AWS VPC

AWS VPC 로그를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Virtual Private Cloud(VPC) 로그 수집을 지원합니다.

AWS VPC 로그를 Panther에 온보딩하는 방법

1단계: AWS에서 로깅 구성

AWS 구성은 VPC DNS 로그를 온보딩하는지 또는 플로우 로그를 온보딩하는지에 따라 다릅니다. DNS와 플로우 로그를 모두 온보딩하는 경우 아래의 두 탭 모두에 있는 절차를 따라야 합니다.

AWS에서 일부 구성을 통해 이 통합을 사용하여 DNS 쿼리를 모니터링할 수 있습니다. 악의적인 행위자는 데이터 유출, C2, DNS 터널링, 캐시 중독, DNS 하이재킹 등 다양한 목적으로 DNS를 사용할 수 있습니다. 네트워크 내 장치가 수행한 쿼리와 수신한 응답을 로깅하는 것은 사전 경보 및 조사에 유용할 수 있습니다.

아래 지침은 VPC 내의 AWS 서비스에서 생성된 쿼리를 S3 버킷으로 로깅하는 방법을 설명합니다. 쿼리 로깅 구성은 Route 53 내에서 이루어지며 지정한 리전 내의 VPC에 적용됩니다. 구성은 리전별로 필요하지만 해당 리전의 여러 VPC에 적용할 수 있습니다.

AWS 계정에 로그인합니다.
로깅하려는 리전 내의 Route 53 서비스로 이동합니다.
왼쪽 사이드에서 Resolver 아래의 Query Logging.
- "Query logging configurations" 페이지로 리디렉션되어야 합니다. 그렇지 않으면 "Query Logging" 링크를 다시 클릭해 보십시오.
AWS의 쿼리 로깅 구성 페이지에는 구성 항목이 없다는 메시지가 화면 중간에 표시됩니다
오른쪽 상단에서 클릭 쿼리 로깅 구성.
다음 페이지에서 쿼리 로깅 구성 양식을 작성합니다:
- 이름(Name): 설명적인 이름을 입력하세요.
- 쿼리 로그의 대상: 선택 S3 버킷.
- Amazon S3 버킷: 쿼리 로깅을 구성하려는 S3 버킷을 선택합니다.
- VPC 로그: DNS 쿼리 로깅을 시작하려는 모든 VPC를 추가합니다. VPC를 검색한 다음 Add VPC.
페이지 하단에서 클릭하세요 쿼리 로깅 구성.
- 몇 분 내에 다음 위치의 S3 버킷에서 로그 수신이 시작되어야 합니다 s3://BucketName/BucketPrefix/AWSLogs/ACCOUNTID/vpcdnsquerylogs/VPCName/Year/Month/Day

2단계: Panther에서 새 AWS VPC 소스 생성

로그가 스트리밍될 S3 버킷을 나타내는 AWS VPC 소스를 Panther에서 설정해야 합니다.

DNS와 플로우 로그를 모두 온보딩하는 경우:

두 유형의 로그가 동일한 S3 버킷으로 전송되도록 구성된 경우 Panther에서 하나의 AWS VPC 로그 소스를 생성할 수 있습니다.
DNS 및 플로우 로그가 서로 다른 S3 버킷으로 전송되도록 구성된 경우 이 단계를 두 번 완료해야 합니다( Panther에 로그 소스 두 개 설정).

Panther 콘솔의 왼쪽 탐색 막대에서 구성 > 로그 소스.
를 클릭하세요 새로 만들기(Create New).
"AWS VPC"를 검색한 다음 해당 타일을 클릭합니다.
를 클릭하세요 설정 시작.
다음 지침을 따르세요 데이터 전송을 위해 S3를 구성하는 Panther의 문서.

