AWS Transit Gateway

Transit Gateway 플로우 로그(Flow logs)를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Transit Gateway Flow 로그 수집을 지원합니다.

AWS Transit Gateway 로그를 Panther에 온보딩하는 방법

Transit Gateway 로그를 Panther로 가져오려면 AWS 계정에서 데이터를 스트리밍할 S3 버킷을 Panther 콘솔에서 설정해야 합니다.

Panther 콘솔의 왼쪽 탐색 막대에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요.
선택하세요 AWS Transit Gateway Flow.
선택하세요 AWS S3 버킷 설정을 시작하려면 소스에 대해. 데이터 전송을 위해 S3를 구성하는 Panther 문서.

앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

Panther의 사전 작성된 AWS 규칙은 panther-analysis Github 리포지토리.

지원되는 AWS Transit Gateway 로그

AWS.TransitGatewayFlow

TransitGatewayFlow 로그는 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있게 해줍니다.

Panther가 TransitGatewayFlow 로그를 올바르게 수집하려면 로그가 S3에서 직접 오며 헤더가 있는 CSV 형식이어야 합니다.

자세한 내용은 Transit Gateway Flow Logs에 대한 AWS 문서.

스키마: AWS.TransitGatewayFlow
파서:
    원본:
        이름: AWS.TransitGatewayFlow
설명: TransitGatewayFlow 로그는 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있게 해줍니다.
참조URL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html
필드:
    - name: version
      설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다.
      type: bigint
    - 이름: resourceType
      설명: 구독이 생성된 위치로, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다.
      type: string
    - 이름: accountId
      설명: 트랜짓 게이트웨이 소유자의 AWS 계정 ID입니다.
      type: string
      지표:
        - aws_account_id
    - 이름: tgwId
      required: true
      설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다.
      type: string
    - 이름: tgwAttachmentId
      설명: 트래픽이 기록되는 트랜짓 게이트웨이 어태치먼트의 ID입니다.
      type: string
    - 이름: tgwPairAttachmentId
      설명: 플로우 방향에 따라 이 값은 플로우의 이그레스 또는 인그레스 어태치먼트 ID입니다.
      type: string
    - 이름: protocol
      설명: 트래픽의 IANA 프로토콜 번호입니다.
      type: bigint
    - 이름: packets
      설명: 플로우 동안 전송된 패킷 수입니다.
      type: bigint
    - name: bytes
      설명: 플로우 동안 전송된 바이트 수입니다.
      type: bigint
    - name: start
      required: true
      설명: 플로우 시작 시각(UTC)입니다.
      type: timestamp
      timeFormats:
        - unix
      isEventTime: true
    - 이름: end
      설명: 플로우 종료 시각(UTC)입니다.
      type: timestamp
      timeFormats:
        - unix
    - 이름: logStatus
      설명: '플로우 로그의 로깅 상태입니다. OK: 선택된 대상으로 데이터가 정상적으로 로깅되고 있습니다. NODATA: 집계 기간 동안 네트워크 인터페이스로 들어오거나 나가는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 기간 동안 일부 플로우 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약이나 내부 오류 때문일 수 있습니다.'
      type: string
    - 이름: type
      설명: '트래픽 유형: IPv4, IPv6 또는 EFA.'
      type: string
    - 이름: packetsLostNoRoute
      설명: 경로가 지정되지 않아 손실된 패킷 수입니다.
      type: bigint
    - 이름: packetsLostBlackhole
