기술 파트너 로그 소스 통합

이 페이지는 다음을 위한 지침을 제공합니다 Panther 기술 파트너 Panther의 데이터 전송(Data Transport) 소스 중 하나로 로그를 전송하여 제품을 Panther와 통합하는 사람들 데이터 전송 소스—예를 들어, S3 버킷 또는 HTTP 엔드포인트. 대신 로그 풀링 통합을 생성해야 하는 경우 Panther Tech Partner 팀과 직접 협력해 주세요.

대신 알러트(Alert) 대상 통합을 만들고 싶다면, Tech Partner 알러트 대상 통합. 커스텀 로그 수집에 대한 정보를 찾는 Panther 고객이라면, 커스텀 로그 문서.

1단계: Panther의 기술 파트너 팀에 연락

• 이 양식을 작성하세요 우리의 기술 파트너 팀에 연락하려면.

  • Tech Partner 팀과 협력하여 NFR(재판매용 아님) Panther 인스턴스와 공유 Slack 채널에 대한 액세스를 받게 됩니다.

2단계: 통합 방법 결정

• 애플리케이션이 이벤트를 HTTP URL(웹훅)로 내보낼 수 있다면, HTTP 소스 지침에서 단계를 완료했습니다.

  • 사용자를 사용할 것이며, HTTP 소스 로그 소스의 볼륨이 높고(예: 시간당 최소 1GB를 생성) 및/또는 그 페이로드 크기가 HTTP 페이로드 제한을 초과하는.

• 애플리케이션이 이벤트를 S3 버킷으로 내보낼 수 있다면, S3 소스 지침.

• 데이터가 다른 전송 옵션 중 하나를 사용할 수 있다면, 개별 데이터 전송 문서 페이지를 참조하세요.

3단계: 스키마 및 테스트 생성

1. 데이터에 대해 하나 이상의 스키마를 생성하세요:

   1. Panther에서 파싱할 수 있도록 하려는 모든 샘플 데이터를 생성하거나 수집하세요.

   2. 생성해야 할 로그 스키마 수를 결정하세요—참조: 필요한 커스텀 스키마 수 결정 커스텀 로그 문서에서.

   3. 샘플 데이터를 사용하여 스키마를 추론하세요.

      • 다음에서 Panther 콘솔에서 스키마 추론 이전에 생성한 Snowflake 사용자 이름, 예를 들면 CLI에서 pantherlog을 사용하여.

      • 두 개 이상의 스키마를 추론하는 경우 다음 방법 중 하나를 사용하는 것이 권장됩니다: 샘플 로그에서 커스텀 스키마 추론 방법 또는 이력 S3 데이터에서 커스텀 스키마 추론 방법.

   4. 다음 항목에 대해 추론된 스키마를 검토하세요:

      • 두 개 이상의 스키마를 생성했고 공통의 필수 속성을 가지고 있다면, 이벤트 분류 프로세스는 수신 이벤트가 어떤 스키마에 속하는지 스키마의 필수 속성을 기반으로 결정하므로 이벤트가 잘못 분류될 수 있습니다. 필수 스키마에 동일한

      • 만약 타임스탬프 속성이 있고 구별할 수 없다면 스키마 병합을 고려하세요. isEventTime: true필드는 이벤트가 발생한 시간을 정의하는 데 사용할 수 있으므로, 해당 필드에 을 클릭하여 전송하십시오. 알러트 활동에서 수동 알러트 전달 기록을 볼 수 있습니다. 로 표시하지 않으면 그

      • 가 이벤트 시간으로 사용되어 오해를 불러일으킬 수 있습니다. 분류_실패 탐지나 검색에서 이벤트를 참조하거나 조작하기 쉽게 만드는 데 도움이 될 수 있는

   5. 항목을 고려하세요.

      • 스키마를 내보내세요. CLI에서 pantherlog을 사용하여스키마를

2. 또는 Panther 콘솔에서 복사하여 텍스트 파일에 붙여넣을 수 있습니다. 각 스키마에 대해 <schema_name>_tests.yml

   • 파일을 생성하세요. 스키마 테스트 파일 생성하기.

스키마 테스트 파일 생성 방법은

데이터가 Panther로 유입되고 있는지 확인하기 데이터 전송 이 단계에서—조직용 로그 소스 타일이 Panther에 추가되기 전—통합을 테스트하기 위해 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 도구에서 실행되었습니다.

소스를 설정하는 것이 좋습니다. 소스를 구성한 후에는 을 사용하여 데이터가 Panther로 수집되고 있는지 확인할 수 있습니다.검색(Search)에 대해 더 알아보려면

1. Panther 콘솔의 왼쪽 탐색 창에서 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 > 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

2. 일반 구성 문서 페이지 를 참조하세요. 요약하면:

3. 오른쪽 상단의 테이블 드롭다운 필터에서 로그 소스의 스키마 이름을 클릭하세요. 필요한 경우날짜/시간 범위 필터

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

   • 를 조정하세요.

페이지 하단의 결과 테이블에서 이벤트를 찾으세요.

Panther 콘솔에서 플랫폼을 설명하고 이 통합에 대한 문서 페이지를 생성하는 데 사용될 다음 정보를 포함한 텍스트 파일을 작성하세요:

• 애플리케이션에 대한 설명

• 4단계: 통합에 대한 안내 정보 작성

• 지원되는 통합 방법

  • 서비스에서 로그를 데이터 전송 소스로 전달하도록 애플리케이션에서 필요한 구성을 수행하는 방법에 대한 단계별 지침 지원되는 로그 예시는 다음과 같이 데이터 전송을 사용하는 페이지를 참조하세요: Auth0 로그 와 GitLab 로그

  • 이 지침이 공개 문서에 정리되어 있다면 해당 링크를 공유해도 됩니다

• 모든 주의사항 또는 제한 사항

• 통합의 일반적인 사용 사례. 고객이 Panther에서 로그 통합을 어떻게 사용할지 생각할 때 다음을 고려할 수 있습니다:

  • 수신한 알러트를 조사할 때 일반적인 조사 워크플로는 다음과 같습니다: 상관 룰 시스템의 보안 신호를 다른 로그 소스의 신호와 연관시켜 복합적인 위협 행위를 식별하기 위해

  • Panther의 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 를 사용하여 이벤트에서 찾은 식별자(예: 이메일 주소, IP 주소 또는 AWS ARN)로 시작해(피벗) 조사 시 다른 시스템(예: Okta)의 로그를 검색할 수 있습니다

5단계: 검토를 위해 Panther에 제출

1. 다음 파일들을 압축(zip)하세요:

   • 4단계에서 작성한 정보의 텍스트 파일

   • 스키마 및 해당 각 스키마에 대해 파일들

   • 원시 테스트 데이터

   • 정사각형 .svg 애플리케이션 로고의 파일

2. 압축된 파일을 공유된 Slack 채널을 통해 Panther로 전송하세요.

zip 파일을 제출한 후, 기술 파트너 팀이 다음 단계를 조율하기 위해 귀사와 협력할 것입니다.

6단계(선택 사항): 로그 소스용 디텍션 생성

1. Python 디택션 을(를) 로그 소스용으로 작성하세요.

   • 디텍션을 제공하면 통합 채택이 촉진되므로 이를 적극 권장합니다.

   • 참조 Python 디텍션 작성 시작 방법을 배우고 전체 예시는 panther-analysis GitHub 리포지토리.

2. 감지 콘텐츠에 대한 풀 리퀘스트를 공개 저장소에 제출하세요 panther-analysis GitHub 리포지토리.

   • 다음을 따르세요: 기여 가이드라인 와 스타일 가이드.