예시 DNS 이벤트

{"version":"1.100000","account_id":"0123456789012","region":"us-west-2","vpc_id":"vpc-c26c48ba","query_timestamp":"2022-10-07T21:39:49Z","query_name":"ec2messages.us-west-2.amazonaws.com.","query_type":"A","query_class":"IN","rcode":"NOERROR","answers":[{"Rdata":"52.94.176.105","Type":"A","Class":"IN"}],"srcaddr":"172.31.46.187","srcport":"52635","transport":"UDP","srcids":{"instance":"i-09d9aa4e31675db61"}}

Panther 관리형 탐지

참조 Panther 관리형 Panther의 AWS VPC 규칙은 panther-analysis GitHub 리포지토리.

Data Explorer에서 로그 쿼리하기

Panther의 데이터 탐색기에서 사용할 예제 SQL 쿼리를 참조하세요, VPC 로그 쿼리.

지원되는 AWS VPC 로그 유형

Panther는 다음을 지원합니다 AWS.VPCDns 및 AWS.VPCFlow.

AWS.VPCDns

DNS 쿼리 로그는 VPC DNS 리졸버가 Route 53으로 전달하는 쿼리를 나타냅니다. 자세한 내용은 Resolver 쿼리 로그 형식에 대한 AWS 문서.

스키마: AWS.VPCDns
파서:
  네이티브:
    이름: AWS.VPCDns
설명: DNS 쿼리 로그는 VPC DNS 리졸버가 Route 53으로 전달하는 쿼리를 나타냅니다.
참조 URL: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs-format.html
필드:
  - 이름: version
    필수: 예
    설명: 쿼리 로그 형식의 버전 번호입니다. 로그에 필드를 추가하거나 기존 필드의 형식을 변경하면 이 값을 증가시킵니다.
    유형: 문자열
  - 이름: account_id
    필수: 예
    설명: VPC를 생성한 AWS 계정의 ID입니다.
    유형: 문자열
    지표:
      - aws_account_id
  - 이름: region
    필수: 예
    설명: VPC를 생성한 AWS 리전입니다.
    유형: 문자열
  - 이름: vpc_id
    필수: 예
    설명: 쿼리가 발생한 VPC의 ID입니다.
    유형: 문자열
  - 이름: query_timestamp
    필수: 예
    설명: 쿼리가 제출된 날짜 및 시간(ISO 8601 형식 및 협정 세계시(UTC))입니다.
    유형: 타임스탬프
    시간형식: rfc3339
    isEventTime: true
  - 이름: query_name
    필수: 예
    설명: 쿼리에서 지정된 도메인 이름(example.com) 또는 서브도메인 이름(www.example.com)입니다.
    유형: 문자열
  - 이름: query_type
    필수: 예
    설명: 요청에 지정된 DNS 레코드 유형 또는 ANY입니다. Route 53이 지원하는 유형에 대한 정보는 참고하세요.
    유형: 문자열
  - 이름: query_class
    필수: 예
    설명: 쿼리의 클래스입니다.
