AWS WAF

AWS WAF 로그를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Web Application Firewall(WAF) 로그를 수집하는 것을 지원합니다.

AWS 온보딩 방법 WAF 로그를 Panther로

WAF 로그를 Panther로 가져오려면 AWS 계정에서 데이터를 스트리밍하기 위해 Panther 콘솔에서 S3 버킷을 설정해야 합니다.

Panther 콘솔의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.
클릭 새로 만들기.
사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요.
선택 AWS WAF Web ACL.
선택 AWS S3 버킷 소스로 설정을 시작합니다. 다음을 따르세요 S3를 데이터 전송용으로 구성하는 Panther 문서.

Panther 제작 탐지

Panther의 사전 작성된 AWS 규칙은 panther-analysis Github 리포지토리.

지원되는 AWS WAF 로그

AWS.WAFWebACL

WAFWebACL 로그는 웹 액세스 제어 목록(ACL) 트래픽 정보를 나타냅니다. 자세한 내용은 웹 ACL 트래픽 로깅에 대한 AWS 문서.

스키마: AWS.WAFWebACL
파서:
  네이티브:
    이름: AWS.WAFWebACL
설명: WAF 웹 ACL 트래픽 정보 로그입니다.
참조 URL: https://docs.aws.amazon.com/waf/latest/developerguide/logging.html
필드:
  - 이름: action
    필수: true
    설명: 'WAF가 적용한 동작입니다. 종료 규칙에 대한 가능한 값: ALLOW 및 BLOCK. COUNT는 종료 규칙에 대한 유효한 값이 아닙니다.'
    유형: 문자열
  - 이름: formatVersion
    설명: 로그의 형식 버전입니다.
    유형: smallint
  - 이름: httpRequest
    필수: true
    설명: 요청에 대한 메타데이터입니다.
    유형: 객체
    필드:
      - 이름: args
        설명: HTTP 요청 쿼리 문자열입니다.
        유형: 문자열
      - 이름: clientIp
        설명: 요청을 보내는 클라이언트의 IP 주소입니다.
        유형: 문자열
        지표:
          - ip
      - 이름: country
        설명: 요청의 출발 국가입니다. AWS WAF가 출처 국가를 확인할 수 없는 경우 이 필드를 -로 설정합니다.
        유형: 문자열
      - 이름: headers
        설명: 헤더 목록입니다.
        유형: 배열
        요소:
          유형: 객체
          필드:
            - 이름: name
              설명: 헤더 이름입니다.
              유형: 문자열
            - 이름: value
              설명: 헤더 값입니다.
              유형: 문자열
      - 이름: httpMethod
        설명: 요청의 HTTP 메서드입니다.
        유형: 문자열
      - 이름: httpVersion
        설명: HTTP 버전, 예: HTTP/2.0.
        유형: 문자열
      - 이름: requestId
        설명: 기본 호스트 서비스에서 생성한 요청 ID입니다. Application Load Balancer의 경우 이는 추적 ID입니다. 그 외의 경우에는 요청 ID입니다.
        유형: 문자열
        지표:
          - trace_id
      - 이름: uri
        설명: 요청의 URI입니다.
        유형: 문자열
  - 이름: httpSourceId
    필수: true
    설명: 소스 ID입니다. 이 필드는 연관된 리소스의 ID를 표시합니다.
    유형: 문자열
  - 이름: httpSourceName
    설명: '요청의 출처입니다. 가능한 값: Amazon CloudFront의 경우 CF, Amazon API Gateway의 경우 APIGW, Application Load Balancer의 경우 ALB, AWS AppSync의 경우 APPSYNC.'
    유형: 문자열
  - 이름: nonTerminatingMatchingRules
    설명: 요청과 일치하는 규칙 그룹의 비종결 규칙 목록입니다. 이들은 항상 COUNT 규칙(일치하는 비종결 규칙)입니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: ruleId
          설명: 규칙 ID입니다.
          유형: 문자열
        - 이름: action
          설명: 구성된 규칙 동작입니다. 비종결 규칙의 경우 값은 항상 COUNT입니다.
          유형: 문자열
        - 이름: ruleMatchDetails
          설명: 요청과 일치한 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다.
