AWS Security Hub

개요

Panther는 수집을 지원합니다 AWS Security Hub 결과입니다. AWS EventBridge를 사용하여 보안 결과를 Panther로 전달하면 해당 결과를 탐지 및 검색에서 참조할 수 있습니다.

AWS Security Hub 결과를 Panther에 온보딩하는 방법

1단계: AWS SNS 주제 생성

• 다음을 따르십시오 AWS SNS 주제 생성에 대한 Panther의 지침.

  • 다음 이름 필드에 식별하기 쉬운 값을 입력하세요. 예: panther-aws-security-hub.

  • 주제 ARN 값을 복사하여 안전한 장소에 보관하세요. 다음 단계에서 필요합니다.

    • 예시 ARN: arn:aws:sns:us-east-2:123456789012:panther-aws-security-hub

2단계: Amazon EventBridge 규칙 생성

1. 이동: Amazon EventBridge > 버스 > 규칙.

2. 클릭 규칙 생성

3. 필드에 다음 값을 입력하세요:

   • 이름: panther-aws-security-hub

   • 이벤트 버스: 탐지에서 찾을 수 있습니다.

   • 선택하세요 선택된 이벤트 버스에서 규칙 활성화.

   • 규칙 유형: 이벤트 패턴이 있는 규칙

4. 클릭 다음(Next).

5. 필드에 다음 값을 입력하세요:

   • 이벤트 소스: AWS 이벤트 또는 EventBridge 파트너 이벤트

   • 생성 방법: 패턴 양식 사용

   • 이벤트 패턴:

     • 이벤트 소스: AWS 서비스

     • AWS 서비스: Security Hub

     • 이벤트 유형: Security Hub 결과 - 가져옴(Imported)

6. 클릭 다음(Next).

7. 필드에 다음 값을 입력하세요:

   • 대상 유형: AWS 서비스

   • 대상 선택: SNS 주제

   • 주제: 생성한 주제를 선택하세요 1단계, panther-aws-security-hub

8. 클릭 검토 및 생성으로 건너뛰기.

9. 클릭 규칙 생성.

AWS 콘솔에 계속 로그인해 두세요. 3단계에서는 Panther 콘솔로 이동하고 4단계에서는 다시 AWS 콘솔로 돌아갑니다.

3단계: 생성 Panther에서 AWS Security Hub 소스 생성

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

2. 클릭 새로 만들기.

3. "AWS Security Hub"를 검색한 다음 해당 타일을 클릭하세요.

   • 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 AWS SQS 대기열 옵션.

4. 클릭 설정 시작.

5. Panther의 SQS 소스 구성에 대한 지침.

   • 다음 허용된 소스 ARN 필드에 생성한 SNS 주제의 ARN을 입력하세요 1단계.

6. 클릭 로그 소스 보기.

7. 클릭 SQS 큐 ARN SQS 큐의 ARN을 복사하려면 를 사용하세요. 다음 단계에서 필요하므로 안전한 장소에 저장하세요.

4단계: SNS 주제를 SQS 큐에 구독 생성

• 다음을 따르십시오 SQS 큐에 대한 SNS 구독을 생성하는 Panther의 지침.

  • 생성한 주제를 선택하세요 1단계.

  • 다음 프로토콜 필드에 Amazon SQS.

  • 다음 엔드포인트 필드에 생성한 SQS 큐의 ARN을 사용하세요 단계 3.

지원되는 AWS Security Hub 로그

AWS.SecurityFindingFormat

결과 구조에 대해 자세히 알아보려면 AWS Security Finding Format(ASFF) 페이지를 참조하세요.