AWS Transit Gateway

Transit Gateway Flow 로그를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Transit Gateway Flow 로그 수집을 지원합니다.

AWS Transit Gateway 로그를 Panther에 온보딩하는 방법

Transit Gateway 로그를 Panther로 가져오려면 AWS 계정에서 데이터를 스트리밍하기 위해 Panther 콘솔에서 S3 버킷을 설정해야 합니다.

Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요.
선택하세요 AWS Transit Gateway Flow.
선택하세요 AWS S3 버킷 소스를 선택하여 설정을 시작하세요. 데이터 전송을 위한 S3 구성에 대한 Panther 문서.

다음의 경우 통합에 제한이 발생할 수 있습니다:

Panther의 사전 작성된 AWS 룰은 panther-analysis Github 리포지토리.

지원되는 AWS Transit Gateway 로그

AWS.TransitGatewayFlow

TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.

Panther가 TransitGatewayFlow 로그를 제대로 수집하려면 로그가 S3에서 직접, 헤더가 있는 CSV 형식으로 제공되어야 합니다.

자세한 내용은 Transit Gateway Flow Logs에 관한 AWS 문서.

스키마: AWS.TransitGatewayFlow
파서:
    네이티브:
        이름: AWS.TransitGatewayFlow
설명: TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.
참조URL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html
필드:
    - name: version
      설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다.
      type: bigint
    - 이름: resourceType
      설명: 구독이 생성된 위치로, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다.
      type: string
    - 이름: accountId
      설명: 트랜짓 게이트웨이의 AWS 계정 ID 소유자입니다.
      type: string
      지표:
        - aws_account_id
    - 이름: tgwId
      required: true
      설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다.
      type: string
    - 이름: tgwAttachmentId
      설명: 트래픽이 기록되는 트랜짓 게이트웨이 어태치먼트의 ID입니다.
      type: string
    - 이름: tgwPairAttachmentId
      설명: 흐름 방향에 따라 이 값은 흐름의 이그레스 또는 인그레스 어태치먼트 ID입니다.
      type: string
    - 이름: protocol
      설명: 트래픽의 IANA 프로토콜 번호입니다.
      type: bigint
    - 이름: packets
      설명: 흐름 동안 전송된 패킷 수입니다.
      type: bigint
    - name: bytes
      설명: 흐름 동안 전송된 바이트 수입니다.
      type: bigint
    - name: start
      required: true
      설명: 흐름 시작 시간(UTC)입니다.
      type: timestamp
      timeFormats:
        - unix
      isEventTime: true
    - name: end
      설명: 흐름 종료 시간(UTC)입니다.
      type: timestamp
      timeFormats:
        - unix
    - 이름: logStatus
      설명: '흐름 로그의 로깅 상태입니다. OK: 데이터가 선택된 대상에 정상적으로 로깅되고 있습니다. NODATA: 집계 간격 동안 네트워크 인터페이스로 들어오거나 나가는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 간격 동안 일부 흐름 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.'
      type: string
    - 이름: type
      설명: '트래픽 유형: IPv4, IPv6 또는 EFA.'
      type: string
    - 이름: packetsLostNoRoute
      설명: 경로가 지정되지 않아 손실된 패킷입니다.
      type: bigint
    - 이름: packetsLostBlackhole
      설명: 블랙홀로 인해 손실된 패킷입니다.
      type: bigint
    - 이름: packetsLostMtuExceeded
