테크 파트너 로그 소스 통합

이 페이지는 다음에 대한 지침을 제공합니다 Panther Technology Partners Panther의 다음 중 하나로 로그를 전송하여 자사 제품을 Panther와 통합하고 있는 분들 Data Transport 소스—예를 들어, S3 버킷 또는 HTTP 엔드포인트. 대신 로그 풀링 통합을 생성해야 하는 경우, Panther Tech Partner 팀과 직접 협력해 주세요.

대신 알러트 대상 통합을 생성하려면 다음을 참조하세요. Tech Partner 알러트 대상 통합. 커스텀 로그 수집에 대한 정보를 찾고 있는 Panther 고객이라면 다음을 참조하세요. Custom Logs 문서.

1단계: Panther의 기술 파트너 팀에 문의

• 이 양식을 작성하세요 당사의 기술 파트너 팀에 문의하려면

  • NFR(Not for Resale) Panther 인스턴스와 공유 Slack 채널에 대한 액세스를 얻기 위해 당사의 Tech Partner 팀과 협력하게 됩니다.

2단계: 통합 방법 결정

• 애플리케이션이 이벤트를 HTTP URL(웹훅)로 내보낼 수 있다면 다음을 참조하세요. HTTP Source 지침.

  • The HTTP 소스 로그 소스의 볼륨이 높거나(즉, 시간당 최소 1GB를 내보내는 경우) 및/또는 해당 소스의 경우에는 권장되지 않습니다. 페이로드 크기가 HTTP 페이로드 제한을 초과한다면.

• 애플리케이션이 이벤트를 S3 버킷으로 내보낼 수 있다면 다음을 참조하세요. S3 Source 지침.

• 데이터가 당사의 다른 전송 옵션 중 하나를 사용할 수 있다면, 개별 Data Transport 문서 페이지를 참조하세요.

3단계: 스키마 및 테스트 생성

1. 데이터에 대한 하나 이상의 스키마를 생성하세요:

   1. Panther에서 파싱할 수 있기를 원하는 모든 샘플 데이터를 생성하거나 수집하세요.

   2. 생성해야 할 로그 스키마 수를 결정하세요—다음을 참조하세요. 필요한 커스텀 스키마 수 결정 Custom Logs에서 확인하세요.

   3. 샘플 데이터를 사용하여 스키마를 추론하세요.

      • 다음을 Panther Console에서 스키마 추론하기 또는 CLI에서 pantherlog를 사용하여.

      • 둘 이상의 스키마를 추론하는 경우, 다음 중 하나를 사용하는 것이 권장됩니다. 샘플 로그에서 커스텀 스키마 추론하기 방법 또는 과거 S3 데이터에서 커스텀 스키마 추론하기 방법.

   4. 추론된 스키마에서 다음 사항을 검토하세요:

      • 둘 이상의 스키마를 생성했고 이들에 공통적인 필수 속성이 있는 경우, 이벤트 분류 프로세스는 들어오는 이벤트가 어떤 스키마에 속하는지 필수 스키마의 속성을 기준으로 결정하므로 이벤트가 잘못 분류될 수 있습니다. 스키마들이 동일한 필수 속성을 가지고 있고 이를 구분할 수 없다면, 스키마 병합을 고려하세요.

      • 만약 타임스탬프 필드를 이벤트 발생 시간을 정의하는 데 사용할 수 있다면, 이를 다음으로 표시하세요. isEventTime: true—그렇지 않으면 해당 필드의 p_parse_time 가 이벤트 시간으로 사용되며, 이는 오해를 불러일으킬 수 있습니다.

      • 다음 중 변환이 디택션 또는 검색에서 이벤트를 더 쉽게 참조하거나 조작하는 데 도움이 될 수 있는 항목을 고려하세요.

   5. 스키마를 내보내세요.

      • 스키마를 내보낼 수 있습니다 CLI에서 pantherlog를 사용하여, 또는 Panther Console에서 텍스트 파일로 복사하여 붙여넣을 수 있습니다.