          유형: 배열
          요소:
            유형: 객체
            필드:
              - 이름: conditionType
                설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다
                유형: 문자열
              - 이름: location
                설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다.
                유형: 문자열
              - 이름: matchedData
                설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"]
                유형: 배열
                요소:
                  유형: 문자열
  - 이름: rateBasedRuleList
    설명: 요청에 적용된 속도 기반 규칙 목록입니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: limitKey
          설명: 'AWS WAF가 요청이 단일 출처에서 오는 것으로 보이며 속도 모니터링 대상인지 결정하는 데 사용하는 필드입니다. 가능한 값: IP.'
          유형: 문자열
        - 이름: limitValue
          설명: 속도 제한을 위해 요청을 집계하는 데 속도 기반 규칙이 사용하는 IP 주소입니다. 요청에 유효하지 않은 IP 주소가 포함된 경우 limitValue는 INVALID입니다.
          유형: 문자열
        - 이름: maxRateAllowed
          설명: limitKey로 지정된 필드에서 동일한 값을 가진 요청이 5분 동안 허용되는 최대 요청 수입니다. 요청 수가 maxRateAllowed를 초과하고 규칙에 지정된 다른 조건들도 충족되면 AWS WAF는 해당 규칙에 지정된 동작을 트리거합니다.
          유형: bigint
        - 이름: rateBasedRuleId
          설명: 요청에 적용된 속도 기반 규칙의 ID입니다. 이 규칙이 요청을 종료한 경우 rateBasedRuleId의 ID는 terminatingRuleId의 ID와 동일합니다.
          유형: 문자열
        - 이름: rateBasedRuleName
          설명: 요청에 적용된 속도 기반 규칙의 이름입니다.
          유형: 문자열
  - 이름: ruleGroupList
    설명: 이 요청에 적용된 규칙 그룹 목록입니다. 앞의 코드 예제에서는 하나만 있습니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: excludedRules
          설명: 규칙 그룹에서 제외한 규칙 목록입니다. 이러한 규칙의 동작은 COUNT로 설정됩니다.
          유형: 배열
          요소:
            유형: 객체
            필드:
              - 이름: exclusionType
                설명: 제외된 규칙이 동작 COUNT임을 나타내는 유형입니다(가장 가능성이 높은 값은 EXCLUDED_AS_COUNT입니다).
                유형: 문자열
              - 이름: ruleId
                설명: 제외된 규칙 그룹 내 규칙의 ID입니다.
                유형: 문자열
        - 이름: nonTerminatingMatchingRules
          설명: 요청과 일치하는 규칙 그룹의 비종결 규칙 목록입니다. 이들은 항상 COUNT 규칙(일치하는 비종결 규칙)입니다.
          유형: 배열
          요소:
            유형: 객체
            필드:
              - 이름: ruleId
                설명: 규칙 ID입니다.
                유형: 문자열
              - 이름: action
                설명: 구성된 규칙 동작입니다. 비종결 규칙의 경우 값은 항상 COUNT입니다.
                유형: 문자열
              - 이름: ruleMatchDetails
                설명: 요청과 일치한 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다.
                유형: 배열
                요소:
                  유형: 객체
                  필드:
                    - 이름: conditionType
                      설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다
                      유형: 문자열
                    - 이름: location
