AWS NLB

AWS NLB 로그를 Panther 콘솔에 연결하기

개요

AWS NLB 로그 수집은 오픈 베타 Panther 버전 1.118부터 시작되며 모든 고객에게 제공됩니다. 버그 보고 및 기능 요청은 Panther 지원팀에 공유해 주세요.

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Network Load Balancer(NLB) 로그 수집을 지원합니다.

AWS NLB 액세스 로그는 TLS 리스너만 지원합니다. TCP 및 UDP 리스너는 액세스 로그를 생성하지 않습니다.

AWS NLB 로그를 Panther에 온보딩하는 방법

NLB 로그를 Panther로 가져오려면 Panther Console에서 S3 버킷을 설정하여 AWS 계정의 데이터를 스트리밍하세요.

Panther Console의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.
을 클릭합니다 Create New.
"AWS Network Load Balancer"를 검색한 다음 해당 타일을 클릭합니다.
오른쪽 상단 모서리에서 Start Setup.
다음을 따르세요 데이터 전송을 위해 S3를 구성하는 Panther의 문서.

Panther에서 관리하는 탐지

자세한 내용은 Panther에서 관리하는 에서 AWS에 대한 규칙 panther-analysis GitHub 저장소.

지원되는 NLB 로그

AWS.NLB

네트워크 로드 밸런서 로그는 네트워크 로드 밸런서의 Layer 4 TLS 연결 로그입니다. 자세한 내용은 NLB 액세스 로그에 대한 AWS 문서.

schema: AWS.NLB
parser:
  native:
    name: AWS.NLB
description: 네트워크 로드 밸런서 로그는 네트워크 로드 밸런서의 Layer 4 TLS 연결 로그입니다.
referenceURL: https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html
필드:
  - name: type
    필수: true
    description: 요청 또는 연결의 유형입니다.
    유형: string
  - name: version
    필수: true
    description: 로그 형식 버전입니다.
    유형: string
  - 이름: time
    필수: true
    description: 연결이 종료된 시간입니다.
    유형: timestamp
    timeFormat: rfc3339
  - name: elb
    description: 로드 밸런서의 리소스 ID입니다.
    유형: string
  - name: listener
    description: TLS 리스너의 리소스 ID입니다.
    유형: string
  - name: clientIp
    description: 클라이언트의 IP 주소입니다.
    유형: string
  - name: clientPort
    description: 클라이언트의 포트입니다.
    유형: bigint
  - name: destinationIp
    description: 대상의 IP 주소입니다.
    유형: string
  - name: destinationPort
    description: 대상의 포트입니다.
    유형: bigint
  - name: connectionTime
    description: 연결의 총 시간(밀리초)입니다.
    유형: bigint
  - name: tlsHandshakeTime
    description: TLS 핸드셰이크의 총 시간(밀리초)입니다.
    유형: bigint
  - name: receivedBytes
    description: 클라이언트로부터 수신한 바이트 수입니다.
    유형: bigint
  - name: sentBytes
    description: 클라이언트로 전송한 바이트 수입니다.
    유형: bigint
  - name: incomingTlsAlert
    description: 알러트가 수신된 경우의 TLS 알러트 코드입니다.
    유형: bigint
  - name: chosenCertArn
    description: 클라이언트에 제시된 인증서의 ARN입니다.
    유형: string
  - name: chosenCertSerial
    description: 예약된 필드입니다.
    유형: string
  - name: tlsCipher
    description: 협상된 TLS 암호 제품군입니다.
    유형: string
  - name: tlsProtocolVersion
    description: TLS 프로토콜 버전입니다.
    유형: string
  - name: tlsKeyExchange
    description: TLS 키 교환 알고리즘입니다.
    유형: string
  - name: domainName
    description: 클라이언트가 제공한 SNI 호스트 이름입니다.
    유형: string
  - name: alpnFeProtocol
    description: ALPN을 통해 클라이언트와 협상한 프로토콜입니다.
    유형: string
  - name: alpnBeProtocol
    description: ALPN을 통해 백엔드와 협상한 프로토콜입니다.
    유형: string
  - name: alpnClientPreferenceList
    description: 클라이언트가 제시한 ALPN 기본 설정 목록의 프로토콜 목록입니다.
    유형: array
    요소:
      유형: string
  - name: tlsConnectionCreationTime
    description: TLS 연결이 설정된 시간입니다.
    유형: timestamp
    timeFormat: rfc3339

