# 기술 파트너 로그 소스 통합 이 페이지는 다음을 위한 지침을 제공합니다 [Panther 기술 파트너](https://panther.com/partners/) Panther의 데이터 전송(Data Transport) 소스 중 하나로 로그를 전송하여 제품을 Panther와 통합하는 사람들 [데이터 전송 소스](https://docs.panther.com/ko/data-onboarding/data-transports)—예를 들어, [S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) 또는 [HTTP 엔드포인트](https://docs.panther.com/ko/data-onboarding/data-transports/http). 대신 로그 풀링 통합을 생성해야 하는 경우 Panther Tech Partner 팀과 직접 협력해 주세요. 대신 알러트(Alert) 대상 통합을 만들고 싶다면, [Tech Partner 알러트 대상 통합](https://docs.panther.com/ko/alerts/tech-partner). 커스텀 로그 수집에 대한 정보를 찾는 Panther 고객이라면, [커스텀 로그 문서](https://docs.panther.com/ko/data-onboarding/custom-log-types). ## 1단계: Panther의 기술 파트너 팀에 연락 * [이 양식을 작성하세요](https://panther.com/partners/request/) 우리의 기술 파트너 팀에 연락하려면. * Tech Partner 팀과 협력하여 NFR(재판매용 아님) Panther 인스턴스와 공유 Slack 채널에 대한 액세스를 받게 됩니다. ## 2단계: 통합 방법 결정 * 애플리케이션이 이벤트를 HTTP URL(웹훅)로 내보낼 수 있다면, [HTTP 소스](https://docs.panther.com/ko/data-onboarding/data-transports/http) 지침에서 단계를 완료했습니다. * 사용자를 사용할 것이며, [HTTP 소스](https://docs.panther.com/ko/data-onboarding/data-transports/http) 로그 소스의 볼륨이 높고(예: 시간당 최소 1GB를 생성) 및/또는 그 [페이로드 크기가 HTTP 페이로드 제한을 초과하는](https://docs.panther.com/ko/data-transports/http#payload-requirements). * 애플리케이션이 이벤트를 S3 버킷으로 내보낼 수 있다면, [S3 소스 지침](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3). * 데이터가 다른 전송 옵션 중 하나를 사용할 수 있다면, 개별 [데이터 전송 문서](https://docs.panther.com/ko/data-onboarding/data-transports) 페이지를 참조하세요. ## 3단계: 스키마 및 테스트 생성 1. 데이터에 대해 하나 이상의 스키마를 생성하세요: 1. Panther에서 파싱할 수 있도록 하려는 모든 샘플 데이터를 생성하거나 수집하세요. 2. 생성해야 할 로그 스키마 수를 결정하세요—참조: [필요한 커스텀 스키마 수 결정](https://docs.panther.com/ko/custom-log-types#determine-how-many-custom-schemas-you-need) 커스텀 로그 문서에서. 3. 샘플 데이터를 사용하여 스키마를 추론하세요. * 다음에서 [Panther 콘솔에서 스키마 추론](https://docs.panther.com/ko/custom-log-types#how-to-define-a-custom-schema) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [CLI에서 pantherlog을 사용하여](https://docs.panther.com/ko/panther/pantherlog#infer-generate-a-schema-from-json-log-samples). * 두 개 이상의 스키마를 추론하는 경우 다음 방법 중 하나를 사용하는 것이 권장됩니다: [샘플 로그에서 커스텀 스키마 추론](https://docs.panther.com/ko/custom-log-types#inferring-a-custom-schema-from-sample-logs) 방법 또는 [이력 S3 데이터에서 커스텀 스키마 추론](https://docs.panther.com/ko/custom-log-types#inferring-custom-schemas-from-historical-s3-data) 방법. 4. 다음 항목에 대해 추론된 스키마를 검토하세요: * 두 개 이상의 스키마를 생성했고 공통의 `필수` 속성을 가지고 있다면, 이벤트 분류 프로세스는 수신 이벤트가 어떤 스키마에 속하는지 스키마의 `필수` 속성을 기반으로 결정하므로 이벤트가 잘못 분류될 수 있습니다. `필수` 스키마에 동일한 * 만약 `타임스탬프` 속성이 있고 구별할 수 없다면 스키마 병합을 고려하세요. `isEventTime: true`필드는 이벤트가 발생한 시간을 정의하는 데 사용할 수 있으므로, 해당 필드에 `을 클릭하여 전송하십시오. 알러트 활동에서 수동 알러트 전달 기록을 볼 수 있습니다.` 로 표시하지 않으면 그 * 가 이벤트 시간으로 사용되어 오해를 불러일으킬 수 있습니다. [분류\_실패](https://docs.panther.com/ko/data-onboarding/custom-log-types/transformations) 탐지나 검색에서 이벤트를 참조하거나 조작하기 쉽게 만드는 데 도움이 될 수 있는 5. 항목을 고려하세요. * 스키마를 내보내세요. [CLI에서 pantherlog을 사용하여](https://docs.panther.com/ko/panther/pantherlog#export-schemas-export-panther-managed-schemas)스키마를 2. 