    유형: 문자열
  - 이름: rcode
    필수: 예
    설명: Resolver가 DNS 쿼리에 응답하여 반환한 DNS 응답 코드입니다. 응답 코드는 쿼리가 유효한지 여부를 나타냅니다. 가장 일반적인 응답 코드는 NOERROR로, 쿼리가 유효함을 의미합니다. 응답이 유효하지 않은 경우 Resolver는 이유를 설명하는 응답 코드를 반환합니다. 가능한 응답 코드 목록은 IANA 웹사이트의 DNS RCODEs를 참조하세요.
    유형: 문자열
  - 이름: answers
    필수: 예
    설명: 쿼리에 대한 응답(answers)입니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: Rdata
          필수: 예
          설명: Resolver가 쿼리에 응답하여 반환한 값입니다. 예를 들어 A 레코드의 경우 IPv4 형식의 IP 주소입니다. CNAME 레코드의 경우 CNAME 레코드의 도메인 이름입니다.
          유형: 문자열
        - 이름: Type
          필수: 예
          설명: Resolver가 쿼리에 응답하여 반환하는 값의 DNS 레코드 유형(예: A, MX 또는 CNAME)입니다.
          유형: 문자열
        - 이름: Class
          필수: 예
          설명: 쿼리에 대한 Resolver 응답의 클래스입니다.
          유형: 문자열
  - 이름: srcaddr
    필수: 예
    설명: 쿼리가 시작된 인스턴스의 IP 주소입니다.
    유형: 문자열
    지표:
      - ip
  - 이름: srcport
    필수: 예
    설명: 쿼리가 시작된 인스턴스의 포트입니다.
    유형: 문자열
  - 이름: transport
    필수: 예
    설명: DNS 쿼리를 제출하는 데 사용된 프로토콜입니다.
    유형: 문자열
  - 이름: srcids
    필수: 예
    설명: DNS 쿼리가 시작되었거나 통과한 소스의 ID 목록입니다.
    유형: 객체
    필드:
      - 이름: instance
        설명: 쿼리가 시작된 인스턴스의 ID입니다.
        유형: 문자열
        지표:
          - aws_instance_id
      - 이름: resolver-endpoint
        설명: DNS 쿼리를 온프레미스 DNS 서버로 전달하는 리졸버 엔드포인트의 ID입니다.
        유형: 문자열
  - 이름: firewall_rule_group_id
    설명: 쿼리에서 도메인 이름과 일치한 DNS 방화벽 규칙 그룹의 ID입니다. DNS 방화벽이 경고 또는 차단으로 설정된 규칙과 일치하는 항목을 찾은 경우에만 채워집니다.
    유형: 문자열
  - 이름: firewall_rule_action
    설명: 쿼리에서 도메인 이름과 일치한 규칙에 의해 지정된 동작입니다. DNS 방화벽이 경고 또는 차단으로 설정된 규칙과 일치하는 항목을 찾은 경우에만 채워집니다.
    유형: 문자열
  - 이름: firewall_domain_list_id
    설명: 쿼리에서 도메인 이름과 일치한 규칙에서 사용된 도메인 목록입니다. DNS 방화벽이 경고 또는 차단으로 설정된 규칙과 일치하는 항목을 찾은 경우에만 채워집니다.
    유형: 문자열

