맞춤 풍부화

문자열

숫자

배열(문자열 또는 숫자의 배열)

"actor_email": "[email protected]","action": "LOGIN" 값은 # 수신 로그 이벤트 두"actor_email": "[email protected]", "action": "EXPORT_FILE".

두 이메일 주소(

다음 중 하나를 정의하여 이러한 보강을 수행할 수 있습니다:

• (권장) 문자열 배열 유형의 기본 키 열

• 문자열 유형의 기본 키 열

문자열 배열 유형의 기본 키 열을 가진 보강 테이블을 사용하면 제인의 여러 이메일 주소를 하나의 기본 키 항목에 포함시켜 하나의 데이터 행과 연결할 수 있습니다. 이는 다음과 같이 보일 수 있습니다:

또는 기본 키 열이 문자열 유형인 보강 테이블을 정의할 수 있습니다. 그러나 이벤트와 보강 테이블 간의 일치는 사용자 이메일 주소로 이루어지며 사용자는 여러 이메일 주소를 가질 수 있으므로(제인의 경우와 같이) 각 이메일마다 보강 테이블 행을 중복해야 합니다. 이는 다음과 같이 보일 것입니다:

두 옵션 모두 동일한 결과(즉, 로그 이벤트가 동일한 방식으로 보강됨)를 제공하지만, 문자열 배열 기본 키로 보강을 정의하는 것이 편의성과 유지보수 오류 발생 위험 감소 측면에서 권장됩니다.

Panther 콘솔의 왼쪽 탐색 표시줄에서 클릭하세요

1. 구성 보강. > 오른쪽 상단에서 클릭하세요

2. 새로 만들기, 그런 다음 선택하세요 사용자 지정 보강 대신 다음에서 시작할 수도 있습니다:.

   • 조사 > 데이터 탐색기 페이지에서 쿼리를 입력한 다음 클릭하세요 쿼리로 보강 생성 에서.

3. 보강 기본 정보 페이지, 필드를 작성하세요: 보강 이름

   • : 사용자 지정 보강에 대한 설명적인 이름.사용 설정?

   • : 이 토글이예 로 설정되어 있는지 확인하세요.. 이는 이 프로세스에서 나중에 데이터를 가져오기 위해 필요합니다.

   • 설명 - 선택 사항: 테이블에 대한 추가 컨텍스트.

   • 참조 - 선택 사항: 일반적으로 내부 리소스에 대한 하이퍼링크에 사용됩니다.

4. 클릭 계속.

5. 보강 기본 정보 가져오기 방법 선택 페이지에서 쿼리로 데이터 가져오기 타일에서 클릭하세요 선택.

   • 데이터 탐색기에서 시작한 경우 가져오기 방법이 자동으로 선택되고 이 페이지는 건너뜁니다. 데이터 탐색기 페이지.

6. 보강 기본 정보 연관된 로그 유형(선택 사항) 페이지에서 로그 유형/셀렉터를 지정하세요:

   이 단계는 기술적으로 선택 사항(즉, 로그 유형/셀렉터를 지정하지 않고 이 페이지를 건너뛸 수 있음)이지만, 로그가 보강되려면 이러한 지정이 필요합니다. 자동 매핑은 지원되지 않습니다. 자동 매핑 는 지원되지 않습니다.

   1. 클릭 로그 유형 추가.

   2. 클릭하세요 로그 유형 드롭다운에서 로그 유형을 선택하세요.

   3. 하나 이상의 LogType를 선택하세요. 보강으로 보강하려는 로그 유형의 외래 키 필드입니다.

      • 중첩된 객체의 속성은 JSON 경로 구문을(를) 사용하여 참조할 수도 있습니다. 예를 들어 맵의 필드를 참조하려면 다음을 입력할 수 있습니다: $.field.subfield.

   4. 클릭 로그 유형 추가 필요한 경우 다른 항목을 추가하려면.

7. 클릭 계속.

8. 보강 기본 정보 쿼리 설정 보강 이름

   • SQL 쿼리: 사용자 지정 보강에 대한 데이터를 반환하는 SQL 쿼리를 작성하세요. Data Explorer에서 Data Explorer에서 테스트.

