AWS VPC

AWS VPC 로그를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Virtual Private Cloud(VPC) 로그 수집을 지원합니다.

AWS VPC 로그를 Panther에 온보딩하는 방법

단계 1: AWS에서 로깅 구성

AWS 구성은 온보딩하는 로그가 VPC DNS인지 플로우 로그인지에 따라 다릅니다. DNS와 플로우 로그를 모두 온보딩하는 경우 아래 두 탭의 절차를 모두 따라야 합니다.

AWS에서 일부 구성을 통해 이 통합을 사용하여 DNS 쿼리를 모니터링할 수 있습니다. 악의적인 행위자는 데이터 절취, C2, DNS 터널링, 캐시 포이즈닝, DNS 하이재킹 등 목적으로 DNS를 사용할 수 있습니다. 네트워크 내 장치가 수행한 쿼리와 수신한 응답을 로깅하면 사전 경보 및 조사 시 유용할 수 있습니다.

아래 지침은 VPC 내의 AWS 서비스에서 S3 버킷으로 쿼리를 로깅하는 방법을 설명합니다. 쿼리 로깅 구성은 Route 53 내에서 발생하며 지정한 리전 내의 VPC에 적용됩니다. 구성은 리전별로 필요하지만 해당 리전의 여러 VPC에 적용할 수 있습니다.

AWS 계정에 로그인합니다.
로깅하려는 리전 내의 Route 53 서비스로 이동합니다.
왼쪽 메뉴에서 Resolver 아래의 Query Logging.
- “Query logging configurations” 페이지로 리디렉션되어야 합니다. 그렇지 않으면 “Query Logging” 링크를 다시 클릭해 보십시오.
AWS의 쿼리 로깅 구성 페이지 중앙에는 구성 없음이라는 메시지가 표시됩니다
오른쪽 상단에서 클릭하세요 쿼리 로깅 구성.
다음 페이지에서 쿼리 로깅 구성 양식을 작성합니다:
- 이름: 설명적인 이름을 입력하세요.
- 쿼리 로그 대상: S3 버킷.
- Amazon S3 버킷: 쿼리 로깅을 구성하려는 S3 버킷을 선택합니다.
- VPC 로그: DNS 쿼리 로깅을 시작하려는 모든 VPC를 추가합니다. VPC를 검색한 다음 VPC 추가.
페이지 하단에서 쿼리 로깅 구성.
- 몇 분 내에 다음 위치의 S3 버킷에서 로그 수신이 시작되어야 합니다 s3://BucketName/BucketPrefix/AWSLogs/ACCOUNTID/vpcdnsquerylogs/VPCName/Year/Month/Day

단계 2: Panther에서 새 AWS VPC 소스 생성

로그가 스트리밍될 S3 버킷을 나타내는 AWS VPC 소스를 Panther에 설정해야 합니다.

DNS 및 플로우 로그를 모두 온보딩하는 경우:

두 유형의 로그가 동일한 S3 버킷으로 전송되도록 구성된 경우 Panther에서 하나의 AWS VPC 로그 소스를 생성할 수 있습니다.
DNS 및 플로우 로그를 서로 다른 S3 버킷으로 전송하도록 구성한 경우 이 단계를 두 번(두 개의 Panther 로그 소스 설정) 수행해야 합니다.

Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"AWS VPC"를 검색한 다음 해당 타일을 클릭합니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.
다음을 따르세요 데이터 전송을 위해 S3를 구성하는 Panther 문서.

예시 DNS 이벤트

{"version":"1.100000","account_id":"0123456789012","region":"us-west-2","vpc_id":"vpc-c26c48ba","query_timestamp":"2022-10-07T21:39:49Z","query_name":"ec2messages.us-west-2.amazonaws.com.","query_type":"A","query_class":"IN","rcode":"NOERROR","answers":[{"Rdata":"52.94.176.105","Type":"A","Class":"IN"}],"srcaddr":"172.31.46.187","srcport":"52635","transport":"UDP","srcids":{"instance":"i-09d9aa4e31675db61"}}

Panther 관리 디텍션

참조 Panther 관리 Panther의 AWS VPC에 대한 룰 panther-analysis GitHub 리포지토리.

데이터 익스플로러에서 로그 쿼리하기

Panther의 panther_monitor에서 사용하기 위한 예제 SQL 쿼리는 VPC 로그 쿼리.

지원되는 AWS VPC 로그 유형

Panther는 다음을 지원합니다 AWS.VPCDns 와 AWS.VPCFlow.

AWS.VPCDns

DNS 쿼리 로그는 VPC DNS 리졸버가 Route 53으로 전달하는 쿼리를 나타냅니다. 자세한 내용은 Resolver 쿼리 로그 형식에 관한 AWS 문서.

