search
Knowledge BaseRelease NotesRequest Demo

Cloudflare 로그

Cloudflare 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 Cloudflare의 Logpusharrow-up-right 서비스를 통해 Cloudflare 로그 수집을 지원합니다. 이 서비스는 로그를 Amazon Web Services(AWS) S3, Google Cloud Storage(GCS) 또는 Azure Blob Storage로 직접 스트리밍합니다.

circle-info

Cloudflare의 Logpush는 Cloudflare 엔터프라이즈 고객에게만 제공된다는 점에 유의하세요. 이 페이지의 일부 Cloudflare 로그 유형(예: 감사 로그arrow-up-right)은 Logpush 없이 가져올 수 있을 수 있지만, Panther에서 지원하는 스키마는 Logpush로 전달될 때의 데이터 구조에 의존합니다.

circle-info

Panther는 Cloudflare에서 제공되는 30개 이상의 로그 유형 중 네 가지를 기본적으로 지원합니다. Cloudflare 데이터셋에 지원되지 않는 로그 유형이 포함된 경우 대신 S3 데이터 전송 소스.

다음 중 어느 것이든 연결할 수 있습니다 Panther에서 관리하는 Cloudflare 스키마 (다음을 제외하고 Cloudflare.Firewall) 이 맞춤 로그 소스에 그대로 연결할 수 있습니다. 방화벽 로그의 경우 관리되는 Cloudflare.Firewall 스키마를 복제하고 kind 필드를 편집하여 required: true.

추가 로그 유형이 있는 경우 샘플 이벤트로부터 구조를 자동 생성하는 XML:arrow-up-right 기능을 사용하여 새 맞춤 스키마를 생성하는 것이 좋습니다.

hashtag
Cloudflare 로그를 Panther에 온보딩하는 방법

Cloudflare 로그는 S3 버킷, GCS 버킷 또는 Azure Blob 소스로 스트리밍하여 Panther에 수집할 수 있습니다.

hashtag
전제 조건

  • AWS 계정에서 새 S3 버킷을 생성하세요.

    • Cloudflare 로그 전용으로 새 S3 버킷을 생성하는 것을 권장합니다. 기본 설정을 사용할 수 있습니다.

    • 버킷을 생성하는 리전을 기록해 두세요. 해당 리전을 Cloudflare에 제공해야 합니다.

hashtag
1단계: Panther에서 Cloudflare 소스 설정

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. “Cloudflare”를 검색한 다음 해당 타일을 클릭하세요.

    • 슬라이드 아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운이 미리 채워져 있으며 AWS S3 버킷 옵션. 이 선택을 그대로 두거나 Pub/Sub 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Azure Blob Storage.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

  5. 선택한 데이터 전송 구성에 대해서는 Panther 문서를 따르세요: AWS S3, Pub/Sub 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Azure Blob Storage.

hashtag
2단계: Logpush를 구성하여 로그를 클라우드 스토리지 위치로 스트리밍

circle-info

Logpush 작업의 데이터셋 유형을 선택할 때 Cloudflare에는 계정 범위 데이터와 존(zone) 범위 데이터 옵션이 있다는 점을 유의하세요. 감사 로그 은(는) 계정 범위인 반면 Firewall, HttpRequestSpectrum 은(는) 존 범위입니다.

hashtag
Panther 관리 디텍션

참조 Panther 관리 Panther의 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 로그 유형

hashtag
Cloudflare.Audit

Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 요구하므로 다음 필드를 포함해야 합니다, IDResourceType 필드는 Panther에서 필요하므로 포함해야 합니다.

hashtag
Cloudflare.Firewall

Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요하므로 "Datetime" 필드를 포함해야 합니다.

참고: 로그 필드 방화벽에 대한 Cloudflare 문서.arrow-up-right

hashtag
Cloudflare.HttpRequest

Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요하므로 "EdgeStartTimestamp" 필드를 포함해야 합니다.

참고: 로그 필드 요청에 대한 Cloudflare 문서.arrow-up-right

hashtag
Cloudflare.Spectrum

Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요하므로 "Timestamp" 필드를 포함해야 합니다.

참고: 로그 필드 Spectrum 이벤트에 대한 Cloudflare 문서.arrow-up-right

이전Cisco Umbrella 로그다음CrowdStrike 로그

마지막 업데이트

도움이 되었나요?