     • 를 클릭하여 쿼리를 테스트할 수 있습니다. 쿼리가 Panther에서 수집된 데이터를 가져오는 경우 p_ 접두사로 시작하는 표준 필드

     • 를 제외하거나 이름을 바꾸도록 하세요. 이러한 이름은 예약된 이름입니다. 보강 스키마는 SQL 쿼리를 기반으로 생성됩니다. 예를 들어 쿼리를 수정하여 스키마 필드와 유형을 변경할 수 있습니다. 예: SELECT AVG(total_events)::FLOAT AS mean_total_events 는 float 형의 필드를 생성하고 이름을

   • mean_total_events로 지정합니다.

     • 일정 유형 및 빈도: 데이터 새로고침 빈도에 따라 스케줄링 빈도를 구성하세요. 다음 중에서 선택:

     • 주기: 쿼리를 고정된 시간 간격(예: 두 시간마다)으로 실행 크론

9. 클릭 계속: 크론 식을 사용하여 특정 날짜와 시간에 쿼리를 실행

10. 보강 기본 정보 크론 표현식 . Panther는 SQL 쿼리에서 자동으로 스키마를 생성합니다. 테이블 스키마 페이지에서 자동 생성된 스키마를 검토하고 드롭다운에서

11. 클릭 기본 키 이름을(를) 선택하세요.

12. 보강 생성 . 소스 설정 성공 페이지가 채워질 것입니다.선택적으로 로 설정되어 있는지 확인하세요. 데이터를 받지 못할 경우 알람 설정?

    • 를 설정하려면 토글을 스케줄된 검색을 사용하는 경우: 값은 일정 유형 및 빈도 으로 전환하세요.

    • 알람이 Panther에게 이 알림을 보낼 빈도를 나타내려면 필드를 작성하세요..

13. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면.

검색 기록 페이지

1. 구성 보강. > 에서 볼 수 있습니다..

2. 새로 만들기, 옵션 2: 파일 업로드로 사용자 지정 보강 데이터 가져오기.

3. 보강 기본 정보 Panther 콘솔 또는 PAT을 통해 파일 업로드로 데이터를 가져올 수 있습니다: Panther 콘솔을 통해 파일 업로드로 사용자 지정 보강 데이터 가져오기

   • : 사용자 지정 보강에 대한 설명적인 이름.사용 설정?

   • : 이 토글이예 로 설정되어 있는지 확인하세요.. 이는 이 프로세스에서 나중에 데이터를 가져오기 위해 필요합니다.

   • 설명 - 선택 사항: 테이블에 대한 추가 컨텍스트.

   • 참조 - 선택 사항: 일반적으로 내부 리소스에 대한 하이퍼링크에 사용됩니다.

4. 클릭 계속.

5. 보강 기본 정보 연관된 로그 유형(선택 사항) 보강

   • 클릭 로그 유형 추가.

   • 클릭하세요 로그 유형 드롭다운에서 로그 유형을 선택하세요.

   • 하나 이상의 LogType를 선택하세요. 보강으로 보강하려는 로그 유형의 외래 키 필드입니다.

     • 중첩된 객체의 속성은 JSON 경로 구문을(를) 사용하여 참조할 수도 있습니다. 예를 들어 맵의 필드를 참조하려면 다음을 입력할 수 있습니다: $.field.subfield.

   • 클릭 로그 유형 추가 새로 만들기 기본 정보 페이지: 페이지에서 선택적으로 로그 유형/셀렉터를 지정하세요: 필요한 경우 다른 항목을 추가하려면. 값은 위의 예시 화면에서 우리는 AWS.CloudTrail

6. 클릭 계속.

7. 보강 기본 정보 크론 표현식 로그를 선택하고accountID recipientAccountID를 CloudTrail 로그의 키를 나타내기 위해 입력했습니다. 페이지에서 테이블 스키마를 구성하세요: &#xNAN;참고: 아직 새 스키마를 생성하지 않았다면.

   • 스키마 생성에 대한 문서 를 참조하세요. 사용자 지정 보강 데이터를 사용하여 스키마를 유추할 수도 있습니다. 스키마를 생성한 후 보강을 구성하는 동안 테이블 스키마 페이지의 드롭다운에서 선택할 수 있습니다. 페이지에서 자동 생성된 스키마를 검토하고 드롭다운에서

   • 스키마 생성에 대한 문서 테이블 스키마 &#xNAN; 필요한 경우 다른 항목을 추가하려면..