스키마: AWS.VPCDns
파서:
  네이티브:
    이름: AWS.VPCDns
설명: DNS 쿼리 로그는 VPC DNS 리졸버가 Route 53으로 전달하는 쿼리를 나타냅니다.
참조URL: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs-format.html
필드:
  - name: version
    required: true
    설명: 쿼리 로그 형식의 버전 번호입니다. 로그에 필드를 추가하거나 기존 필드의 형식을 변경하면 이 값을 증가시킵니다.
    type: string
  - 이름: account_id
    required: true
    설명: VPC를 생성한 AWS 계정의 ID입니다.
    type: string
    지표:
      - aws_account_id
  - 이름: region
    required: true
    설명: VPC를 생성한 AWS 리전입니다.
    type: string
  - 이름: vpc_id
    required: true
    설명: 쿼리가 발생한 VPC의 ID입니다.
    type: string
  - 이름: query_timestamp
    required: true
    설명: 쿼리가 제출된 날짜 및 시간으로, ISO 8601 형식 및 협정 세계시(UTC)입니다.
    type: timestamp
    시간 형식: rfc3339
    isEventTime: true
  - 이름: query_name
    required: true
    설명: 쿼리에 지정된 도메인 이름(예: example.com) 또는 서브도메인 이름(예: www.example.com)입니다.
    type: string
  - 이름: query_type
    required: true
    설명: 요청에 지정된 DNS 레코드 유형이거나 ANY입니다. Route 53이 지원하는 유형에 대한 정보는 참조하십시오.
    type: string
  - 이름: query_class
    required: true
    설명: 쿼리의 클래스입니다.
    type: string
  - 이름: rcode
    required: true
    설명: 리졸버가 DNS 쿼리에 대해 반환한 DNS 응답 코드입니다. 응답 코드는 쿼리가 유효한지 여부를 나타냅니다. 가장 일반적인 응답 코드는 NOERROR로, 쿼리가 유효함을 의미합니다. 응답이 유효하지 않은 경우 리졸버는 그 이유를 설명하는 응답 코드를 반환합니다. 가능한 응답 코드 목록은 IANA 웹사이트의 DNS RCODEs를 참조하십시오.
    type: string
  - 이름: answers
    required: true
    설명: 쿼리에 대한 응답(들)
    type: array
    element:
      type: object
      필드:
        - 이름: Rdata
          required: true
          설명: 리졸버가 쿼리에 대해 반환한 값입니다. 예를 들어 A 레코드의 경우 IPv4 형식의 IP 주소입니다. CNAME 레코드의 경우 CNAME 레코드에 있는 도메인 이름입니다.
          type: string
        - name: Type
          required: true
          설명: 리졸버가 쿼리에 응답으로 반환하는 값의 DNS 레코드 유형(A, MX 또는 CNAME 등)입니다.
          type: string
        - 이름: Class
          required: true
          설명: 쿼리에 대한 리졸버 응답의 클래스입니다.
          type: string
  - 이름: srcaddr
    required: true
    설명: 쿼리가 발생한 인스턴스의 IP 주소입니다.
    type: string
    지표:
      - ip
  - 이름: srcport
    required: true
    설명: 쿼리가 발생한 인스턴스의 포트입니다.
    type: string
  - 이름: transport
    required: true
    설명: DNS 쿼리를 제출하는 데 사용된 프로토콜입니다.
    type: string
  - 이름: srcids
    required: true
    설명: DNS 쿼리가 시작되었거나 통과한 소스들의 ID 목록입니다.
    type: object
    필드:
      - 이름: instance
        설명: 쿼리가 발생한 인스턴스의 ID입니다.
        type: string
        지표:
          - aws_instance_id
      - 이름: resolver-endpoint
        설명: DNS 쿼리를 온프레미스 DNS 서버로 전달하는 리졸버 엔드포인트의 ID입니다.
        type: string
  - 이름: firewall_rule_group_id
    설명: 쿼리의 도메인 이름과 일치한 DNS 방화벽 룰 그룹의 ID입니다. 이는 DNS 방화벽이 alert 또는 block으로 설정된 룰과 일치하는 항목을 찾았을 때에만 채워집니다.
    type: string
  - 이름: firewall_rule_action
    설명: 쿼리의 도메인 이름과 일치한 룰에 의해 지정된 동작입니다. 이는 DNS 방화벽이 alert 또는 block으로 설정된 룰과 일치하는 항목을 찾았을 때에만 채워집니다.
    type: string
  - 이름: firewall_domain_list_id
    설명: 쿼리의 도메인 이름과 일치한 룰에서 사용된 도메인 목록입니다. 이는 DNS 방화벽이 alert 또는 block으로 설정된 룰과 일치하는 항목을 찾았을 때에만 채워집니다.
    type: string

AWS.VPCFlow

VPC Flow는 EC2의 네트워크 트래픽을 레이어 3 관점에서 나타내는 VPC NetFlow 로그입니다.

