AWS Transit Gateway

Transit Gateway Flow 로그를 Panther Console에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Transit Gateway Flow 로그 수집을 지원합니다.

AWS Transit Gateway 로그를 Panther에 온보딩하는 방법

Transit Gateway 로그를 Panther로 가져오려면, AWS 계정의 데이터를 스트리밍하기 위해 Panther Console에 S3 버킷을 설정해야 합니다.

Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 구성 > 로그 소스.
다음을 클릭하세요. 새로 만들기.
사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요.
다음을 선택합니다 AWS Transit Gateway Flow.
다음을 선택합니다 AWS S3 버킷 에서 소스 설정을 시작하세요. 다음을 따르세요 데이터 전송을 위한 S3 구성에 대한 Panther의 문서.

Panther가 만든 탐지

에서 Panther의 미리 작성된 AWS 규칙을 확인하세요 panther-analysis Github 저장소.

지원되는 AWS Transit Gateway 로그

AWS.TransitGatewayFlow

TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 오가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.

Panther가 TransitGatewayFlow 로그를 올바르게 수집하려면, 헤더가 포함된 CSV 형식으로 S3에서 직접 와야 합니다.

자세한 내용은 다음을 참조하세요 Transit Gateway Flow Logs에 대한 AWS 문서.

스키마: AWS.TransitGatewayFlow
parser:
    native:
        이름: AWS.TransitGatewayFlow
설명: TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 오가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.
referenceURL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html
fields:
    - name: version
      설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다.
      유형: bigint
    - 이름: resourceType
      설명: 구독이 생성된 위치이며, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다.
      type: string
    - 이름: accountId
      설명: 트랜짓 게이트웨이의 AWS 계정 ID 소유자입니다.
      type: string
      indicators:
        - aws_account_id
    - 이름: tgwId
      required: true
      설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다.
      type: string
    - 이름: tgwAttachmentId
      설명: 트래픽이 기록되는 트랜짓 게이트웨이 연결의 ID입니다.
      type: string
    - 이름: tgwPairAttachmentId
      설명: 흐름 방향에 따라 이 값은 흐름의 egress 또는 ingress 연결 ID입니다.
      type: string
    - 이름: protocol
      설명: 트래픽의 IANA 프로토콜 번호입니다.
      유형: bigint
    - 이름: packets
      설명: 흐름 중 전송된 패킷 수입니다.
      유형: bigint
    - 이름: bytes
      설명: 흐름 중 전송된 바이트 수입니다.
      유형: bigint
    - 이름: start
      required: true
      설명: 흐름 시작 시간(UTC)입니다.
      type: timestamp
      timeFormats:
        - 유닉스
      isEventTime: true
    - 이름: end
      설명: 흐름 종료 시간(UTC)입니다.
      type: timestamp
      timeFormats:
        - 유닉스
    - 이름: logStatus
      설명: '흐름 로그의 로깅 상태입니다. OK: 데이터가 선택한 대상에 정상적으로 기록되고 있습니다. NODATA: 집계 간격 동안 네트워크 인터페이스로부터 또는 그로 향하는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 간격 동안 일부 흐름 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.'
      type: string
    - 이름: type
      설명: '트래픽 유형: IPv4, IPv6 또는 EFA입니다.'