8. 클릭 계속.

9. 보강 기본 정보 가져오기 방법 선택 페이지에서 참고: CSV 스키마는 사용자 지정 보강과 함께 작동하려면 열 헤더가 필요합니다 타일에서 클릭하세요 드롭다운에서.

10. 보강 기본 정보 스키마 이름 을(를) 선택하세요. 이는 테이블의 고유한 열(예: 파일 업로드로 가져오기 설정 파일 업로드 이 매핑은 인리치먼트의 데이터가 갱신될 때마다 발생합니다. 페이지에서 파일을 끌어다 놓거나 클릭하여 파일 선택

11. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면을(를) 선택하세요.

12. 을(를) 선택하여 가져올 보강 데이터 파일을 선택하세요. 파일은 다음 형식이어야 합니다: .csv.json형식. 로 설정되어 있는지 확인하세요. 데이터를 받지 못할 경우 알람 설정?

    • 를 설정하려면 토글을 스케줄된 검색을 사용하는 경우: 값은 일정 유형 및 빈도 으로 전환하세요.

    • 선택적으로, 옆의 필드를 작성하세요..

    S

사용자 지정 보강 업로드 실패로 생성된 알림은 Panther 콘솔의

페이지 내에서 접근할 수 있습니다.

PAT을 통해 파일 업로드로 사용자 지정 보강 데이터 가져오기

• 데이터 파일이 1MB보다 큰 경우 대신

  • S3 동기화 업로드 방법 또는. GCS 동기화 업로드 방법 또는 을 사용하는 것이 권장됩니다. 파일 및 폴더 설정사용자 지정 보강에는 다음 파일이 필요합니다: 섹션을 참조하세요. 참조로서의 저장소.

• 테이블에 데이터를 로드할 때 사용할 스키마를 정의하는 YAML 파일

  • 이 데이터 스키마 파일은 디렉터리 외부의 디렉터리에 저장되어야 합니다. 또는 다른 커스텀 로그 스키마와 함께 예를 들어 에 저장하도록 선택할 수 있습니다. /schemas 당신의 panther-analysis 저장소 루트의 디렉터리.

• 테이블에 로드할 데이터를 포함한 JSON 또는 CSV 파일(선택 사항, 아래 참조).

스키마 및 구성 파일 작성

테이블 구성에서 일부 값을 참조하므로 일반적으로 먼저 데이터 스키마를 작성하는 것이 좋습니다.

1. YAML 데이터 스키마 파일을 생성합니다. 이 스키마는 테이블에 업로드할 파일을 읽는 방법을 정의합니다. 데이터로 CSV 파일을 사용하는 경우 스키마는 CSV를 파싱할 수 있어야 합니다.

   • 테이블 스키마는 로그 스키마와 동일한 형식입니다. 스키마 작성에 대한 자세한 내용은 문서를 참조하세요. 로그 스키마 관리.

2. YAML 구성 파일을 생성합니다. 필수 및 허용 값의 전체 목록은 필드를 포함하는 객체들의 목록이 될 것입니다..

   • 로컬 파일에 저장된 데이터를 사용하는 커스텀 인리치먼트의 예제 구성은 다음과 같습니다:

3. 저장소 루트에서 스키마 파일을 업로드하려면 다음을 실행하세요 panther_analysis_tool update-custom-schemas --path ./schemas.

4. 저장소 루트에서 커스텀 인리치먼트를 업로드하려면 다음을 사용하세요 panther_analysis_tool upload.

Panther Analysis Tool을 통해 커스텀 인리치먼트를 업데이트합니다:

1. 문제의 커스텀 인리치먼트에 대한 YAML 구성 파일을 찾습니다.

2. 파일을 열고 필드 Filename을 찾으세요. 데이터 파일로 연결되는 파일 경로가 표시됩니다.

3. 에서 표시된 파일을 업데이트하거나 교체하세요. Filename허용되는 값을 보려면 필드를 포함하는 객체들의 목록이 될 것입니다..