                      설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다.
                      유형: 문자열
                    - 이름: matchedData
                      설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"]
                      유형: 배열
                      요소:
                        유형: 문자열
        - 이름: ruleGroupId
          설명: 규칙 그룹의 ID입니다. 규칙이 요청을 차단한 경우 ruleGroupID의 ID는 terminatingRuleId의 ID와 동일합니다.
          유형: 문자열
        - 이름: terminatingRule
          설명: 요청을 종료한 규칙 그룹 내의 규칙입니다. 이 값이 null이 아닌 경우 ruleid와 action도 포함합니다. 이 경우 동작은 항상 BLOCK입니다.
          유형: 객체
          필드:
            - 이름: ruleId
              설명: 규칙 ID입니다.
              유형: 문자열
            - 이름: action
              설명: 구성된 규칙 동작입니다. 비종결 규칙의 경우 값은 항상 COUNT입니다.
              유형: 문자열
            - 이름: ruleMatchDetails
              설명: 요청과 일치한 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다.
              유형: 배열
              요소:
                유형: 객체
                필드:
                  - 이름: conditionType
                    설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다
                    유형: 문자열
                  - 이름: location
                    설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다.
                    유형: 문자열
                  - 이름: matchedData
                    설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"]
                    유형: 배열
                    요소:
                      유형: 문자열
  - 이름: terminatingRuleId
    설명: 요청을 종료한 규칙의 ID입니다. 아무 것도 요청을 종료하지 않으면 값은 Default_Action입니다.
    유형: 문자열
  - 이름: terminatingRuleMatchDetails
    설명: 요청과 일치한 종료 규칙에 대한 자세한 정보입니다. 종료 규칙은 웹 요청에 대한 검사 프로세스를 종료하는 동작을 가집니다. 종료 규칙의 가능한 동작은 ALLOW와 BLOCK입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다. 둘 이상의 항목을 검사하는 모든 규칙 문장과 마찬가지로 AWS WAF는 첫 번째 일치에서 동작을 적용하고 웹 요청 검사를 중단합니다. 종료 동작을 가진 웹 요청은 로그에 보고된 항목 외에 다른 위협을 포함할 수 있습니다.
    유형: 배열
    요소:
      유형: 객체
      필드:
        - 이름: conditionType
          설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다
          유형: 문자열
        - 이름: location
          설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다.
          유형: 문자열
        - 이름: matchedData
          설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"]
          유형: 배열
          요소:
            유형: 문자열
  - 이름: terminatingRuleType
    설명: '요청을 종료한 규칙의 유형입니다. 가능한 값: RATE_BASED, REGULAR, GROUP, 및 MANAGED_RULE_GROUP.'
    유형: 문자열
  - 이름: timestamp
    필수: true
    설명: 밀리초 단위의 타임스탬프입니다.
    유형: timestamp
    시간 형식: unix_ms
    isEventTime: true
  - 이름: webaclId
    필수: true
    설명: 웹 ACL의 GUID입니다.
    유형: 문자열