      설명: MTU를 초과하여 손실된 패킷입니다.
      type: bigint
    - 이름: packetsLostTtlExpired
      설명: TTL(수명) 만료로 인해 손실된 패킷입니다.
      type: bigint
    - 이름: tcpFlags
      설명: '다음 TCP 플래그의 비트마스크 값: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 흐름 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아닌 0입니다. TCP 플래그는 집계 간격 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플래그가 흐름 로그 레코드의 동일한 줄에 설정될 수 있으며, 예를 들어 SYN-ACK 및 FIN의 경우 19, SYN 및 FIN의 경우 3입니다.'
      type: bigint
    - 이름: region
      설명: 트래픽이 기록되는 트랜짓 게이트웨이를 포함하는 리전입니다.
      type: string
    - 이름: flowDirection
      설명: '트래픽이 캡처되는 인터페이스에 대한 흐름 방향입니다. 가능한 값은 ingress | egress 입니다.'
      type: string
    - 이름: tgwSrcVpcAccountId
      설명: 소스 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      지표:
        - aws_account_id
    - 이름: tgwSrcVpcId
      설명: 트랜짓 게이트웨이의 소스 VPC ID입니다.
      type: string
    - 이름: tgwSrcSubnetId
      설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwSrcEni
      설명: 흐름에 대한 소스 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다.
      type: string
    - 이름: tgwSrcAzId
      설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이를 포함하는 가용 영역의 ID입니다. 트래픽이 하위 위치(sublocation)에서 발생한 경우 이 필드에는 '-' 기호가 표시됩니다.
      type: string
    - 이름: srcAddr
      설명: 들어오는 트래픽의 소스 주소이거나, 트랜짓 게이트웨이에서 나가는 트래픽의 경우 트랜짓 게이트웨이의 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다.
      type: string
      지표:
        - ip
    - 이름: srcPort
      설명: 트래픽의 소스 포트입니다.
      type: bigint
    - 이름: pktSrcAwsService
      설명: 'srcaddr의 IP 주소 범위 하위 집합 이름으로, 소스 IP 주소가 AWS 서비스에 해당하는 경우에 사용됩니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string
    - 이름: tgwDstVpcAccountId
      설명: 대상 VPC 트래픽의 AWS 계정 ID입니다.
      type: string
      지표:
        - aws_account_id
    - 이름: tgwDstVpcId
      설명: 트랜짓 게이트웨이의 대상 VPC ID입니다.
      type: string
    - 이름: tgwDstSubnetId
      설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다.
      type: string
    - 이름: tgwDstEni
      설명: 흐름에 대한 대상 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다.
      type: string
    - 이름: tgwDstAzId
      설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이를 포함하는 가용 영역의 ID입니다.
      type: string
    - 이름: dstAddr
      설명: 나가는 트래픽의 대상 주소이거나, 트랜짓 게이트웨이에서 들어오는 트래픽의 경우 트랜짓 게이트웨이의 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다.
      type: string
      지표:
        - ip
    - 이름: dstPort
      설명: 트래픽의 대상 포트입니다.
      type: bigint
    - 이름: pktDstAwsService
      설명: 'dstaddr 필드의 IP 주소 범위 하위 집합 이름으로, 대상 IP 주소가 AWS 서비스에 해당하는 경우에 사용됩니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.'
      type: string