Panther가 VPC NetFlow 로그를 올바르게 수집하려면 로그가 S3에서 직접 와야 하며, 헤더가 포함된 CSV 형식이어야 합니다.

자세한 내용은 플로우 로그 레코드 예제를 제공하는 AWS 문서.

스키마: AWS.VPCFlow
파서:
  네이티브:
    이름: AWS.VPCFlow
설명: VPCFlow는 EC2의 네트워크 트래픽을 레이어 3 관점에서 나타내는 VPC NetFlow 로그입니다.
참조URL: https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records-examples.html
필드:
  - name: version
    설명: VPC Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다. 사용자 지정 형식을 지정하면 버전은 3입니다.
    type: bigint
  - 이름: account
    설명: 플로우 로그의 AWS 계정 ID입니다.
    type: string
    지표:
      - aws_account_id
  - 이름: interfaceId
    설명: 트래픽이 기록되는 네트워크 인터페이스의 ID입니다.
    type: string
  - 이름: srcAddr
    설명: 수신 트래픽의 출발지 주소이거나 네트워크 인터페이스에서 송신 트래픽의 IPv4 또는 IPv6 주소입니다. 네트워크 인터페이스의 IPv4 주소는 항상 해당 인터페이스의 프라이빗 IPv4 주소입니다.
    type: string
    지표:
      - ip
  - 이름: dstAddr
    설명: 송신 트래픽의 목적지 주소이거나 네트워크 인터페이스에서 수신 트래픽의 IPv4 또는 IPv6 주소입니다. 네트워크 인터페이스의 IPv4 주소는 항상 해당 인터페이스의 프라이빗 IPv4 주소입니다.
    type: string
    지표:
      - ip
  - 이름: srcPort
    설명: 트래픽의 출발지 포트입니다.
    type: bigint
  - 이름: dstPort
    설명: 트래픽의 목적지 포트입니다.
    type: bigint
  - 이름: protocol
    설명: 트래픽의 IANA 프로토콜 번호입니다.
    type: bigint
  - 이름: packets
    설명: 플로우 동안 전송된 패킷 수입니다.
    type: bigint
  - 이름: bytes
    설명: 플로우 동안 전송된 바이트 수입니다.
    type: bigint
  - name: start
    required: true
    설명: 플로우 시작 시각(UTC)입니다.
    type: timestamp
    시간 형식: rfc3339
  - name: end
    required: true
    설명: 플로우 종료 시각(UTC)입니다.
    type: timestamp
    시간 형식: rfc3339
  - 이름: action
    설명: '트래픽과 관련된 동작입니다. ACCEPT: 기록된 트래픽이 보안 그룹 또는 네트워크 ACL에 의해 허용되었습니다. REJECT: 기록된 트래픽이 보안 그룹 또는 네트워크 ACL에 의해 허용되지 않았습니다.'
    type: string
  - 이름: status
    required: true
    설명: '플로우 로그의 로깅 상태입니다. OK: 선택한 대상으로 데이터가 정상적으로 로깅되고 있습니다. NODATA: 캡처 창 동안 네트워크 인터페이스로 들어오거나 나가는 네트워크 트래픽이 없었습니다. SKIPDATA: 캡처 창 동안 일부 플로우 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.'
    type: string
  - 이름: vpcId
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 VPC의 ID입니다.
    type: string
  - 이름: subNetId
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 서브넷의 ID입니다.
    type: string
  - 이름: instanceId
    설명: 트래픽이 기록되는 네트워크 인터페이스와 연결된 인스턴스의 ID입니다. 인스턴스가 사용자의 소유인 경우에 해당합니다. 요청자 관리형 네트워크 인터페이스(예: NAT 게이트웨이의 네트워크 인터페이스)의 경우 '-' 기호를 반환합니다.
    type: string
    지표:
      - aws_instance_id
  - 이름: tcpFlags
    설명: "다음 TCP 플래그에 대한 비트마스크 값입니다: SYN: 2, SYN-ACK: 18, FIN: 1, RST: 4. ACK는 SYN과 함께 있을 때만 보고됩니다. TCP 플래그는 집계 간격 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플래그가 플로우 로그 레코드의 동일한 줄에 설정될 수 있습니다. 예를 들어 SYN-ACK와 FIN은 19, SYN과 FIN은 3입니다."