      type: string
    - 이름: packetsLostNoRoute
      설명: 지정된 경로가 없어 손실된 패킷입니다.
      유형: bigint
    - 이름: packetsLostBlackhole
      설명: 블랙홀로 인해 손실된 패킷입니다.
      유형: bigint
    - 이름: packetsLostMtuExceeded
      설명: MTU를 초과하는 크기 때문에 손실된 패킷입니다.
      유형: bigint
    - 이름: packetsLostTtlExpired
      설명: TTL(time-to-live) 만료로 인해 손실된 패킷입니다.
      유형: bigint
    - 이름: tcpFlags
      설명: '다음 TCP 플래그에 대한 비트마스크 값입니다: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 흐름 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아니라 0입니다. TCP 플래그는 집계 간격 동안 OR 연산으로 결합될 수 있습니다. 짧은 연결의 경우, 플래그는 흐름 로그 레코드의 같은 줄에 설정될 수 있습니다. 예를 들어 SYN-ACK와 FIN의 경우 19, SYN과 FIN의 경우 3입니다.'
      유형: bigint
    - 이름: region
      설명: 트래픽이 기록되는 트랜짓 게이트웨이가 포함된 리전입니다.
      type: string
    - 이름: flowDirection
      설명: '트래픽이 캡처되는 인터페이스를 기준으로 한 흐름의 방향입니다. 가능한 값은 ingress | egress입니다.'
      type: string
    - 이름: tgwSrcVpcAccountId
      설명: 소스 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      indicators:
        - aws_account_id
    - 이름: tgwSrcVpcId
      설명: 트랜짓 게이트웨이에 대한 소스 VPC의 ID입니다
      type: string
    - 이름: tgwSrcSubnetId
      설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwSrcEni
      설명: 흐름의 소스 트랜짓 게이트웨이 연결 ENI의 ID입니다.
      type: string
    - 이름: tgwSrcAzId
      설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다. 트래픽이 하위 위치에서 온 경우, 이 필드에는 '-' 기호가 표시됩니다.
      type: string
    - 이름: srcAddr
      설명: 들어오는 트래픽의 소스 주소 또는 트랜짓 게이트웨이에서 나가는 트래픽의 트랜짓 게이트웨이 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다.
      type: string
      indicators:
        - ip
    - 이름: srcPort
      설명: 트래픽의 소스 포트입니다.
      유형: bigint
    - 이름: pktSrcAwsService
      설명: '소스 IP 주소가 AWS 서비스인 경우 srcaddr의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string
    - 이름: tgwDstVpcAccountId
      설명: 대상 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      indicators:
        - aws_account_id
    - 이름: tgwDstVpcId
      설명: 트랜짓 게이트웨이의 대상 VPC ID입니다.
      type: string
    - 이름: tgwDstSubnetId
      설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwDstEni
      설명: 흐름의 대상 트랜짓 게이트웨이 연결 ENI의 ID입니다.
      type: string
    - 이름: tgwDstAzId
      설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다.
      type: string
    - 이름: dstAddr
      설명: 나가는 트래픽의 대상 주소 또는 트랜짓 게이트웨이에서 들어오는 트래픽의 트랜짓 게이트웨이 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다.
      type: string
      indicators:
        - ip
    - 이름: dstPort
      설명: 트래픽의 대상 포트입니다.
      유형: bigint
    - 이름: pktDstAwsService
      설명: '대상 IP 주소가 AWS 서비스인 경우 dstaddr 필드의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string