이전AWS GuardDuty 다음AWS Security Hub

마지막 업데이트 3개월 전

도움이 되었나요?

schema: AWS.NLB
parser:
  native:
    name: AWS.NLB
description: 네트워크 로드 밸런서 로그는 네트워크 로드 밸런서의 Layer 4 TLS 연결 로그입니다.
referenceURL: https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html
필드:
  - name: type
    필수: true
    description: 요청 또는 연결의 유형입니다.
    유형: string
  - name: version
    필수: true
    description: 로그 형식 버전입니다.
    유형: string
  - 이름: time
    필수: true
    description: 연결이 종료된 시간입니다.
    유형: timestamp
    timeFormat: rfc3339
  - name: elb
    description: 로드 밸런서의 리소스 ID입니다.
    유형: string
  - name: listener
    description: TLS 리스너의 리소스 ID입니다.
    유형: string
  - name: clientIp
    description: 클라이언트의 IP 주소입니다.
    유형: string
  - name: clientPort
    description: 클라이언트의 포트입니다.
    유형: bigint
  - name: destinationIp
    description: 대상의 IP 주소입니다.
    유형: string
  - name: destinationPort
    description: 대상의 포트입니다.
    유형: bigint
  - name: connectionTime
    description: 연결의 총 시간(밀리초)입니다.
    유형: bigint
  - name: tlsHandshakeTime
    description: TLS 핸드셰이크의 총 시간(밀리초)입니다.
    유형: bigint
  - name: receivedBytes
    description: 클라이언트로부터 수신한 바이트 수입니다.
    유형: bigint
  - name: sentBytes
    description: 클라이언트로 전송한 바이트 수입니다.
    유형: bigint
  - name: incomingTlsAlert
    description: 알러트가 수신된 경우의 TLS 알러트 코드입니다.
    유형: bigint
  - name: chosenCertArn
    description: 클라이언트에 제시된 인증서의 ARN입니다.
    유형: string
  - name: chosenCertSerial
    description: 예약된 필드입니다.
    유형: string
  - name: tlsCipher
    description: 협상된 TLS 암호 제품군입니다.
    유형: string
  - name: tlsProtocolVersion
    description: TLS 프로토콜 버전입니다.
    유형: string
  - name: tlsKeyExchange
    description: TLS 키 교환 알고리즘입니다.
    유형: string
  - name: domainName
    description: 클라이언트가 제공한 SNI 호스트 이름입니다.
    유형: string
  - name: alpnFeProtocol
    description: ALPN을 통해 클라이언트와 협상한 프로토콜입니다.
    유형: string
  - name: alpnBeProtocol
    description: ALPN을 통해 백엔드와 협상한 프로토콜입니다.
    유형: string
  - name: alpnClientPreferenceList
    description: 클라이언트가 제시한 ALPN 기본 설정 목록의 프로토콜 목록입니다.
    유형: array
    요소:
      유형: string
  - name: tlsConnectionCreationTime
    description: TLS 연결이 설정된 시간입니다.
    유형: timestamp
    timeFormat: rfc3339

hashtag개요

hashtagAWS NLB 로그를 Panther에 온보딩하는 방법

hashtagPanther에서 관리하는 탐지

hashtag지원되는 NLB 로그

hashtagAWS.NLB

개요

AWS NLB 로그를 Panther에 온보딩하는 방법

Panther에서 관리하는 탐지

지원되는 NLB 로그

AWS.NLB