2. 다음을 클릭하세요. 구성의 가장 높은 패치 버전으로 업그레이드한 다음, Edit.

  3. 다음 항목에서 구성 페이지에서 허용된 소스 ARN 필드에 이전 단계에서 복사한 SNS 주제 ARN을 입력합니다.

  4. 다음을 클릭하세요. 저장.

hashtag
4단계: SNS 구독 생성

Panther GuardDuty SQS 대기열에 대한 구독을 생성합니다.

  1. AWS의 SNS 콘솔로 돌아갑니다.

  2. 탐색 모음에서 다음을 클릭합니다 구독.

  3. 다음을 클릭하세요. 구독 생성.

  4. 다음 필드에 값을 입력합니다:

    • 프로토콜: Amazon SQS.

    • 엔드포인트: 다음 형식을 사용하여 엔드포인트를 구성합니다: arn:aws:sqs:<Panther-region>:<account-id>:<Panther-notifications-queue-name>

      • Panther-region: Panther 인스턴스가 배포된 AWS 리전

      • account-id: Panther 인스턴스의 AWS 계정 ID

      • Panther-notifications-queue-name: 이 값을 찾으려면:

        1. Panther Console에서 1단계에서 생성한 GuardDuty 로그 소스로 이동합니다. 1단계arrow-up-right. (이 페이지에 여전히 있을 수 있습니다 3단계arrow-up-right).

        2. 페이지 상단에서 다음을 찾습니다 SQS Queue URL. 해당 Panther-notifications-queue-name 값은 URL에서 다음으로 시작하는 부분입니다 panther-source-:

  5. 다음을 클릭하세요. 원시 메시지 전송 활성화 체크박스를 선택하세요.

  6. 다음을 클릭하세요. 구독 생성.

hashtag
5단계: GuardDuty가 SNS 주제에 알림을 게시하도록 구성

계정에서 GuardDuty를 활성화한 후, 이벤트브리지 룰을 구축하여 알림을 Panther로 보내기 시작합니다.

  1. AWS 계정에서 아직 GuardDuty를 활성화하지 않았다면, 다음을 따르세요 이 지침을 따라 활성화하세요arrow-up-right.

  2. AWS에서 다음으로 이동합니다 Amazon EventBridge 콘솔로 이동합니다.

  3. 탐색 모음에서 다음을 클릭합니다. , 아래의 Buses 섹션.

  4. 다음을 클릭하세요. 룰 생성.

  5. 다음 필드에 값을 입력합니다:

    • 이름: 설명적인 이름을 입력합니다.

    • 이벤트 버스: default.

    • 선택한 이벤트 버스에서 룰 활성화: 쿼리 결과가 포함된 CSV 첨부 파일(최대 10MB)이 이메일 보고서에 포함되도록 하려면 ON.

    • 룰 유형: 다음을 선택합니다 이벤트 패턴이 있는 룰.

  6. 다음을 클릭하세요. 다음.

  7. 다음 항목에서 이벤트 패턴 빌드 페이지:

    1. 다음에서 이벤트 소스 섹션에서 이벤트 소스에서 다음을 선택하세요 AWS 이벤트 또는 EventBridge 파트너 이벤트.

    2. 다음에서 샘플 이벤트 섹션에:

      • ~에 대해 샘플 이벤트 유형에서 다음을 선택하세요 AWS 이벤트.

      • ~에 대해 샘플 이벤트에서 다음을 선택하세요 GuardDuty Finding.

    3. 다음에서 이벤트 패턴 섹션에서 다음 선택을 합니다:

      • 이벤트 소스: AWS 서비스.

      • AWS 서비스: GuardDuty.

      • 이벤트 유형: GuardDuty Finding.

  8. 다음을 클릭하세요. 다음.

  9. 다음 항목에서 대상 선택 페이지에서 대상 1 섹션에서 다음 필드에 값을 입력합니다:

    1. 대상 유형: AWS 서비스.

    2. 대상 선택: SNS 주제.

    3. 토픽: 에서 생성한 주제의 이름을 선택합니다 2단계arrow-up-right.

    4. 내에서 추가 설정, 필요한 경우 조정합니다.

  10. 다음을 클릭하세요. 다음.

  11. 다음 항목에서 태그 구성 페이지에서 다음.

  12. 다음 항목에서 검토 및 생성 페이지에서 룰 생성.

hashtag
Panther가 만든 탐지

에서 Panther의 미리 작성된 AWS 규칙을 확인하세요 panther-analysis Github 저장소arrow-up-right.

hashtag
Data Explorer에서 로그 쿼리하기

Panther의 Data Explorerarrow-up-right,에서 사용할 수 있는 예제 SQL 쿼리를 참조하세요 GuardDuty 로그 쿼리arrow-up-right.

hashtag
지원되는 AWS GuardDuty 로그

hashtag
AWS.GuardDuty

GuardDuty는 AWS 계정 내의 악성 활동과 승인되지 않은 동작을 지속적으로 모니터링하는 위협 디택션 서비스입니다. 자세한 내용은 다음을 참조하세요 GuardDuty 조사 결과 형식에 대한 AWS 문서arrow-up-right.

이전AWS EKS다음AWS NLB

마지막 업데이트

도움이 되었나요?