기술 파트너 로그 소스 통합

이 페이지는 다음에 대한 지침을 제공합니다 Panther 기술 파트너 Panther의 데이터 전송(Data Transport) 소스 중 하나로 로그를 전송하여 제품을 통합하는 파트너 데이터 전송 소스—예를 들어, S3 버킷 또는 HTTP 엔드포인트. 대신 로그를 풀링(pull)하는 통합을 생성해야 하는 경우 Panther 기술 파트너 팀과 직접 협력하세요.

경보 대상(Alert Destination) 통합을 생성하려는 경우에는 기술 파트너 경보 대상 통합. 맞춤 로그 수집에 대한 정보를 찾는 Panther 고객이라면, 맞춤 로그 문서.

1단계: Panther의 기술 파트너 팀에 연락

• 이 양식을 작성하세요 기술 파트너 팀에 연락하려면.

  • 기술 파트너 팀과 협력하여 NFR(재판매용 아님) Panther 인스턴스와 공유 Slack 채널 접근 권한을 받게 됩니다.

단계 2: 통합 방법 결정

• 애플리케이션이 이벤트를 HTTP URL(웹후크)로 내보낼 수 있다면, HTTP 소스 지침.

  • 와 같이 반환할 수 있습니다(스타일 취향에 따라). HTTP 소스 로그 소스가 대용량(예: 시간당 최소 1GB를 전송)이고/또는 그 로그의 ...인 경우에는 권장되지 않습니다. 페이로드 크기가 HTTP 페이로드 한도를 초과하는.

• 애플리케이션이 이벤트를 S3 버킷으로 내보낼 수 있다면, S3 소스 안내.

• 데이터가 다른 전송 옵션 중 하나를 사용할 수 있다면, 각 데이터 전송 문서 페이지를 참조하세요.

단계 3: 스키마 및 테스트 생성

1. 데이터에 대한 하나 이상의 스키마를 생성하세요:

   1. Panther에서 파싱할 수 있기를 원하는 모든 샘플 데이터를 생성하거나 수집하세요.

   2. 생성해야 할 로그 스키마의 수를 결정하세요—참조: 필요한 맞춤 스키마 수 결정 맞춤 로그 관련 문서에서.

   3. 샘플 데이터를 사용하여 스키마를 유추하세요.

      • 다음에서 Panther 콘솔에서 스키마를 유추하기 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: CLI에서 pantherlog을 사용하여.

      • 여러 스키마를 유추하는 경우에는 다음 방법 중 하나를 사용하는 것이 권장됩니다: 샘플 로그에서 맞춤 스키마 유추 방법 또는 히스토리컬 S3 데이터에서 맞춤 스키마 유추 방법.

   4. 다음 항목들에 대해 유추된 스키마를 검토하세요:

      • 하나 이상의 스키마를 생성했고 공통의 필수 속성들이 있다면, 이벤트 분류 프로세스는 들어오는 이벤트가 어떤 스키마에 속하는지 스키마의 필수 속성을 기반으로 결정하기 때문에 이벤트가 잘못 분류될 수 있습니다. 필수 스키마에 동일한

      • 만약 로 표시하지 않습니다. 속성이 있고 구분할 수 없다면 스키마 병합을 고려하세요. isEventTime: true필드는 이벤트가 발생한 시간을 정의하는 데 사용할 수 있으므로, 해당 필드에 닫기, 댓글 달기 및 해결로 표시 를 표시하세요—그렇지 않으면 해당 필드의

      • 가 이벤트 시간으로 사용되어 오해를 일으킬 수 있습니다. 수집 필터 탐지나 검색에서 이벤트를 참조하거나 조작하기 쉽게 만드는 데 도움이 될 수 있는

   5. 를 고려하세요.