이전AWS S3 다음AWS VPC

마지막 업데이트 2년 전

도움이 되었나요?

스키마: AWS.TransitGatewayFlow 파서: 네이티브: 이름: AWS.TransitGatewayFlow 설명: TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. 참조URL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html 필드: - name: version 설명: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다. type: bigint - 이름: resourceType 설명: 구독이 생성된 위치로, TransitGateway 또는 TransitGatewayAttachment 중 하나입니다. type: string - 이름: accountId 설명: 트랜짓 게이트웨이의 AWS 계정 ID 소유자입니다. type: string 지표: - aws_account_id - 이름: tgwId required: true 설명: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다. type: string - 이름: tgwAttachmentId 설명: 트래픽이 기록되는 트랜짓 게이트웨이 어태치먼트의 ID입니다. type: string - 이름: tgwPairAttachmentId 설명: 흐름 방향에 따라 이 값은 흐름의 이그레스 또는 인그레스 어태치먼트 ID입니다. type: string - 이름: protocol 설명: 트래픽의 IANA 프로토콜 번호입니다. type: bigint - 이름: packets 설명: 흐름 동안 전송된 패킷 수입니다. type: bigint - name: bytes 설명: 흐름 동안 전송된 바이트 수입니다. type: bigint - name: start required: true 설명: 흐름 시작 시간(UTC)입니다. type: timestamp timeFormats: - unix isEventTime: true - name: end 설명: 흐름 종료 시간(UTC)입니다. type: timestamp timeFormats: - unix - 이름: logStatus 설명: '흐름 로그의 로깅 상태입니다. OK: 데이터가 선택된 대상에 정상적으로 로깅되고 있습니다. NODATA: 집계 간격 동안 네트워크 인터페이스로 들어오거나 나가는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 간격 동안 일부 흐름 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.' type: string - 이름: type 설명: '트래픽 유형: IPv4, IPv6 또는 EFA.' type: string - 이름: packetsLostNoRoute 설명: 경로가 지정되지 않아 손실된 패킷입니다. type: bigint - 이름: packetsLostBlackhole 설명: 블랙홀로 인해 손실된 패킷입니다. type: bigint - 이름: packetsLostMtuExceeded 설명: MTU를 초과하여 손실된 패킷입니다. type: bigint - 이름: packetsLostTtlExpired 설명: TTL(수명) 만료로 인해 손실된 패킷입니다. type: bigint - 이름: tcpFlags 설명: '다음 TCP 플래그의 비트마스크 값: FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 흐름 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아닌 0입니다. TCP 플래그는 집계 간격 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플래그가 흐름 로그 레코드의 동일한 줄에 설정될 수 있으며, 예를 들어 SYN-ACK 및 FIN의 경우 19, SYN 및 FIN의 경우 3입니다.' type: bigint - 이름: region 설명: 트래픽이 기록되는 트랜짓 게이트웨이를 포함하는 리전입니다. type: string - 이름: flowDirection 설명: '트래픽이 캡처되는 인터페이스에 대한 흐름 방향입니다. 가능한 값은 ingress | egress 입니다.' type: string - 이름: tgwSrcVpcAccountId 설명: 소스 VPC 트래픽의 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: tgwSrcVpcId 설명: 트랜짓 게이트웨이의 소스 VPC ID입니다. type: string - 이름: tgwSrcSubnetId 설명: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다. type: string - 이름: tgwSrcEni 설명: 흐름에 대한 소스 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다. type: string - 이름: tgwSrcAzId 설명: 트래픽이 기록되는 소스 트랜짓 게이트웨이를 포함하는 가용 영역의 ID입니다. 트래픽이 하위 위치(sublocation)에서 발생한 경우 이 필드에는 '-' 기호가 표시됩니다. type: string - 이름: srcAddr 설명: 들어오는 트래픽의 소스 주소이거나, 트랜짓 게이트웨이에서 나가는 트래픽의 경우 트랜짓 게이트웨이의 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다. type: string 지표: - ip - 이름: srcPort 설명: 트래픽의 소스 포트입니다. type: bigint - 이름: pktSrcAwsService 설명: 'srcaddr의 IP 주소 범위 하위 집합 이름으로, 소스 IP 주소가 AWS 서비스에 해당하는 경우에 사용됩니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string - 이름: tgwDstVpcAccountId 설명: 대상 VPC 트래픽의 AWS 계정 ID입니다. type: string 지표: - aws_account_id - 이름: tgwDstVpcId 설명: 트랜짓 게이트웨이의 대상 VPC ID입니다. type: string - 이름: tgwDstSubnetId 설명: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다. type: string - 이름: tgwDstEni 설명: 흐름에 대한 대상 트랜짓 게이트웨이 어태치먼트 ENI의 ID입니다. type: string - 이름: tgwDstAzId 설명: 트래픽이 기록되는 대상 트랜짓 게이트웨이를 포함하는 가용 영역의 ID입니다. type: string - 이름: dstAddr 설명: 나가는 트래픽의 대상 주소이거나, 트랜짓 게이트웨이에서 들어오는 트래픽의 경우 트랜짓 게이트웨이의 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다. type: string 지표: - ip - 이름: dstPort 설명: 트래픽의 대상 포트입니다. type: bigint - 이름: pktDstAwsService 설명: 'dstaddr 필드의 IP 주소 범위 하위 집합 이름으로, 대상 IP 주소가 AWS 서비스에 해당하는 경우에 사용됩니다. 가능한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string

hashtag개요

hashtagAWS Transit Gateway 로그를 Panther에 온보딩하는 방법

hashtag다음의 경우 통합에 제한이 발생할 수 있습니다:

hashtag지원되는 AWS Transit Gateway 로그

hashtagAWS.TransitGatewayFlow

개요

AWS Transit Gateway 로그를 Panther에 온보딩하는 방법

다음의 경우 통합에 제한이 발생할 수 있습니다:

지원되는 AWS Transit Gateway 로그

AWS.TransitGatewayFlow