    type: bigint
  - 이름: trafficType
    설명: '트래픽 유형: IPv4, IPv6 또는 EFA.'
    type: string
  - 이름: pktSrcAddr
    설명: 트래픽의 패킷 수준(원본) 출발지 IP 주소입니다. 이 필드를 srcaddr 필드와 함께 사용하여 트래픽이 흐르는 중간 계층의 IP 주소와 트래픽의 원래 출발지 IP 주소를 구분하십시오. 예: 트래픽이 NAT 게이트웨이의 네트워크 인터페이스를 통해 흐르거나 Amazon EKS의 파드 IP 주소가 파드가 실행되는 인스턴스 노드의 네트워크 인터페이스 IP 주소와 다른 경우.
    type: string
    지표:
      - ip
  - 이름: pktDstAddr
    설명: 트래픽의 패킷 수준(원본) 목적지 IP 주소입니다. 이 필드를 dstaddr 필드와 함께 사용하여 트래픽이 흐르는 중간 계층의 IP 주소와 트래픽의 최종 목적지 IP 주소를 구분하십시오. 예: 트래픽이 NAT 게이트웨이의 네트워크 인터페이스를 통해 흐르거나 Amazon EKS의 파드 IP 주소가 파드가 실행되는 인스턴스 노드의 네트워크 인터페이스 IP 주소와 다른 경우.
    type: string
    지표:
      - ip
  - 이름: pktSrcAwsService
    설명: '출발지 IP 주소가 AWS 서비스에 해당하는 경우 pkt-srcaddr 필드의 IP 주소 범위 하위 집합 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | S3 | WORKSPACES_GATEWAYS.'
    type: string
  - 이름: pktDstAwsService
    설명: 목적지 IP 주소가 AWS 서비스에 해당하는 경우 pkt-dstaddr 필드의 IP 주소 범위 하위 집합 이름입니다. 가능한 값 목록은 pkt-src-aws-service 필드를 참조하십시오.
    type: string
  - 이름: flowDirection
    설명: '트래픽이 캡처되는 인터페이스에 대한 플로우의 방향입니다. 가능한 값: ingress | egress.'
    type: string
  - 이름: trafficPath
    설명: 송신 트래픽이 목적지로 가는 경로입니다. 트래픽이 송신(egress)인지 여부를 확인하려면 flow-direction 필드를 확인하십시오. 가능한 값은 다음과 같습니다. 어떤 값도 해당하지 않으면 필드는 '-'로 설정됩니다. 네트워크 인터페이스가 Nitro 시스템 기반 인스턴스에 연결된 경우 가능한 값에는 7과 8이 포함되며 2는 포함되지 않습니다. Nitro 시스템 기반이 아닌 인스턴스(예: T2 및 M4)의 경우 가능한 값에는 2가 포함되며 7 또는 8은 포함되지 않습니다. 1 — 동일 VPC의 다른 리소스를 통해, 2 — 인터넷 게이트웨이 또는 게이트웨이 VPC 엔드포인트를 통해, 3 — 가상 사설 게이트웨이를 통해, 4 — 리전 내 VPC 피어링 연결을 통해, 5 — 리전 간 VPC 피어링 연결을 통해, 6 — 로컬 게이트웨이를 통해, 7 — 게이트웨이 VPC 엔드포인트를 통해, 8 — 인터넷 게이트웨이를 통해
    타입: smallint
  - 이름: region
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 리전입니다.
    type: string
  - 이름: azId
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 가용 영역(Availability Zone)의 ID입니다. 트래픽이 서브로케이션(sublocation)에서 온 경우 이 필드에는 '-' 기호가 표시됩니다.
    type: string
  - 이름: sublocationType
    설명: "sublocation-id 필드에 반환되는 서브로케이션 유형입니다. 가능한 값: wavelength | outpost | localzone. 트래픽이 서브로케이션에서 온 것이 아닌 경우 이 필드에는 '-' 기호가 표시됩니다."
    type: string
  - 이름: sublocationId
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 서브로케이션의 ID입니다. 트래픽이 서브로케이션에서 온 것이 아닌 경우 이 필드에는 '-' 기호가 표시됩니다.
    type: string

이전AWS Transit Gateway 다음AWS WAF

마지막 업데이트 11개월 전

도움이 되었나요?

hashtag개요

hashtagAWS VPC 로그를 Panther에 온보딩하는 방법

hashtag단계 1: AWS에서 로깅 구성

hashtag단계 2: Panther에서 새 AWS VPC 소스 생성

hashtag예시 DNS 이벤트

hashtagPanther 관리 디텍션

hashtag데이터 익스플로러에서 로그 쿼리하기

hashtag지원되는 AWS VPC 로그 유형

hashtagAWS.VPCDns

hashtagAWS.VPCFlow

개요