search
Knowledge BaseRelease NotesRequest Demo

AWS GuardDuty

AWS GuardDuty를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 Amazon Web Services (AWS)를 수집하는 것을 지원합니다 GuardDutyarrow-up-right 로그를 공통 데이터 전송 옵션:

또한 다음을 사용하여 GuardDuty 로그를 수집할 수 있습니다 Amazon EventBridge.

hashtag
S3를 사용하여 Panther에 AWS GuardDuty 로그를 온보딩하는 방법

circle-info

아래 비디오는 약간 오래된 Panther 콘솔을 보여줍니다. 최신 지침은 비디오 아래의 단계별 지침을 따르십시오.

circle-exclamation

이 방식으로 AWS GuardDuty 로그를 수집하려면 KMS 키 ARN을 입력해야 합니다. 서버 측 암호화(SSE)가 활성화되어 있지만 KMS 키를 생성할 수 없는 경우 이 프로세스를 중단하고 대신 사용자 지정 S3 로그 소스 를 설정하여 GuardDuty 로그를 수집하십시오. 클릭하여 AWS.GuardDuty 스키마를 연결합니다 접두사 및 스키마 구성(선택 사항)을 입력할 필요가 없습니다. KMS 키를 입력할 필요가 없습니다.

hashtag
S3로 GuardDuty 로그를 온보딩하기 위한 전제 조건

circle-info

GuardDuty는 리전 서비스이며 S3 내보내기 버킷과 KMS 키는 동일한 리전에 있어야 합니다.

hashtag
1단계: KMS 키 생성

  1. AWS에서 올바른 리전에 있는지 확인한 후 키 관리 서비스(KMS)로 이동합니다.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 고객 관리형 키을(를). (비-JSON 로그를 업로드했고 키 생성.

  3. 기본값을 그대로 둡니다 키 유형 (대칭(Symmetric)) 및 키 사용 (암호화 및 복호화) 선택을 유지하고 클릭합니다 다음.

  4. 페이지에서 레이블 추가 페이지에서 원하는 별칭 을(를) 입력합니다. 예: guardduty-log-key.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 검토로 건너뛰기를 클릭합니다. (향후 단계에서 이 키에 정책을 추가할 것입니다.)

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 그런 다음.

  7. 페이지에서 고객 관리형 키 목록에서 방금 생성한 키를 클릭하고 ARN 을(를) 확인하여 향후 단계에 사용하십시오.

hashtag
2단계: S3 버킷 생성

  1. AWS에서 올바른 리전에 있는지 확인한 후 S3로 이동합니다.

  2. 에서 범용 버킷인 경우 JSON 로그를 업로드했다면 클릭하세요 버킷 생성.

  3. 필드를 채우십시오:

    • 일반 구성 일반 구성 타일에서 고유한 버킷 이름 (예: panther-guardduty-logs-<identifier>).

    • 일반 구성 기본 암호화 타일:

      1. 다음을 위해 암호화 유형SNS 주제 AWS 키 관리 서비스 키를 사용한 서버 측 암호화(SSE-KMS).

      2. 에서 AWS KMS 키SNS 주제 AWS KMS 키 중에서 선택.

      3. 에서 사용 가능한 AWS KMS 키에서 1단계에서 생성한 KMS 키를 선택합니다.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 버킷 생성.

  5. 페이지에서 범용 버킷 목록에서 방금 생성한 버킷의 이름을 클릭한 다음 속성을(를) 확인하고 ARN 을(를) 확인하여 향후 단계에 사용하십시오.

hashtag
3단계: GuardDuty 로그 내보내기 구성

  1. AWS 콘솔에서 GuardDuty로 이동합니다.

  2. 왼쪽 내비게이션 메뉴에서 설정.

  3. 내에서 결과 내보내기 옵션에서 S3 버킷인 경우 JSON 로그를 업로드했다면 클릭하세요 지금 구성.

  4. 내보내기 결과 구성 필드를 입력하십시오:

    • S3 버킷 ARN: 2단계에서 생성한 S3 버킷의 ARN을 입력하십시오.

    • KMS 키 ARN: 1단계에서 생성한 KMS 키의 ARN을 입력하십시오.

  5. 내에서 정책 첨부인 경우 JSON 로그를 업로드했다면 클릭하세요 S3 버킷의 정책 보기panther-secret 복사을(를) 클릭한 다음 닫으십시오 S3 버킷 정책 를 선택하세요.

  6. 이전에 생성한 버킷의 버킷 정책을 업데이트하십시오:

    1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 S3 서비스로 이동합니다.

    2. 에서 범용 버킷에서 2단계에서 생성한 버킷의 이름을 클릭합니다.