이전AWS S3 다음AWS VPC

마지막 업데이트 2년 전

도움이 되었나요?

스키마: AWS.TransitGatewayFlow
parser:
    native:
        이름: AWS.TransitGatewayFlow
설명: TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 오가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.
referenceURL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html
fields:
    - name: version
      설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다.
      유형: bigint
    - 이름: resourceType
      설명: 구독이 생성된 위치이며, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다.
      type: string
    - 이름: accountId
      설명: 트랜짓 게이트웨이의 AWS 계정 ID 소유자입니다.
      type: string
      indicators:
        - aws_account_id
    - 이름: tgwId
      required: true
      설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다.
      type: string
    - 이름: tgwAttachmentId
      설명: 트래픽이 기록되는 트랜짓 게이트웨이 연결의 ID입니다.
      type: string
    - 이름: tgwPairAttachmentId
      설명: 흐름 방향에 따라 이 값은 흐름의 egress 또는 ingress 연결 ID입니다.
      type: string
    - 이름: protocol
      설명: 트래픽의 IANA 프로토콜 번호입니다.
      유형: bigint
    - 이름: packets
      설명: 흐름 중 전송된 패킷 수입니다.
      유형: bigint
    - 이름: bytes
      설명: 흐름 중 전송된 바이트 수입니다.
      유형: bigint
    - 이름: start
      required: true
      설명: 흐름 시작 시간(UTC)입니다.
      type: timestamp
      timeFormats:
        - 유닉스
      isEventTime: true
    - 이름: end
      설명: 흐름 종료 시간(UTC)입니다.
      type: timestamp
      timeFormats:
        - 유닉스
    - 이름: logStatus
      설명: '흐름 로그의 로깅 상태입니다. OK: 데이터가 선택한 대상에 정상적으로 기록되고 있습니다. NODATA: 집계 간격 동안 네트워크 인터페이스로부터 또는 그로 향하는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 간격 동안 일부 흐름 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.'
      type: string
    - 이름: type
      설명: '트래픽 유형: IPv4, IPv6 또는 EFA입니다.'
      type: string
    - 이름: packetsLostNoRoute
      설명: 지정된 경로가 없어 손실된 패킷입니다.
      유형: bigint
    - 이름: packetsLostBlackhole
      설명: 블랙홀로 인해 손실된 패킷입니다.
      유형: bigint
    - 이름: packetsLostMtuExceeded
      설명: MTU를 초과하는 크기 때문에 손실된 패킷입니다.
      유형: bigint
    - 이름: packetsLostTtlExpired
      설명: TTL(time-to-live) 만료로 인해 손실된 패킷입니다.
      유형: bigint
    - 이름: tcpFlags
      설명: '다음 TCP 플래그에 대한 비트마스크 값입니다: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 흐름 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아니라 0입니다. TCP 플래그는 집계 간격 동안 OR 연산으로 결합될 수 있습니다. 짧은 연결의 경우, 플래그는 흐름 로그 레코드의 같은 줄에 설정될 수 있습니다. 예를 들어 SYN-ACK와 FIN의 경우 19, SYN과 FIN의 경우 3입니다.'
      유형: bigint
    - 이름: region
      설명: 트래픽이 기록되는 트랜짓 게이트웨이가 포함된 리전입니다.
      type: string
    - 이름: flowDirection
      설명: '트래픽이 캡처되는 인터페이스를 기준으로 한 흐름의 방향입니다. 가능한 값은 ingress | egress입니다.'
      type: string
    - 이름: tgwSrcVpcAccountId
      설명: 소스 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      indicators:
        - aws_account_id
    - 이름: tgwSrcVpcId
      설명: 트랜짓 게이트웨이에 대한 소스 VPC의 ID입니다
      type: string
    - 이름: tgwSrcSubnetId
      설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwSrcEni
      설명: 흐름의 소스 트랜짓 게이트웨이 연결 ENI의 ID입니다.
      type: string
    - 이름: tgwSrcAzId
      설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다. 트래픽이 하위 위치에서 온 경우, 이 필드에는 '-' 기호가 표시됩니다.
      type: string
    - 이름: srcAddr
      설명: 들어오는 트래픽의 소스 주소 또는 트랜짓 게이트웨이에서 나가는 트래픽의 트랜짓 게이트웨이 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다.
      type: string
      indicators:
        - ip
    - 이름: srcPort
      설명: 트래픽의 소스 포트입니다.
      유형: bigint
    - 이름: pktSrcAwsService
      설명: '소스 IP 주소가 AWS 서비스인 경우 srcaddr의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string
    - 이름: tgwDstVpcAccountId
      설명: 대상 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      indicators:
        - aws_account_id
    - 이름: tgwDstVpcId
      설명: 트랜짓 게이트웨이의 대상 VPC ID입니다.
      type: string
    - 이름: tgwDstSubnetId
      설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwDstEni
      설명: 흐름의 대상 트랜짓 게이트웨이 연결 ENI의 ID입니다.
      type: string
    - 이름: tgwDstAzId
      설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다.
      type: string
    - 이름: dstAddr
      설명: 나가는 트래픽의 대상 주소 또는 트랜짓 게이트웨이에서 들어오는 트래픽의 트랜짓 게이트웨이 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다.
      type: string
      indicators:
        - ip
    - 이름: dstPort
      설명: 트래픽의 대상 포트입니다.
      유형: bigint
    - 이름: pktDstAwsService
      설명: '대상 IP 주소가 AWS 서비스인 경우 dstaddr 필드의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string