2. 각 스키마에 대해 다음을 생성하세요. <schema_name>_tests.yml 파일.

   • 다음에서 스키마 테스트 파일을 만드는 방법을 알아보세요. 스키마 테스트 파일 만들기.

데이터가 Panther로 유입되고 있는지 확인하기

이 단계에서는—조직용 로그 소스 타일이 아직 Panther에 추가되기 전이므로—다음을 설정하여 통합을 테스트하고 싶을 수 있습니다. 데이터 전송 소스. 소스를 구성한 후에는 다음을 사용하여 데이터가 Panther로 수집되고 있는지 확인할 수 있습니다. 검색 도구에서 필터를 만들고 검색을 실행하는 연습을 해보세요.

Search에 대해 더 알아보려면 다음을 참조하세요. 해당 문서 페이지, 하지만 개괄적으로는 다음과 같습니다:

1. Panther Console의 왼쪽 탐색 모음에서 조사 > 검색.

2. 에서 테이블 드롭다운 필터 오른쪽 상단에서 로그 소스 스키마의 이름을 클릭하세요.

3. 다음을 조정하세요. 날짜/시간 범위 필터, 필요한 경우.

4. 클릭하세요. 검색.

   • 페이지 하단의 결과 테이블에서 이벤트를 찾으세요.

4단계: 통합에 대한 안내 정보 작성

다음 정보를 포함하는 텍스트 파일을 만들어 주세요. 이 정보는 Panther Console에서 귀하의 플랫폼을 설명하고 이 통합에 대한 문서 페이지를 생성하는 데 사용됩니다:

• 애플리케이션에 대한 설명

• 지원되는 통합 방법

• 서비스에서 Data Transport 소스로 로그를 전달할 수 있도록 애플리케이션에서 필요한 구성을 수행하는 단계별 지침

  • 예시는 다음 아래의 페이지를 참조하세요. 지원되는 로그 Data Transports를 사용하는 항목(예: Auth0 Logs 및 GitLab Logs

  • 이러한 지침이 공개 문서에 정리되어 있다면, 대신 해당 링크를 공유해도 됩니다

• 주의 사항 또는 제한 사항

• 통합의 일반적인 사용 사례. 고객이 Panther에서 귀하의 로그 통합을 어떻게 사용할 수 있을지 생각할 때 다음을 고려할 수 있습니다:

  • 사용 Correlation Rules 시스템의 보안 신호를 다른 로그 소스의 신호와 상관 분석하여 복잡한 위협 행위를 식별하기 위해

  • Panther의 다음 기능 사용 검색 조사 중에 이벤트에서 발견된 식별자(예: 이메일 주소, IP 주소 또는 AWS ARN)를 기준으로 피벗하여 다른 시스템(예: Okta)의 로그 전반에서 검색하기 위해

5단계: 검토를 위해 Panther에 제출

1. 다음 파일을 압축하세요:

   • 4단계의 정보가 담긴 텍스트 파일

   • 스키마와 해당 <schema_name>_tests.yml 파일

   • 원시 테스트 데이터

   • 정사각형 .svg 애플리케이션 로고 파일

2. 압축한 파일을 공유 Slack 채널을 통해 Panther로 보내세요.

zip 파일을 제출한 후, Tech Partner 팀이 다음 단계를 조율하기 위해 귀하와 협력할 것입니다.

6단계(선택 사항): 로그 소스용 디택션 생성

1. Python 작성 디택션 로그 소스를 위한 항목.

   • 디택션을 사용할 수 있으면 통합 채택이 촉진되므로, 이를 강력히 권장합니다.

   • 보기 Python 디택션 작성 시작 방법을 알아보고, 다음에서 전체 예제를 찾아보세요. panther-analysis GitHub 리포지토리.

2. 다음에 대해 귀하의 디택션 콘텐츠로 Pull Request를 여세요. 공개 panther-analysis GitHub 리포지토리.

   • 다음을 따라 주세요. 기여 가이드라인 및 스타일 가이드.