AWS.VPCFlow

VPC Flow는 EC2 내 네트워크 트래픽의 3계층 표현인 VPC NetFlow 로그입니다.

Panther가 VPC NetFlow 로그를 올바르게 수집하려면 로그가 S3에서 직접 오고 헤더가 포함된 CSV 형식이어야 합니다.

자세한 내용은 플로우 로그 레코드 예제를 제공하는 AWS 문서.

스키마: AWS.VPCFlow
파서:
  네이티브:
    이름: AWS.VPCFlow
설명: VPCFlow는 EC2 내 네트워크 트래픽의 3계층 표현인 VPC NetFlow 로그입니다.
참조 URL: https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records-examples.html
필드:
  - 이름: version
    설명: VPC Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다. 사용자 지정 형식을 지정하면 버전은 3입니다.
    유형: 정수(빅인트)
  - 이름: account
    설명: 플로우 로그의 AWS 계정 ID입니다.
    유형: 문자열
    지표:
      - aws_account_id
  - 이름: interfaceId
    설명: 트래픽이 기록되는 네트워크 인터페이스의 ID입니다.
    유형: 문자열
  - 이름: srcAddr
    설명: 들어오는 트래픽의 소스 주소 또는 네트워크 인터페이스에서 나가는 트래픽의 IPv4 또는 IPv6 주소입니다. 네트워크 인터페이스의 IPv4 주소는 항상 해당 인터페이스의 프라이빗 IPv4 주소입니다.
    유형: 문자열
    지표:
      - ip
  - 이름: dstAddr
    설명: 나가는 트래픽의 대상 주소 또는 네트워크 인터페이스에서 들어오는 트래픽의 IPv4 또는 IPv6 주소입니다. 네트워크 인터페이스의 IPv4 주소는 항상 해당 인터페이스의 프라이빗 IPv4 주소입니다.
    유형: 문자열
    지표:
      - ip
  - 이름: srcPort
    설명: 트래픽의 소스 포트입니다.
    유형: 정수(빅인트)
  - 이름: dstPort
    설명: 트래픽의 목적지 포트입니다.
    유형: 정수(빅인트)
  - 이름: protocol
    설명: 트래픽의 IANA 프로토콜 번호입니다.
    유형: 정수(빅인트)
  - 이름: packets
    설명: 플로우 동안 전송된 패킷 수입니다.
    유형: 정수(빅인트)
  - 이름: bytes
    설명: 플로우 동안 전송된 바이트 수입니다.
    유형: 정수(빅인트)
  - name: start
    필수: 예
    설명: 플로우 시작 시각(UTC)입니다.
    유형: 타임스탬프
    시간형식: rfc3339
  - name: end
    필수: 예
    설명: 플로우 종료 시각(UTC)입니다.
    유형: 타임스탬프
    시간형식: rfc3339
  - 이름: action
    설명: '트래픽과 관련된 동작입니다. ACCEPT: 기록된 트래픽이 보안 그룹 또는 네트워크 ACL에 의해 허용되었습니다. REJECT: 기록된 트래픽이 보안 그룹 또는 네트워크 ACL에 의해 허용되지 않았습니다.'
    유형: 문자열
  - 이름: status
    필수: 예
    설명: '플로우 로그의 로깅 상태입니다. OK: 선택한 대상에 데이터가 정상적으로 로깅되고 있습니다. NODATA: 캡처 창 동안 네트워크 인터페이스와의 네트워크 트래픽이 없었습니다. SKIPDATA: 캡처 창 동안 일부 플로우 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.'
    유형: 문자열
  - 이름: vpcId
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 VPC의 ID입니다.
    유형: 문자열
  - 이름: subNetId
    설명: 트래픽이 기록되는 네트워크 인터페이스를 포함하는 서브넷의 ID입니다.
    유형: 문자열
  - 이름: instanceId
    설명: 트래픽이 기록되는 네트워크 인터페이스와 연결된 인스턴스의 ID입니다(인스턴스가 귀하의 소유인 경우). 요청자 관리 네트워크 인터페이스(예: NAT 게이트웨이용 네트워크 인터페이스)의 경우 '-' 기호를 반환합니다.
    유형: 문자열
    지표:
      - aws_instance_id
  - 이름: tcpFlags
    설명: "다음 TCP 플래그에 대한 비트마스크 값: SYN: 2, SYN-ACK: 18, FIN: 1, RST: 4. ACK는 SYN과 함께 있는 경우에만 보고됩니다. TCP 플래그는 집계 간격 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플로우 로그 레코드의 동일한 라인에 플래그가 설정될 수 있으며 예를 들어 SYN-ACK 및 FIN은 19, SYN 및 FIN은 3입니다."
