Amazon Security Lake

개요

Panther는 수집을 지원합니다 Amazon Security Lake 탐지 및 검색에 사용하기 위한 로그입니다. Amazon Security Lake에 중앙 집중화된 보안 데이터는 다음 기준에 따라 정규화됩니다. Open Cybersecurity Schema Framework(OCSF), 그리고 Panther는 수집을 지원합니다 여기에 나열된 모든 OSCF 이벤트 클래스.

이 통합을 설정하려면 Panther를 다음으로 구성합니다. 구독자 귀하의 Security Lake 로그에 대한.

Amazon Security Lake 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Amazon Security Lake 소스 생성 시작

1. Panther Console의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.

2. 을 클릭합니다 새로 만들기.

3. "Amazon Security Lake"를 검색한 다음 해당 타일을 클릭합니다.

4. 을 클릭합니다 Start Setup.

5. 에서 구성 페이지에서 다음을 복사합니다. Panther AWS 계정 ID Run Panther AI Panther 외부 ID 값을 복사하여 안전한 위치에 저장합니다. 다음 단계에서 이를 사용하게 됩니다.

   • 이 브라우저 탭을 열어 둡니다. 아래 3단계에서 이 탭으로 돌아오게 됩니다.

2단계: Amazon Security Lake에 새 구독자 생성

1. 새 브라우저 탭에서 AWS 콘솔에 로그인한 다음 다음으로 이동합니다. Amazon Security Lake > 구독자.

2. 을 클릭합니다 구독자 생성.

3. 다음 필드에 대해 다음 값을 입력합니다:

   • 구독자 이름: 예를 들어 다음과 같은 사용자 친화적인 이름 Panther.

   • 계정 ID: 이전 단계에서 복사한 Panther AWS 계정 ID 입니다.

   • 외부 ID: 이전 단계에서 복사한 Panther 외부 ID 입니다.

   • 데이터 액세스: S3.

   • S3 알림 유형: SQS 대기열.

   • 로그 및 이벤트 소스: 적용 가능한 모든 소스를 선택하고 각 소스의 버전 가 다음인지 확인합니다 1.0.\

     
4. 을 클릭합니다 Create.

5. 방금 생성한 구독자의 이름을 클릭합니다.

6. 복사 AWS 역할 ARN Run Panther AI 구독 엔드포인트 값을 복사하여 안전한 위치에 저장합니다. 다음 단계에서 이를 사용하게 됩니다.

3단계: Panther에서 Amazon Security Lake 소스 생성 완료

1. Panther 콘솔 브라우저 탭으로 돌아갑니다.

2. 에서 구성 페이지에서 다음 필드에 값을 입력합니다:

   • Name: 소스에 대한 사용자 친화적인 이름, 예를 들어 Amazon Security Lake.

   • AWS 역할 ARN: 이전 단계에서 생성한 역할 ARN입니다.

   • 구독 엔드포인트: 이전 단계에서 생성한 SQS 대기열 ARN입니다.

3. 을 클릭합니다 Setup.

   • 성공 화면으로 이동합니다:\

     

     • 선택적으로 하나 이상의 디택션 팩.

     • the 이벤트가 처리되지 않을 때 알러트 트리거 설정의 기본값은 YES입니다. 일정 시간 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되므로 이 설정을 활성화된 상태로 유지할 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

       

지원되는 Amazon Security Lake 로그 유형

Panther는 다음에 나열된 각 OCSF 스키마의 Amazon Security Lake 로그 수집을 지원합니다. 이 OCSF 페이지.