      • 스키마를 내보내세요. CLI에서 pantherlog을 사용하여스키마를

2. 할 수 있으며, 또는 Panther 콘솔에서 복사하여 텍스트 파일에 붙여넣을 수 있습니다. 각 스키마마다 <schema_name>_tests.yml

   • 파일을 생성하세요. _tests.yaml.

스키마 테스트 파일을 생성하는 방법은

데이터가 Panther로 유입되고 있는지 확인하기 데이터 전송 단계에서—조직의 로그 소스 타일이 Panther에 추가되기 전—테스트로 검색 보안 사고를 조사할 때가 되면 Panther의

소스를 설정하여 통합을 검증할 수 있습니다. 소스를 구성한 후에는 검색 관련 문서 페이지를 사용하여 데이터가 Panther로 수집되고 있는지 확인할 수 있으며, 높은 수준에서는:

1. Panther 콘솔의 왼쪽 탐색 바에서 검색에서 > 검색.

2. 에서 테이블 드롭다운 필터 오른쪽 상단에서 로그 소스의 스키마 이름을 클릭하세요.

3. 필요한 경우 날짜/시간 범위 필터를 조정하세요.

4. 를 클릭하세요 검색.

   • 페이지 하단의 결과 테이블에서 이벤트를 찾으세요.

단계 4: 통합에 대한 설명서 작성

다음 정보를 포함한 텍스트 파일을 생성해 주세요. 이 파일은 Panther 콘솔에서 플랫폼을 설명하고 해당 통합에 대한 문서 페이지를 생성하는 데 사용됩니다:

• 애플리케이션 설명

• 지원되는 통합 방법

• 서비스에서 데이터 전송 소스로 로그를 전달하도록 애플리케이션에서 필요한 구성 설정을 수행하는 단계별 지침

  • 예시로는 데이터 전송을 사용하는 다음 페이지들을 참조하세요, 예를 들어 지원되는 로그 Auth0 로그 Auth0 로그 및 GitLab 로그

  • 이 지침이 공개 문서에 설명되어 있다면 그 링크를 공유해도 됩니다.

• 모든 주의사항 또는 제한 사항

• 통합의 일반적인 사용 사례. 고객이 Panther에서 로그 통합을 어떻게 활용할지 생각할 때 다음을 고려할 수 있습니다:

  • 경고 조사 상관 규칙 귀하의 시스템에서 발생한 보안 신호를 다른 로그 소스의 신호와 연관시켜 복잡한 위협 행위를 식별하기 위해

  • Panther의 검색 를 사용하여 이벤트에서 찾은 식별자(예: 이메일 주소, IP 주소 또는 AWS ARN)를 기준으로 다른 시스템(예: Okta)의 로그 전체에서 이를 검색하여 조사 중에 활용

단계 5: Panther에 검토 요청 제출

1. 다음 파일들을 ZIP으로 압축하세요:

   • 단계 4의 정보가 담긴 텍스트 파일

   • 스키마 및 해당 각 스키마마다 파일들

   • 원시 테스트 데이터

   • 정사각형 .svg 애플리케이션 로고의 파일

2. 압축된 파일을 공유된 Slack 채널을 통해 Panther로 전송하세요.

zip 파일을 제출한 후 기술 파트너 팀이 다음 단계를 조율하기 위해 협력할 것입니다.

단계 6 (선택): 로그 소스용 탐지 생성

1. 파이썬 탐지 을(를) 로그 소스용으로 작성하세요.

   • 탐지를 제공하는 것이 권장됩니다. 탐지가 있으면 통합의 채택을 촉진할 수 있습니다.

   • 참조 파이썬 탐지 작성 시작 방법을 알아보려면 참조하고 전체 예시는 aws_s3_policies GitHub 리포지토리.

2. 감지(탐지) 콘텐츠로 퍼블릭 저장소에 Pull Request를 여세요, 대상은 퍼블릭 aws_s3_policies GitHub 리포지토리.

   • 다음을 준수하세요: 기여 지침 및 스타일 가이드.