    유형: 정수(빅인트)
  - 이름: trafficType
    설명: '트래픽 유형: IPv4, IPv6 또는 EFA.'
    유형: 문자열
  - 이름: pktSrcAddr
    설명: 트래픽의 패킷 수준(원본) 소스 IP 주소입니다. 이 필드를 srcaddr 필드와 함께 사용하여 트래픽이 흐르는 중간 계층의 IP 주소와 트래픽의 원래 소스 IP 주소를 구분합니다. 예를 들어 트래픽이 NAT 게이트웨이의 네트워크 인터페이스를 통해 흐르거나 Amazon EKS의 파드 IP 주소가 파드가 실행되는 인스턴스 노드의 네트워크 인터페이스 IP 주소와 다른 경우에 해당합니다.
    유형: 문자열
    지표:
      - ip
  - 이름: pktDstAddr
    설명: 트래픽의 패킷 수준(원래) 목적지 IP 주소입니다. 이 필드를 dstaddr 필드와 함께 사용하여 트래픽이 흐르는 중간 계층의 IP 주소와 트래픽의 최종 목적지 IP 주소를 구분합니다. 예를 들어 트래픽이 NAT 게이트웨이의 네트워크 인터페이스를 통해 흐르거나 Amazon EKS의 파드 IP 주소가 파드가 실행되는 인스턴스 노드의 네트워크 인터페이스 IP 주소와 다른 경우에 해당합니다.
    유형: 문자열
    지표:
      - ip
  - 이름: pktSrcAwsService
    설명: 'pkt-srcaddr 필드의 소스 IP 주소가 AWS 서비스인 경우 해당 IP 주소 범위 하위 집합의 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | S3 | WORKSPACES_GATEWAYS.'
    유형: 문자열
  - 이름: pktDstAwsService
    설명: 목적지 IP 주소가 AWS 서비스인 경우 pkt-dstaddr 필드의 IP 주소 범위 하위 집합 이름입니다. 가능한 값 목록은 pkt-src-aws-service 필드를 참조하세요.
    유형: 문자열
  - 이름: flowDirection
    설명: '트래픽이 캡처되는 인터페이스에 대한 플로우의 방향입니다. 가능한 값: ingress | egress.'
    유형: 문자열
  - 이름: trafficPath
    설명: 이그레스 트래픽이 목적지로 가는 경로입니다. 트래픽이 이그레스인지 확인하려면 flow-direction 필드를 확인하세요. 가능한 값은 다음과 같습니다. 해당되는 값이 없으면 필드는 '-'로 설정됩니다. 네트워크 인터페이스가 Nitro 시스템 기반 인스턴스에 연결된 경우 가능한 값에 7 및 8이 포함되지만 2는 포함되지 않습니다. Nitro 시스템 기반이 아닌 인스턴스(예: T2 및 M4)의 경우 가능한 값에 2는 포함되지만 7 또는 8은 포함되지 않습니다. 1 — 동일 VPC의 다른 리소스를 통해, 2 — 인터넷 게이트웨이 또는 게이트웨이 VPC 엔드포인트를 통해, 3 — 가상 프라이빗 게이트웨이를 통해, 4 — 리전 내 VPC 피어링 연결을 통해, 5 — 리전 간 VPC 피어링 연결을 통해, 6 — 로컬 게이트웨이를 통해, 7 — 게이트웨이 VPC 엔드포인트를 통해, 8 — 인터넷 게이트웨이를 통해
    유형: smallint
  - 이름: region
    설명: 트래픽이 기록되는 네트워크 인터페이스가 포함된 리전입니다.
    유형: 문자열
  - 이름: azId
    설명: 트래픽이 기록되는 네트워크 인터페이스가 포함된 가용 영역(Availability Zone)의 ID입니다. 트래픽이 서브로케이션(sublocation)에서 발생한 경우 이 필드는 '-' 기호를 표시합니다.
    유형: 문자열
  - 이름: sublocationType
    설명: "sublocation-id 필드에 반환되는 서브로케이션 유형입니다. 가능한 값은 wavelength | outpost | localzone 입니다. 트래픽이 서브로케이션에서 발생하지 않은 경우 이 필드는 '-' 기호를 표시합니다."
    유형: 문자열
  - 이름: sublocationId
    설명: 트래픽이 기록되는 네트워크 인터페이스가 포함된 서브로케이션의 ID입니다. 트래픽이 서브로케이션에서 발생하지 않은 경우 이 필드는 '-' 기호를 표시합니다.
    유형: 문자열

PreviousAWS Transit Gateway NextAWS WAF

Last updated 11 months ago

Was this helpful?

hashtag개요

hashtagAWS VPC 로그를 Panther에 온보딩하는 방법

hashtag1단계: AWS에서 로깅 구성

hashtag2단계: Panther에서 새 AWS VPC 소스 생성

hashtag예시 DNS 이벤트

hashtagPanther 관리형 탐지

hashtagData Explorer에서 로그 쿼리하기

hashtag지원되는 AWS VPC 로그 유형

hashtagAWS.VPCDns

hashtagAWS.VPCFlow

개요