Amazon Security Lake

개요

Panther는 다음을 수집하는 것을 지원합니다 Amazon Security Lake 디텍션 및 검색에 사용되는 로그입니다. Amazon Security Lake에 중앙화된 보안 데이터는 다음에 따라 정규화됩니다 Open Cybersecurity Schema Framework (OCSF)이며, Panther는 다음의 수집을 지원합니다 여기에서 찾을 수 있는 모든 OCSF 이벤트 클래스.

이 통합을 설정하려면 Panther를 구독자 로 구성하여 Security Lake 로그를 수신하도록 합니다.

Amazon Security Lake 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Amazon Security Lake 소스 생성 시작

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. "Amazon Security Lake"를 검색한 다음 해당 타일을 클릭합니다.

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

5. 페이지에서 구성 페이지에서 Panther AWS 계정 ID 와 Panther 외부 ID 값들을 안전한 장소에 저장하세요. 다음 단계에서 사용합니다.

   • 이 브라우저 탭을 열어 둡니다. 아래 3단계에서 다시 돌아오게 됩니다.

2단계: Amazon Security Lake에서 새 구독자 생성

1. 새 브라우저 탭에서 AWS 콘솔에 로그인하고 다음으로 이동합니다 Amazon Security Lake > 구독자.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 구독자 생성.

3. 다음 필드에 대해 다음 값을 입력하세요:

   • 구독자 이름: 예: 사람이 알아보기 쉬운 이름, 예를 들어 Panther.

   • 계정 ID: 이전 단계에서 복사한 Panther AWS 계정 ID 입니다.

   • 외부 ID: 이전 단계에서 복사한 Panther 외부 ID 입니다.

   • 데이터 액세스: S3.

   • S3 알림 유형: SQS 큐.

   • 로그 및 이벤트 소스: 모든 해당 소스를 선택하고, 각 소스의 버전 이(가) 다음과 같이 설정되어 있는지 확인합니다 1.0.

     
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Python 함수를 입력한 다음.

5. 방금 생성한 구독자의 이름을 클릭합니다.

6. 다음 값을 복사하세요 AWS 역할 ARN 와 구독 엔드포인트 값들을 안전한 장소에 저장하세요. 다음 단계에서 사용합니다.

3단계: Panther에서 Amazon Security Lake 소스 생성 완료

1. Panther 콘솔 브라우저 탭으로 돌아갑니다.

2. 페이지에서 구성 페이지에서 다음 필드의 값을 입력하세요:

   • 이름: 소스에 대한 사람이 알아보기 쉬운 이름, 예: Amazon Security Lake.

   • AWS 역할 ARN: 이전 단계에서 생성한 역할 ARN입니다.

   • 구독 엔드포인트: 이전 단계에서 생성한 SQS 큐 ARN입니다.

3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Panther 콘솔에서 필드에 값을 입력하세요:

   • 성공 화면으로 이동됩니다:\

     

     • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의.

     • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

       

지원되는 Amazon Security Lake 로그 유형

Panther는 이 OCSF 페이지에 나열된 각 OCSF 스키마를 사용하는 Amazon Security Lake 로그의 수집을 지원합니다.