또는 Panther 콘솔에서 복사하여 텍스트 파일에 붙여넣을 수 있습니다. `각 스키마에 대해` \\_tests.yml * 파일을 생성하세요. [스키마 테스트 파일 생성하기](https://docs.panther.com/ko/panther/pantherlog#creating-a-schema-test-file). ### 스키마 테스트 파일 생성 방법은 데이터가 Panther로 유입되고 있는지 확인하기 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 이 단계에서—조직용 로그 소스 타일이 Panther에 추가되기 전—통합을 테스트하기 위해 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool) 도구에서 실행되었습니다. 소스를 설정하는 것이 좋습니다. 소스를 구성한 후에는 [을 사용하여 데이터가 Panther로 수집되고 있는지 확인할 수 있습니다.](https://docs.panther.com/ko/search/search-tool)검색(Search)에 대해 더 알아보려면 1. Panther 콘솔의 왼쪽 탐색 창에서 **아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한** > **로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다**. 2. 일반 구성 [문서 페이지](https://docs.panther.com/ko/search/search-tool#table-filter) 를 참조하세요. 요약하면: 3. 오른쪽 상단의 테이블 드롭다운 필터에서 로그 소스의 스키마 이름을 클릭하세요. [필요한 경우](https://docs.panther.com/ko/search/search-tool#date-range-filter)날짜/시간 범위 필터 4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다**. * 를 조정하세요. ## 페이지 하단의 결과 테이블에서 이벤트를 찾으세요. Panther 콘솔에서 플랫폼을 설명하고 이 통합에 대한 문서 페이지를 생성하는 데 사용될 다음 정보를 포함한 텍스트 파일을 작성하세요: * 애플리케이션에 대한 설명 * 4단계: 통합에 대한 안내 정보 작성 * 지원되는 통합 방법 * 서비스에서 로그를 데이터 전송 소스로 전달하도록 애플리케이션에서 필요한 구성을 수행하는 방법에 대한 단계별 지침 [지원되는 로그](https://docs.panther.com/ko/data-onboarding/supported-logs) 예시는 다음과 같이 데이터 전송을 사용하는 페이지를 참조하세요: [Auth0 로그](https://docs.panther.com/ko/data-onboarding/supported-logs/auth0) 와 [GitLab 로그](https://docs.panther.com/ko/data-onboarding/supported-logs/gitlab) * 이 지침이 공개 문서에 정리되어 있다면 해당 링크를 공유해도 됩니다 * 모든 주의사항 또는 제한 사항 * 통합의 일반적인 사용 사례. 고객이 Panther에서 로그 통합을 어떻게 사용할지 생각할 때 다음을 고려할 수 있습니다: * 수신한 알러트를 조사할 때 일반적인 조사 워크플로는 다음과 같습니다: [상관 룰](https://docs.panther.com/ko/detections/correlation-rules) 시스템의 보안 신호를 다른 로그 소스의 신호와 연관시켜 복합적인 위협 행위를 식별하기 위해 * Panther의 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool) 를 사용하여 이벤트에서 찾은 식별자(예: 이메일 주소, IP 주소 또는 AWS ARN)로 시작해(피벗) 조사 시 다른 시스템(예: Okta)의 로그를 검색할 수 있습니다 ## 5단계: 검토를 위해 Panther에 제출 1. 다음 파일들을 압축(zip)하세요: * 4단계에서 작성한 정보의 텍스트 파일 * 스키마 및 해당 `각 스키마에 대해` 파일들 * 원시 테스트 데이터 * 정사각형 `.svg` 애플리케이션 로고의 파일 2. 압축된 파일을 공유된 Slack 채널을 통해 Panther로 전송하세요. zip 파일을 제출한 후, 기술 파트너 팀이 다음 단계를 조율하기 위해 귀사와 협력할 것입니다. ## 6단계(선택 사항): 로그 소스용 디텍션 생성 1. Python [디택션](https://docs.panther.com/ko/detections) 을(를) 로그 소스용으로 작성하세요. * 디텍션을 제공하면 통합 채택이 촉진되므로 이를 적극 권장합니다. * 참조 [Python 디텍션 작성](https://docs.panther.com/ko/detections/rules/python) 시작 방법을 배우고 전체 예시는 [`panther-analysis` GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/release/rules). 2. 감지 콘텐츠에 대한 풀 리퀘스트를 공개 [저장소에 제출하세요 `panther-analysis` GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/pulls). * 다음을 따르세요: [기여 가이드라인](https://github.com/panther-labs/panther-analysis/blob/release/CONTRIBUTING.md) 와 [스타일 가이드](https://github.com/panther-labs/panther-analysis/blob/release/STYLE_GUIDE.md).