4. 구성 파일을 저장한 다음 다음으로 변경 사항을 업로드하세요:

   선택적으로 커스텀 인리치먼트만 업로드하도록 지정할 수 있습니다:

Panther 콘솔을 통해 S3 버킷에서 커스텀 인리치먼트 데이터를 동기화

1. 구성 Configure > Enrichments.

2. 새로 만들기, 옵션 2: 파일 업로드로 사용자 지정 보강 데이터 가져오기.

3. 추가 버튼을 클릭하세요 대신 다음에서 시작할 수도 있습니다: 카드.

4. 보강 기본 정보 Panther 콘솔 또는 PAT을 통해 파일 업로드로 데이터를 가져올 수 있습니다: 보강 이름

   • : 사용자 지정 보강에 대한 설명적인 이름.사용 설정?

   • : 이 토글이예 로 설정되어 있는지 확인하세요.. 이는 이 프로세스에서 나중에 데이터를 가져오기 위해 필요합니다.

   • 설명 - 선택 사항: 테이블에 대한 추가 컨텍스트.

   • 참조 - 선택 사항: 일반적으로 내부 리소스에 대한 하이퍼링크에 사용됩니다.

   • 

5. 보강 기본 정보 연관된 로그 유형 보강

   • 클릭 로그 유형 추가.

   • 클릭하세요 로그 유형 드롭다운에서 로그 유형을 선택하세요.

   • 하나 이상의 LogType, 외래 키 필드는 커스텀 인리치먼트 데이터로 인리치하려는 로그 유형을 구성합니다.

     • 중첩된 객체의 속성은 JSON 경로 구문을(를) 사용하여 참조할 수도 있습니다. 예를 들어 맵의 필드를 참조하려면 다음을 입력할 수 있습니다: $.field.subfield.

• 클릭 로그 유형 추가 새로 만들기 기본 정보 AWS.VPCFlow 페이지에서 선택적으로 로그 유형/셀렉터를 지정하세요: 계정 VPC Flow 로그에서 키를 나타내기 위해.

1. 클릭 계속.

2. 보강 기본 정보 크론 표현식 페이지에서 테이블 스키마를 구성하세요. &#xNAN;accountID recipientAccountID. 스키마를 생성하면 커스텀 인리치먼트를 구성하는 동안 테이블 스키마 페이지의 드롭다운에서 해당 스키마를 선택할 수 있습니다.

   1. 스키마 생성에 대한 문서 를 참조하세요. 사용자 지정 보강 데이터를 사용하여 스키마를 유추할 수도 있습니다. 스키마를 생성한 후 보강을 구성하는 동안 테이블 스키마 페이지의 드롭다운에서 선택할 수 있습니다. 페이지에서 자동 생성된 스키마를 검토하고 드롭다운에서

   2. 스키마 생성에 대한 문서 테이블 스키마 &#xNAN; 필요한 경우 다른 항목을 추가하려면..

3. 클릭 계속.

4. 보강 기본 정보 가져오기 방법 선택 페이지에서 S3 버킷에서 데이터 동기화 타일에서 클릭하세요 드롭다운에서.

5. S3 소스를 설정하세요. 데이터는 에 있어야 합니다 파일 업로드 이 매핑은 인리치먼트의 데이터가 갱신될 때마다 발생합니다. 페이지에서 파일을 끌어다 놓거나 클릭하여 파일 선택

   • 를 입력하세요 계정 ID, S3 버킷이 위치한 12자리 AWS 계정 ID.

   • 를 입력하세요 S3 URI, 특정 S3 버킷을 식별하는 고유한 경로.

   • 선택적으로 다음을 입력하세요 KMS 키 데이터가 KMS-SSE로 암호화된 경우.

   • 를 입력하세요 업데이트 주기, S3 소스가 업데이트되는 주기(기본값 1시간).

6. 클릭 계속.

7. IAM 역할을 설정하세요.

   • 이 작업을 수행할 수 있는 세 가지 옵션에 대한 지침은 다음 섹션인 IAM 역할 생성을 참조하세요.

8. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면을(를) 선택하세요.

9. 을(를) 선택하여 가져올 보강 데이터 파일을 선택하세요. 파일은 다음 형식이어야 합니다: .csv.json형식. 로 설정되어 있는지 확인하세요. 데이터를 받지 못할 경우 알람 설정?

   • 를 설정하려면 토글을 스케줄된 검색을 사용하는 경우: 값은 일정 유형 및 빈도 으로 전환하세요.