    3. 을 클릭하세요 권한 탭을 클릭하세요.

    4. 버킷 정책 타일에서 편집을 클릭.

    5. 정책 편집기에 복사한 정책을 붙여넣고, 그런 다음 클릭합니다 변경 사항 저장.

  7. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 아래에서 정책 첨부인 경우 JSON 로그를 업로드했다면 클릭하세요 KMS 키에 대한 정책 보기panther-secret 복사을(를) 클릭한 다음 닫으십시오 KMS 키 정책 를 선택하세요.

  8. 이전에 생성한 KMS 키의 정책을 업데이트하십시오:

    1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 KMS 서비스로 이동합니다.

    2. 에서 고객 관리형 키에서 1단계에서 생성한 KMS 키의 별칭을 클릭합니다.

    3. 다음 키 정책 탭에서 정책 보기로 전환.

    4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 편집을 클릭.

    5. 기존 콘솔 정책(즉, 내부 객체) 이후에 쉼표를 추가한 다음 복사한 정책 문을 붙여넣습니다. Statement을(를) 붙여넣습니다

    6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 변경 사항 저장.

  9. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 클릭합니다 "Resource": "<secret ARN>".

hashtag
4단계: GuardDuty를 Panther에 온보딩

  1. Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다.

  4. 슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 AWS S3 버킷 옵션—이 옵션을 선택한 상태로 두고 클릭하십시오 설정 시작.

  5. 다음을 따르세요 Panther의 S3 소스 구성 지침를 클릭하여 1.4단계부터 시작합니다.

    • 위에서 생성한 KMS 키와 S3 버킷의 ARN이 필요합니다.

hashtag
SQS를 사용하여 Panther에 AWS GuardDuty 로그를 온보딩하는 방법

hashtag
SQS로 GuardDuty 로그를 온보딩하기 위한 전제 조건

  • Panther 인스턴스의 AWS 계정 ID가 있습니다.

    • 이 값을 찾으려면 Panther 콘솔의 오른쪽 상단 모서리에서 톱니바퀴 아이콘 > 일반을 클릭하십시오. 이 페이지의 바닥글에서 AWS 계정 ID.

hashtag
1단계: Panther에서 AWS GuardDuty 소스 생성

GuardDuty 로그를 Panther로 가져오려면 먼저 Panther 콘솔에서 AWS 계정에서 데이터를 스트리밍할 S3 버킷 또는 SQS 큐를 설정해야 합니다.

  1. Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다.

  4. 슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 AWS S3 버킷 옵션. 이 옵션을 선택 상태로 두거나 AWS SQS 큐.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

  6. 데이터 전송을 위한 SQS 구성에 관한 Panther의 AWS SQS 큐arrow-up-right 문서를 따르십시오.

    • 페이지에서 구성 페이지에서 허용된 AWS 주요 주체허용된 소스 ARN 필드를 비워 둡니다. 이 페이지로 돌아올 것입니다 3단계arrow-up-right.

hashtag
2단계: Amazon SNS 주제 생성

  1. AWS 콘솔에서 Panther 인스턴스가 위치한 AWS 리전을 선택한 다음 단순 알림 서비스 콘솔로 이동합니다.

  2. 탐색 표시줄에서 주제.

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 주제 생성.

  4. 일반 구성 Details 섹션에서 다음 필드에 대해 값을 제공하십시오:

    • 유형: 표준.

    • 이름: 설명적인 이름을 입력하세요.

  5. 일반 구성 암호화 섹션에서 토글을 암호화 끔으로 둡니다.

  6. 일반 구성 액세스 정책 이벤트 이름

    1. 내에서 게시자SNS 주제 지정된 AWS 계정만. 에서 AWS 계정 ID 입력 텍스트 상자에 Panther AWS 계정 ID를 입력하십시오.

    2. 내에서 구독자SNS 주제 지정된 AWS 계정만. 에서 AWS 계정 ID 입력 텍스트 상자에 Panther AWS 계정 ID를 입력하십시오.

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 주제 생성.

  8. 다음 값을 복사하세요 ARN 다음 단계에서 필요하므로 안전한 위치에 저장하십시오.

hashtag
3단계: SNS 주제로 GuardDuty 로그 소스 구성

  1. Panther 콘솔에서 1단계에서 생성한 GuardDuty 로그 소스로 이동합니다 1단계arrow-up-right.

    • 아직 1단계 종료 시 도착한 성공 화면에 있다면 클릭하십시오 로그 소스 보기.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 구성을(를). (비-JSON 로그를 업로드했고 편집을 클릭합니다.

