Amazon Security Lake

개요

Panther는 수집을 지원합니다 Amazon Security Lake 검출 및 검색에 사용하기 위한 로그. Amazon Security Lake에 중앙화된 보안 데이터는 다음에 따라 정규화됩니다 Open Cybersecurity Schema Framework (OCSF)이며, Panther는 수집을 지원합니다 여기에서 찾을 수 있는 모든 OCSF 이벤트 클래스.

이 통합을 설정하려면 Panther를 다음으로 구성해야 합니다 구독자 귀하의 Security Lake 로그의

Amazon Security Lake 로그를 Panther에 온보딩하는 방법

단계 1: Panther에서 Amazon Security Lake 소스 생성을 시작합니다

1. Panther 콘솔의 왼쪽 탐색 모음에서 구성 > 로그 소스.

2. 클릭합니다 새로 만들기.

3. "Amazon Security Lake"를 검색한 다음 해당 타일을 클릭합니다.

4. 클릭합니다 설정 시작.

5. 페이지에서 구성 Panther AWS 계정 ID를 복사하세요 Panther AWS Account ID 및 Panther 외부 ID 값을 복사하여 안전한 장소에 보관하세요. 다음 단계에서 사용합니다.

   • 이 브라우저 탭을 열어 둡니다. 아래의 3단계에서 다시 돌아옵니다.

단계 2: Amazon Security Lake에서 새 구독자 생성

1. 새 브라우저 탭에서 AWS 콘솔에 로그인하고 다음으로 이동합니다 Amazon Security Lake > 구독자.

2. 클릭합니다 구독자 생성.

3. 다음 필드에 대해 다음 값을 입력하세요:

   • 구독자 이름: 사람이 알아보기 쉬운 이름, 예: Panther.

   • 계정 ID: 이전 단계에서 복사한 Panther AWS Account ID 값입니다.

   • 외부 ID: 이전 단계에서 복사한 Panther 외부 ID 값입니다.

   • 데이터 액세스: 선택 S3.

   • S3 알림 유형: 선택 SQS 큐.

   • 로그 및 이벤트 소스: 해당되는 모든 소스를 선택하고 버전 각 항목의 값이 1.0.\

     
4. 클릭합니다 생성.

5. 방금 생성한 구독자의 이름을 클릭합니다.

6. 복사하세요 AWS 역할 ARN 및 구독 엔드포인트 값을 복사하여 안전한 장소에 보관하세요. 다음 단계에서 사용합니다.

단계 3: Panther에서 Amazon Security Lake 소스 생성 완료

1. Panther 콘솔 브라우저 탭으로 돌아갑니다.

2. 페이지에서 구성 페이지에서 다음 필드에 대한 값을 입력합니다:

   • 이름: 소스에 대한 사람이 알아보기 쉬운 이름, 예: Amazon Security Lake.

   • AWS 역할 ARN: 이전 단계에서 생성한 역할 ARN.

   • 구독 엔드포인트: 이전 단계에서 생성한 SQS 큐 ARN.

3. 클릭합니다 설정.

   • 성공 화면으로 안내됩니다:\

     

     • 선택적으로 하나 이상의 탐지 팩.

     • 을(를) 활성화할 수 있습니다 이벤트가 처리되지 않을 때 경고를 트리거 설정의 기본값은 예입니다. 로그 소스에서 일정 기간 이후 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 사용 상태로 두는 것을 권장합니다. 기간은 구성 가능하며 기본값은 24시간입니다.\

       

지원되는 Amazon Security Lake 로그 유형

Panther는 다음에 나열된 각 OCSF 스키마를 가진 Amazon Security Lake 로그의 수집을 지원합니다 이 OCSF 페이지.