# AWS Transit Gateway ## 개요 Panther는 AWS S3를 통해 Amazon Web Services(AWS) Transit Gateway Flow 로그 수집을 지원합니다. ## AWS Transit Gateway 로그를 Panther에 온보딩하는 방법 Transit Gateway 로그를 Panther로 가져오려면, AWS 계정의 데이터를 스트리밍하기 위해 Panther Console에 S3 버킷을 설정해야 합니다. 1. Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭하세요. **새로 만들기**. 3. 사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요. 4. 다음을 선택합니다 **AWS Transit Gateway Flow**. 5. 다음을 선택합니다 **AWS S3 버킷** 에서 소스 설정을 시작하세요. 다음을 따르세요 [데이터 전송을 위한 S3 구성에 대한 Panther의 문서](/ko/data-onboarding/data-transports/aws/s3.md). ## Panther가 만든 탐지 에서 Panther의 미리 작성된 AWS 규칙을 확인하세요 [panther-analysis Github 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## 지원되는 AWS Transit Gateway 로그 ### AWS.TransitGatewayFlow TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 오가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. \ Panther가 TransitGatewayFlow 로그를 올바르게 수집하려면, 헤더가 포함된 CSV 형식으로 S3에서 직접 와야 합니다. 자세한 내용은 다음을 참조하세요 [Transit Gateway Flow Logs에 대한 AWS 문서](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html). ```yaml 스키마: AWS.TransitGatewayFlow parser: native: 이름: AWS.TransitGatewayFlow 설명: TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 오가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. referenceURL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html fields: - name: version 설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다. 유형: bigint - 이름: resourceType 설명: 구독이 생성된 위치이며, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다. type: string - 이름: accountId 설명: 트랜짓 게이트웨이의 AWS 계정 ID 소유자입니다. type: string indicators: - aws_account_id - 이름: tgwId required: true 설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다. type: string - 이름: tgwAttachmentId 설명: 트래픽이 기록되는 트랜짓 게이트웨이 연결의 ID입니다. type: string - 이름: tgwPairAttachmentId 설명: 흐름 방향에 따라 이 값은 흐름의 egress 또는 ingress 연결 ID입니다. type: string - 이름: protocol 설명: 트래픽의 IANA 프로토콜 번호입니다. 유형: bigint - 이름: packets 설명: 흐름 중 전송된 패킷 수입니다. 유형: bigint - 이름: bytes 설명: 흐름 중 전송된 바이트 수입니다. 유형: bigint - 이름: start required: true 설명: 흐름 시작 시간(UTC)입니다. type: timestamp timeFormats: - 유닉스 isEventTime: true - 이름: end 설명: 흐름 종료 시간(UTC)입니다. type: timestamp timeFormats: - 유닉스 - 이름: logStatus 설명: '흐름 로그의 로깅 상태입니다. OK: 데이터가 선택한 대상에 정상적으로 기록되고 있습니다. NODATA: 집계 간격 동안 네트워크 인터페이스로부터 또는 그로 향하는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 간격 동안 일부 흐름 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.' type: string - 이름: type 설명: '트래픽 유형: IPv4, IPv6 또는 EFA입니다.' type: string - 이름: packetsLostNoRoute 설명: 지정된 경로가 없어 손실된 패킷입니다. 유형: bigint - 이름: packetsLostBlackhole 설명: 블랙홀로 인해 손실된 패킷입니다. 유형: bigint - 이름: packetsLostMtuExceeded 설명: MTU를 초과하는 크기 때문에 손실된 패킷입니다. 유형: bigint - 이름: packetsLostTtlExpired 설명: TTL(time-to-live) 만료로 인해 손실된 패킷입니다. 유형: bigint - 이름: tcpFlags 설명: '다음 TCP 플래그에 대한 비트마스크 값입니다: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 흐름 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아니라 0입니다. TCP 플래그는 집계 간격 동안 OR 연산으로 결합될 수 있습니다. 짧은 연결의 경우, 플래그는 흐름 로그 레코드의 같은 줄에 설정될 수 있습니다. 예를 들어 SYN-ACK와 FIN의 경우 19, SYN과 FIN의 경우 3입니다.' 유형: bigint - 이름: region 설명: 트래픽이 기록되는 트랜짓 게이트웨이가 포함된 리전입니다. type: string - 이름: flowDirection 설명: '트래픽이 캡처되는 인터페이스를 기준으로 한 흐름의 방향입니다. 가능한 값은 ingress | egress입니다.' type: string - 이름: tgwSrcVpcAccountId 설명: 소스 VPC 트래픽의 AWS 계정 ID입니다. type: string indicators: - aws_account_id - 이름: tgwSrcVpcId 설명: 트랜짓 게이트웨이에 대한 소스 VPC의 ID입니다 type: string - 이름: tgwSrcSubnetId 설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다. type: string - 이름: tgwSrcEni 설명: 흐름의 소스 트랜짓 게이트웨이 연결 ENI의 ID입니다. type: string - 이름: tgwSrcAzId 설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다. 트래픽이 하위 위치에서 온 경우, 이 필드에는 '-' 기호가 표시됩니다. type: string - 이름: srcAddr 설명: 들어오는 트래픽의 소스 주소 또는 트랜짓 게이트웨이에서 나가는 트래픽의 트랜짓 게이트웨이 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다. type: string indicators: - ip - 이름: srcPort 설명: 트래픽의 소스 포트입니다. 유형: bigint - 이름: pktSrcAwsService 설명: '소스 IP 주소가 AWS 서비스인 경우 srcaddr의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string - 이름: tgwDstVpcAccountId 설명: 대상 VPC 트래픽의 AWS 계정 ID입니다. type: string indicators: - aws_account_id - 이름: tgwDstVpcId 설명: 트랜짓 게이트웨이의 대상 VPC ID입니다. type: string - 이름: tgwDstSubnetId 설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다. type: string - 이름: tgwDstEni 설명: 흐름의 대상 트랜짓 게이트웨이 연결 ENI의 ID입니다. type: string - 이름: tgwDstAzId 설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다. type: string - 이름: dstAddr 설명: 나가는 트래픽의 대상 주소 또는 트랜짓 게이트웨이에서 들어오는 트래픽의 트랜짓 게이트웨이 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다. type: string indicators: - ip - 이름: dstPort 설명: 트래픽의 대상 포트입니다. 유형: bigint - 이름: pktDstAwsService 설명: '대상 IP 주소가 AWS 서비스인 경우 dstaddr 필드의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/transit-gateway.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.