PreviousAWS VPC NextAxonius 로그(베타)

Last updated 2 years ago

Was this helpful?

스키마: AWS.WAFWebACL 파서: 네이티브: 이름: AWS.WAFWebACL 설명: WAF 웹 ACL 트래픽 정보 로그입니다. 참조 URL: https://docs.aws.amazon.com/waf/latest/developerguide/logging.html 필드: - 이름: action 필수: true 설명: 'WAF가 적용한 동작입니다. 종료 규칙에 대한 가능한 값: ALLOW 및 BLOCK. COUNT는 종료 규칙에 대한 유효한 값이 아닙니다.' 유형: 문자열 - 이름: formatVersion 설명: 로그의 형식 버전입니다. 유형: smallint - 이름: httpRequest 필수: true 설명: 요청에 대한 메타데이터입니다. 유형: 객체 필드: - 이름: args 설명: HTTP 요청 쿼리 문자열입니다. 유형: 문자열 - 이름: clientIp 설명: 요청을 보내는 클라이언트의 IP 주소입니다. 유형: 문자열 지표: - ip - 이름: country 설명: 요청의 출발 국가입니다. AWS WAF가 출처 국가를 확인할 수 없는 경우 이 필드를 -로 설정합니다. 유형: 문자열 - 이름: headers 설명: 헤더 목록입니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: name 설명: 헤더 이름입니다. 유형: 문자열 - 이름: value 설명: 헤더 값입니다. 유형: 문자열 - 이름: httpMethod 설명: 요청의 HTTP 메서드입니다. 유형: 문자열 - 이름: httpVersion 설명: HTTP 버전, 예: HTTP/2.0. 유형: 문자열 - 이름: requestId 설명: 기본 호스트 서비스에서 생성한 요청 ID입니다. Application Load Balancer의 경우 이는 추적 ID입니다. 그 외의 경우에는 요청 ID입니다. 유형: 문자열 지표: - trace_id - 이름: uri 설명: 요청의 URI입니다. 유형: 문자열 - 이름: httpSourceId 필수: true 설명: 소스 ID입니다. 이 필드는 연관된 리소스의 ID를 표시합니다. 유형: 문자열 - 이름: httpSourceName 설명: '요청의 출처입니다. 가능한 값: Amazon CloudFront의 경우 CF, Amazon API Gateway의 경우 APIGW, Application Load Balancer의 경우 ALB, AWS AppSync의 경우 APPSYNC.' 유형: 문자열 - 이름: nonTerminatingMatchingRules 설명: 요청과 일치하는 규칙 그룹의 비종결 규칙 목록입니다. 이들은 항상 COUNT 규칙(일치하는 비종결 규칙)입니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: ruleId 설명: 규칙 ID입니다. 유형: 문자열 - 이름: action 설명: 구성된 규칙 동작입니다. 비종결 규칙의 경우 값은 항상 COUNT입니다. 유형: 문자열 - 이름: ruleMatchDetails 설명: 요청과 일치한 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: conditionType 설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다 유형: 문자열 - 이름: location 설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다. 유형: 문자열 - 이름: matchedData 설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"] 유형: 배열 요소: 유형: 문자열 - 이름: rateBasedRuleList 설명: 요청에 적용된 속도 기반 규칙 목록입니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: limitKey 설명: 'AWS WAF가 요청이 단일 출처에서 오는 것으로 보이며 속도 모니터링 대상인지 결정하는 데 사용하는 필드입니다. 가능한 값: IP.' 유형: 문자열 - 이름: limitValue 설명: 속도 제한을 위해 요청을 집계하는 데 속도 기반 규칙이 사용하는 IP 주소입니다. 요청에 유효하지 않은 IP 주소가 포함된 경우 limitValue는 INVALID입니다. 유형: 문자열 - 이름: maxRateAllowed 설명: limitKey로 지정된 필드에서 동일한 값을 가진 요청이 5분 동안 허용되는 최대 요청 수입니다. 요청 수가 maxRateAllowed를 초과하고 규칙에 지정된 다른 조건들도 충족되면 AWS WAF는 해당 규칙에 지정된 동작을 트리거합니다. 유형: bigint - 이름: rateBasedRuleId 설명: 요청에 적용된 속도 기반 규칙의 ID입니다. 이 규칙이 요청을 종료한 경우 rateBasedRuleId의 ID는 terminatingRuleId의 ID와 동일합니다. 유형: 문자열 - 이름: rateBasedRuleName 설명: 요청에 적용된 속도 기반 규칙의 이름입니다. 유형: 문자열 - 이름: ruleGroupList 설명: 이 요청에 적용된 규칙 그룹 목록입니다. 