      설명: 블랙홀로 인해 손실된 패킷 수입니다.
      type: bigint
    - 이름: packetsLostMtuExceeded
      설명: MTU를 초과하여 손실된 패킷 수입니다.
      type: bigint
    - 이름: packetsLostTtlExpired
      설명: TTL(수명) 만료로 인해 손실된 패킷 수입니다.
      type: bigint
    - 이름: tcpFlags
      설명: '다음 TCP 플래그에 대한 비트마스크 값: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 플로우 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아니라 0입니다. TCP 플래그는 집계 기간 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플래그가 플로우 로그 레코드의 동일한 줄에 설정될 수 있으며, 예를 들어 SYN-ACK 및 FIN은 19, SYN 및 FIN은 3입니다.'
      type: bigint
    - 이름: region
      설명: 트래픽이 기록되는 트랜짓 게이트웨이를 포함하는 리전입니다.
      type: string
    - 이름: flowDirection
      설명: '트래픽이 캡처되는 인터페이스에 대한 플로우의 방향입니다. 가능한 값은 ingress | egress 입니다.'
      type: string
    - 이름: tgwSrcVpcAccountId
      설명: 소스 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      지표:
        - aws_account_id
    - 이름: tgwSrcVpcId
      설명: 트랜짓 게이트웨이의 소스 VPC ID입니다.
      type: string
    - 이름: tgwSrcSubnetId
      설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwSrcEni
      설명: 플로우에 대한 소스 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다.
      type: string
    - 이름: tgwSrcAzId
      설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이를 포함하는 가용 영역(Availability Zone)의 ID입니다. 트래픽이 서브로케이션(sublocation)에서 오는 경우 이 필드에는 '-' 기호가 표시됩니다.
      type: string
    - 이름: srcAddr
      설명: 수신 트래픽의 소스 주소 또는 트랜짓 게이트웨이의 송신 트래픽에 대한 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다.
      type: string
      지표:
        - ip
    - 이름: srcPort
      설명: 트래픽의 소스 포트입니다.
      type: bigint
    - 이름: pktSrcAwsService
      설명: '소스 IP 주소가 AWS 서비스인 경우 srcaddr에 대한 IP 주소 범위의 하위 집합 이름입니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string
    - 이름: tgwDstVpcAccountId
      설명: 대상 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      지표:
        - aws_account_id
    - 이름: tgwDstVpcId
      설명: 트랜짓 게이트웨이의 대상 VPC ID입니다.
      type: string
    - 이름: tgwDstSubnetId
      설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwDstEni
      설명: 플로우에 대한 대상 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다.
      type: string
    - 이름: tgwDstAzId
      설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이를 포함하는 가용 영역(Availability Zone)의 ID입니다.
      type: string
    - 이름: dstAddr
      설명: 송신 트래픽의 대상 주소 또는 트랜짓 게이트웨이에서 수신 트래픽에 대한 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다.
      type: string
      지표:
        - ip
    - 이름: dstPort
      설명: 트래픽의 대상 포트입니다.
      type: bigint
    - 이름: pktDstAwsService
      설명: '대상 IP 주소가 AWS 서비스인 경우 dstaddr 필드에 대한 IP 주소 범위의 하위 집합 이름입니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string