  3. 페이지에서 구성 페이지에서 허용된 소스 ARN 필드에 이전 단계에서 복사한 SNS 주제 ARN을 입력하십시오.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. "Resource": "<secret ARN>".

hashtag
4단계: SNS 구독 생성

Panther GuardDuty SQS 큐에 대한 구독을 생성합니다.

  1. AWS의 SNS 콘솔로 돌아갑니다.

  2. 탐색 바에서 구독(Subscriptions).

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 구독 생성.

  4. 다음 필드에 대한 값을 입력하십시오:

    • 프로토콜: Amazon SQS.

    • 엔드포인트: 다음 형식을 사용하여 엔드포인트를 구성하십시오: arn:aws:sqs:<Panther-region>:<account-id>:<Panther-notifications-queue-name>

      • Panther-리전: Panther 인스턴스가 배포된 AWS 리전

      • 계정-아이디: Panther 인스턴스의 AWS 계정 ID

      • Panther-알림-큐-이름: 이 값을 찾으려면:

        1. Panther 콘솔에서 1단계에서 생성한 GuardDuty 로그 소스로 이동합니다 1단계arrow-up-right입니다. (여전히 이 페이지에 있을 수 있습니다 3단계arrow-up-right).

        2. 페이지 상단에서 SQS 큐 URL. Panther-알림-큐-이름 값은 URL에서 panther-source-로 시작하는 부분입니다:

  5. 을 클릭하세요 원시 메시지 전송 활성화 체크박스를 선택하세요.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 구독 생성.

hashtag
5단계: GuardDuty가 SNS 주제에 공지를 게시하도록 구성

계정에서 GuardDuty를 활성화한 후 EventBridge 규칙을 작성하여 알러트를 Panther로 전송하기 시작합니다.

  1. AWS 계정에서 아직 GuardDuty를 활성화하지 않았다면, 이를 수행하기 위한 지침을 따르십시오arrow-up-right.

  2. AWS에서 Amazon EventBridge 콘솔로 이동합니다.

  3. 탐색 표시줄에서 로 이동한 다음 버스 섹션의 명령을 실행하세요.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 룰 생성.

  5. 다음 필드에 대해 값을 제공하십시오:

    • 이름: 설명적인 이름을 입력하세요.

    • 이벤트 버스: 이는.

    • 선택한 이벤트 버스에서 룰을 활성화합니다이메일에 CSV 데이터 첨부 켜기.

    • 룰 유형: 선택하세요 이벤트 패턴이 있는 룰.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  7. 페이지에서 이벤트 패턴 빌드 페이지:

    1. 일반 구성 이벤트 소스 섹션에서, 이벤트 소스SNS 주제 AWS 이벤트 또는 EventBridge 파트너 이벤트.

    2. 일반 구성 샘플 이벤트 이벤트 이름

      • 다음을 위해 샘플 이벤트 유형SNS 주제 AWS 이벤트.

      • 다음을 위해 샘플 이벤트들SNS 주제 GuardDuty Finding.

    3. 일반 구성 이벤트 패턴 섹션에서 다음 선택을 합니다:

      • 이벤트 소스: AWS 서비스.

      • AWS 서비스: GuardDuty.

      • 이벤트 유형: GuardDuty Finding.

  8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  9. 페이지에서 대상 선택 페이지에서 대상 1 섹션에서 다음 필드에 대한 값을 입력하십시오:

    1. 대상 유형: AWS 서비스.

    2. 대상 선택: SNS 주제.

    3. 주제: 에서 생성한 주제 이름을 선택하십시오 2단계arrow-up-right.

    4. 내에서 추가 설정에서 필요에 따라 조정하십시오.

  10. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

  11. 페이지에서 태그 구성 페이지에서 다음.

  12. 페이지에서 검토 및 생성 페이지에서 룰 생성.

hashtag
다음의 경우 통합에 제한이 발생할 수 있습니다:

Panther의 사전 작성된 AWS 룰은 panther-analysis Github 리포지토리arrow-up-right.

hashtag
데이터 익스플로러에서 로그 쿼리하기

Panther의 panther_monitorarrow-up-right에서 사용하기 위한 예제 SQL 쿼리는 GuardDuty 로그 쿼리arrow-up-right.

hashtag
지원되는 AWS GuardDuty 로그

hashtag
AWS.GuardDuty

GuardDuty는 AWS 계정 내의 악의적 활동 및 무단 동작을 지속적으로 모니터링하는 위협 탐지 서비스입니다. 자세한 내용은 GuardDuty 발견 형식에 대한 AWS 문서arrow-up-right.

이전AWS EKS다음AWS NLB

마지막 업데이트

도움이 되었나요?