앞의 코드 예제에서는 하나만 있습니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: excludedRules 설명: 규칙 그룹에서 제외한 규칙 목록입니다. 이러한 규칙의 동작은 COUNT로 설정됩니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: exclusionType 설명: 제외된 규칙이 동작 COUNT임을 나타내는 유형입니다(가장 가능성이 높은 값은 EXCLUDED_AS_COUNT입니다). 유형: 문자열 - 이름: ruleId 설명: 제외된 규칙 그룹 내 규칙의 ID입니다. 유형: 문자열 - 이름: nonTerminatingMatchingRules 설명: 요청과 일치하는 규칙 그룹의 비종결 규칙 목록입니다. 이들은 항상 COUNT 규칙(일치하는 비종결 규칙)입니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: ruleId 설명: 규칙 ID입니다. 유형: 문자열 - 이름: action 설명: 구성된 규칙 동작입니다. 비종결 규칙의 경우 값은 항상 COUNT입니다. 유형: 문자열 - 이름: ruleMatchDetails 설명: 요청과 일치한 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: conditionType 설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다 유형: 문자열 - 이름: location 설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다. 유형: 문자열 - 이름: matchedData 설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"] 유형: 배열 요소: 유형: 문자열 - 이름: ruleGroupId 설명: 규칙 그룹의 ID입니다. 규칙이 요청을 차단한 경우 ruleGroupID의 ID는 terminatingRuleId의 ID와 동일합니다. 유형: 문자열 - 이름: terminatingRule 설명: 요청을 종료한 규칙 그룹 내의 규칙입니다. 이 값이 null이 아닌 경우 ruleid와 action도 포함합니다. 이 경우 동작은 항상 BLOCK입니다. 유형: 객체 필드: - 이름: ruleId 설명: 규칙 ID입니다. 유형: 문자열 - 이름: action 설명: 구성된 규칙 동작입니다. 비종결 규칙의 경우 값은 항상 COUNT입니다. 유형: 문자열 - 이름: ruleMatchDetails 설명: 요청과 일치한 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: conditionType 설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다 유형: 문자열 - 이름: location 설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다. 유형: 문자열 - 이름: matchedData 설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"] 유형: 배열 요소: 유형: 문자열 - 이름: terminatingRuleId 설명: 요청을 종료한 규칙의 ID입니다. 아무 것도 요청을 종료하지 않으면 값은 Default_Action입니다. 유형: 문자열 - 이름: terminatingRuleMatchDetails 설명: 요청과 일치한 종료 규칙에 대한 자세한 정보입니다. 종료 규칙은 웹 요청에 대한 검사 프로세스를 종료하는 동작을 가집니다. 종료 규칙의 가능한 동작은 ALLOW와 BLOCK입니다. 이 필드는 SQL 인젝션 및 교차 사이트 스크립팅(XSS) 일치 규칙 문장에 대해서만 채워집니다. 둘 이상의 항목을 검사하는 모든 규칙 문장과 마찬가지로 AWS WAF는 첫 번째 일치에서 동작을 적용하고 웹 요청 검사를 중단합니다. 종료 동작을 가진 웹 요청은 로그에 보고된 항목 외에 다른 위협을 포함할 수 있습니다. 유형: 배열 요소: 유형: 객체 필드: - 이름: conditionType 설명: 취약점 유형으로, SQL_INJECTION 또는 XSS 중 하나입니다 유형: 문자열 - 이름: location 설명: 일치를 제공한 요청 매개변수 유형입니다. ALL_QUERY_ARGS, HEADER 등일 수 있습니다. 유형: 문자열 - 이름: matchedData 설명: 일치를 제공하는 문자열 목록, 예: ["10", "AND", "1"] 유형: 배열 요소: 유형: 문자열 - 이름: terminatingRuleType 설명: '요청을 종료한 규칙의 유형입니다. 가능한 값: RATE_BASED, REGULAR, GROUP, 및 MANAGED_RULE_GROUP.' 유형: 문자열 - 이름: timestamp 필수: true 설명: 밀리초 단위의 타임스탬프입니다. 유형: timestamp 시간 형식: unix_ms isEventTime: true - 이름: webaclId 필수: true 설명: 웹 ACL의 GUID입니다. 유형: 문자열

hashtag개요

hashtagAWS 온보딩 방법 WAF 로그를 Panther로

hashtagPanther 제작 탐지

hashtag지원되는 AWS WAF 로그

hashtagAWS.WAFWebACL

개요

AWS 온보딩 방법 WAF 로그를 Panther로

Panther 제작 탐지

지원되는 AWS WAF 로그

AWS.WAFWebACL