PreviousAWS S3 NextAWS VPC

Last updated 2 years ago

Was this helpful?

스키마: AWS.TransitGatewayFlow 파서: 원본: 이름: AWS.TransitGatewayFlow 설명: TransitGatewayFlow 로그는 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있게 해줍니다. 참조URL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html 필드: - name: version 설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다. type: bigint - 이름: resourceType 설명: 구독이 생성된 위치로, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다. type: string - 이름: accountId 설명: 트랜짓 게이트웨이 소유자의 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: tgwId required: true 설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다. type: string - 이름: tgwAttachmentId 설명: 트래픽이 기록되는 트랜짓 게이트웨이 어태치먼트의 ID입니다. type: string - 이름: tgwPairAttachmentId 설명: 플로우 방향에 따라 이 값은 플로우의 이그레스 또는 인그레스 어태치먼트 ID입니다. type: string - 이름: protocol 설명: 트래픽의 IANA 프로토콜 번호입니다. type: bigint - 이름: packets 설명: 플로우 동안 전송된 패킷 수입니다. type: bigint - name: bytes 설명: 플로우 동안 전송된 바이트 수입니다. type: bigint - name: start required: true 설명: 플로우 시작 시각(UTC)입니다. type: timestamp timeFormats: - unix isEventTime: true - 이름: end 설명: 플로우 종료 시각(UTC)입니다. type: timestamp timeFormats: - unix - 이름: logStatus 설명: '플로우 로그의 로깅 상태입니다. OK: 선택된 대상으로 데이터가 정상적으로 로깅되고 있습니다. NODATA: 집계 기간 동안 네트워크 인터페이스로 들어오거나 나가는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 기간 동안 일부 플로우 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약이나 내부 오류 때문일 수 있습니다.' type: string - 이름: type 설명: '트래픽 유형: IPv4, IPv6 또는 EFA.' type: string - 이름: packetsLostNoRoute 설명: 경로가 지정되지 않아 손실된 패킷 수입니다. type: bigint - 이름: packetsLostBlackhole 설명: 블랙홀로 인해 손실된 패킷 수입니다. type: bigint - 이름: packetsLostMtuExceeded 설명: MTU를 초과하여 손실된 패킷 수입니다. type: bigint - 이름: packetsLostTtlExpired 설명: TTL(수명) 만료로 인해 손실된 패킷 수입니다. type: bigint - 이름: tcpFlags 설명: '다음 TCP 플래그에 대한 비트마스크 값: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 플로우 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아니라 0입니다. TCP 플래그는 집계 기간 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플래그가 플로우 로그 레코드의 동일한 줄에 설정될 수 있으며, 예를 들어 SYN-ACK 및 FIN은 19, SYN 및 FIN은 3입니다.' type: bigint - 이름: region 설명: 트래픽이 기록되는 트랜짓 게이트웨이를 포함하는 리전입니다. type: string - 이름: flowDirection 설명: '트래픽이 캡처되는 인터페이스에 대한 플로우의 방향입니다. 가능한 값은 ingress | egress 입니다.' type: string - 이름: tgwSrcVpcAccountId 설명: 소스 VPC 트래픽의 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: tgwSrcVpcId 설명: 트랜짓 게이트웨이의 소스 VPC ID입니다. type: string - 이름: tgwSrcSubnetId 설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다. type: string - 이름: tgwSrcEni 설명: 플로우에 대한 소스 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다. type: string - 이름: tgwSrcAzId 설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이를 포함하는 가용 영역(Availability Zone)의 ID입니다. 트래픽이 서브로케이션(sublocation)에서 오는 경우 이 필드에는 '-' 기호가 표시됩니다. type: string - 이름: srcAddr 설명: 수신 트래픽의 소스 주소 또는 트랜짓 게이트웨이의 송신 트래픽에 대한 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다. type: string 지표: - ip - 이름: srcPort 설명: 트래픽의 소스 포트입니다. type: bigint - 이름: pktSrcAwsService 설명: '소스 IP 주소가 AWS 서비스인 경우 srcaddr에 대한 IP 주소 범위의 하위 집합 이름입니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string - 이름: tgwDstVpcAccountId 설명: 대상 VPC 트래픽의 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: tgwDstVpcId 설명: 트랜짓 게이트웨이의 대상 VPC ID입니다. type: string - 이름: tgwDstSubnetId 설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다. type: string - 이름: tgwDstEni 설명: 플로우에 대한 대상 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다. type: string - 이름: tgwDstAzId 설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이를 포함하는 가용 영역(Availability Zone)의 ID입니다. type: string - 이름: dstAddr 설명: 송신 트래픽의 대상 주소 또는 트랜짓 게이트웨이에서 수신 트래픽에 대한 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다. type: string 지표: - ip - 이름: dstPort 설명: 트래픽의 대상 포트입니다. type: bigint - 이름: pktDstAwsService 설명: '대상 IP 주소가 AWS 서비스인 경우 dstaddr 필드에 대한 IP 주소 범위의 하위 집합 이름입니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string

hashtag개요

hashtagAWS Transit Gateway 로그를 Panther에 온보딩하는 방법

hashtag앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

hashtag지원되는 AWS Transit Gateway 로그

hashtagAWS.TransitGatewayFlow

개요

AWS Transit Gateway 로그를 Panther에 온보딩하는 방법

앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

지원되는 AWS Transit Gateway 로그

AWS.TransitGatewayFlow