   • 선택적으로, 옆의 필드를 작성하세요..

SS

IAM 역할 생성

S3 소스를 사용하는 Panther 커스텀 인리치먼트와 함께 사용할 IAM 역할을 생성하는 방법에는 세 가지 옵션이 있습니다:

• AWS 콘솔 UI를 사용하여 IAM 역할 생성.

• CloudFormation 템플릿 파일을 사용하여 IAM 역할 생성.

• 수동으로 IAM 역할 생성.

AWS 콘솔 UI를 사용하여 IAM 역할 생성

1. S3 소스로 커스텀 인리치먼트를 생성하는 과정에서 "IAM 역할 설정" 페이지에서 "AWS 콘솔 UI 사용" 라벨이 붙은 타일을 찾으세요. 타일 오른쪽에서 선택.

2. 클릭 Launch Console UI.

   • 템플릿 URL이 미리 채워진 새 브라우저 탭의 AWS 콘솔로 리디렉션됩니다.

   • CloudFormation 스택은 S3 버킷의 객체를 읽기 위한 최소 권한을 가진 AWS IAM 역할을 생성합니다.

   • AWS의 CloudFormation 스택에서 "Outputs" 탭을 클릭하고 Role ARN을 기록하세요.

3. Panther 계정으로 돌아가세요.

4. "AWS UI를 사용하여 역할 설정" 페이지에서 Role ARN을 입력하세요.

5. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면.

CloudFormation 템플릿 파일을 사용하여 IAM 역할 생성

1. S3 소스로 커스텀 인리치먼트를 생성하는 과정에서 "IAM 역할 설정" 페이지에서 "CloudFormation 템플릿 파일" 라벨이 붙은 타일을 찾으세요. 타일 오른쪽에서 클릭하세요 선택.

2. 클릭 CloudFormation 템플릿, 템플릿을 다운로드하여 자체 파이프라인을 통해 적용할 수 있습니다.

3. AWS에 템플릿 파일 업로드:

   1. AWS 콘솔을 열고 CloudFormation 제품으로 이동하세요.

   2. 클릭 스택 생성.

   3. 클릭 템플릿 파일 업로드 그리고 다운로드한 CloudFormation 템플릿을 선택하세요.

4. Panther의 "CloudFormation 템플릿" 페이지에 Role ARN을 입력하세요.

5. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면.

수동으로 IAM 역할 생성

1. S3 소스로 커스텀 인리치먼트를 생성하는 과정에서 "IAM 역할 설정" 페이지에서 다음 링크를 클릭하세요 모든 것을 직접 설정하겠습니다.

2. 필요한 IAM 역할을 생성하세요. 필요한 IAM 역할은 수동으로 또는 자체 자동화로 생성할 수 있습니다. 역할 이름은 다음 형식을 사용해야 합니다 PantherLUTsRole-${Suffix}(예: PantherLUTsRole-MyLookupTable).

   • IAM 역할 정책에는 아래에 정의된 문(statement)이 포함되어야 합니다:

   • S3 버킷이 AWS KMS를 사용한 서버 측 암호화로 구성된 경우, Panther API가 해당 KMS 키에 접근할 수 있도록 추가 문장을 포함해야 합니다. 이 경우 정책은 다음과 유사합니다:

3. Panther의 "역할을 수동으로 설정" 페이지에 Role ARN을 입력하세요.

   • 이는 AWS 계정의 CloudFormation 스택의 "Outputs" 탭에서 찾을 수 있습니다.

4. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면, 그러면 새 Employee Directory 테이블이 나열된 인리치먼트 목록 페이지로 리디렉션됩니다.

PAT를 통해 S3 버킷에서 커스텀 인리치먼트 데이터 동기화

페이지 내에서 접근할 수 있습니다.

PAT을 통해 파일 업로드로 사용자 지정 보강 데이터 가져오기

• 데이터 파일이 1MB보다 큰 경우 대신

  • S3 동기화 업로드 방법 또는. GCS 동기화 업로드 방법 또는 을 사용하는 것이 권장됩니다. 파일 및 폴더 설정사용자 지정 보강에는 다음 파일이 필요합니다: 섹션을 참조하세요. 참조로서의 저장소.

