AWS Security Hub

개요

Panther는 수집을 지원합니다 AWS Security Hub 결과를. AWS EventBridge를 사용하여 보안 결과를 Panther로 전달하면, 해당 결과를 디택션과 검색에서 참조할 수 있습니다.

AWS Security Hub 결과를 Panther에 온보딩하는 방법

1단계: AWS SNS 토픽 생성

• 다음을 따르세요. AWS SNS 토픽 생성에 대한 Panther의 안내.

  • 다음에서 이름 필드에 식별하기 쉬운 값을 입력합니다. 예: panther-aws-security-hub.

  • 토픽 ARN 값을 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

    • ARN 예시: arn:aws:sns:us-east-2:123456789012:panther-aws-security-hub

2단계: Amazon EventBridge 룰 생성

1. 다음으로 이동합니다 Amazon EventBrige > Buses > 룰.

2. 다음을 클릭하세요. 룰 생성.

3. 다음 필드에 값을 입력합니다:

   • 이름: panther-aws-security-hub

   • 이벤트 버스: default

   • 다음을 선택합니다 선택한 이벤트 버스에서 룰 활성화.

   • 룰 유형: 이벤트 패턴이 있는 룰

4. 다음을 클릭하세요. 다음.

5. 다음 필드에 값을 입력합니다:

   • 이벤트 소스: AWS 이벤트 또는 EventBridge 파트너 이벤트

   • 생성 방법: 패턴 형식 사용

   • 이벤트 패턴:

     • 이벤트 소스: AWS 서비스

     • AWS 서비스: Security Hub

     • 이벤트 유형: Security Hub Findings - Imported

6. 다음을 클릭하세요. 다음.

7. 다음 필드에 값을 입력합니다:

   • 대상 유형: AWS 서비스

   • 대상 선택: SNS 토픽

   • 토픽: 에서 생성한 토픽을 선택합니다 1단계, panther-aws-security-hub

8. 다음을 클릭하세요. 검토 및 생성으로 건너뛰기.

9. 다음을 클릭하세요. 룰 생성.

AWS 콘솔에 로그인된 상태를 유지하세요. 3단계에서는 Panther 콘솔로 이동하고, 4단계에서는 다시 AWS 콘솔로 돌아갑니다.

3단계: Panther에서 AWS Security Hub 소스 생성

1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. 구성 > 로그 소스.

2. 다음을 클릭하세요. 새로 만들기.

3. "AWS Security Hub"를 검색한 다음 해당 타일을 클릭합니다.

   • 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운이 다음 값으로 미리 채워집니다. AWS SQS 큐 옵션.

4. 다음을 클릭하세요. 설정 시작.

5. Panther의 SQS 소스 구성 안내를 따르세요.

   • 다음에서 허용된 소스 ARN 필드에 에서 생성한 SNS 토픽의 ARN을 입력합니다 1단계.

6. 다음을 클릭하세요. 로그 소스 보기.

7. 다음을 클릭하세요. SQS 큐 ARN 를 클릭하여 SQS 큐의 ARN을 복사하세요. 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

4단계: SNS 토픽을 SQS 큐로 구독 생성

• 다음을 따르세요. SQS 큐에 대한 SNS 구독을 생성하는 Panther의 안내.

  • 에서 생성한 토픽을 선택합니다 1단계.

  • 다음에서 프로토콜 필드에 다음을 입력합니다 Amazon SQS.

  • 다음에서 엔드포인트 필드에 에서 생성한 SQS 큐의 ARN을 사용합니다 3단계.

지원되는 AWS Security Hub 로그

AWS.SecurityFindingFormat

다음에서 결과 구조에 대해 자세히 알아보세요. AWS Security Finding Format (ASFF) 페이지.