• 테이블에 데이터를 로드할 때 사용할 스키마를 정의하는 YAML 파일

  • 이 데이터 스키마 파일은 디렉터리 외부의 디렉터리에 저장되어야 합니다. 또는 디렉터리(예: /schemas panther 분석 레포의 루트에). 다른 커스텀 로그 스키마와 함께 저장하도록 선택할 수 있습니다.

• 테이블에 로드할 데이터를 포함한 JSON 또는 CSV 파일(선택 사항, 아래 참조).

스키마 및 구성 파일 작성

테이블 구성에서 해당 값들을 참조하므로 일반적으로 먼저 데이터 스키마를 작성하는 것이 좋습니다.

1. YAML 데이터 스키마 파일을 생성합니다. 이 스키마는 테이블에 업로드할 파일을 읽는 방법을 정의합니다. 데이터로 CSV 파일을 사용하는 경우 스키마는 CSV를 파싱할 수 있어야 합니다.

   • 테이블 스키마는 로그 스키마와 동일한 형식입니다. 스키마 작성에 대한 자세한 내용은 문서를 참조하세요. 로그 스키마 관리.

2. 테이블 구성을 위한 YAML 파일을 만듭니다. S3의 파일에 저장된 데이터를 사용하는 커스텀 인리치먼트의 예제 구성은 다음과 같습니다:

   • 다음을 참고하세요 갱신 필드에는 다음이 포함됩니다 RoleARN, ObjectPathGCS PeriodMinutes 및

   • 필수 및 허용 값의 전체 목록은 필드를 포함하는 객체들의 목록이 될 것입니다..

3. 저장소 루트에서 스키마 파일을 업로드하려면 다음을 실행하세요 panther_analysis_tool update-custom-schemas --path ./schemas.

4. 저장소 루트에서 커스텀 인리치먼트를 업로드하려면 다음을 사용하세요 panther_analysis_tool upload.

사전 요구 사항

커스텀 인리치먼트를 S3와 동기화하도록 구성하기 전에 다음을 준비해야 합니다:

1. Panther가 S3 버킷에 접근하는 데 사용할 수 있는 AWS의 IAM 역할 ARN. Panther용 IAM 역할 설정에 대한 자세한 내용은 IAM 역할 생성 섹션을 참조하세요.

2. 데이터를 저장하려는 파일의 경로. 경로 형식은 다음과 같아야 합니다: s3://bucket-name/path_to_file/file.csv

Panther 콘솔을 통해 GCS 버킷에서 커스텀 인리치먼트 데이터를 동기화

1. 구성 Configure > Enrichments.

2. 새로 만들기, 옵션 2: 파일 업로드로 사용자 지정 보강 데이터 가져오기.

3. 클릭하세요 대신 다음에서 시작할 수도 있습니다: 카드.

4. 보강 기본 정보 Panther 콘솔 또는 PAT을 통해 파일 업로드로 데이터를 가져올 수 있습니다: 보강 이름

   • : 사용자 지정 보강에 대한 설명적인 이름.사용 설정?

   • : 이 토글이예 로 설정되어 있는지 확인하세요.. 이는 이 프로세스에서 나중에 데이터를 가져오기 위해 필요합니다.

   • 설명 - 선택 사항: 테이블에 대한 추가 컨텍스트.

   • 참조 - 선택 사항: 일반적으로 내부 리소스에 대한 하이퍼링크에 사용됩니다.

   
5. 클릭 계속.

6. 보강 기본 정보 연관된 로그 유형(선택 사항) 보강

   • 클릭 로그 유형 추가.

   • 클릭하세요 로그 유형 드롭다운에서 로그 유형을 선택하세요.

   • 하나 이상의 LogType, 외래 키 필드는 커스텀 인리치먼트 데이터로 인리치하려는 로그 유형을 구성합니다.

     • 중첩된 객체의 속성은 JSON 경로 구문을(를) 사용하여 참조할 수도 있습니다. 예를 들어 맵의 필드를 참조하려면 다음을 입력할 수 있습니다: $.field.subfield.

   • 클릭 로그 유형 추가 새로 만들기 기본 정보 AWS.VPCFlow 페이지에서 선택적으로 로그 유형/셀렉터를 지정하세요: 계정 VPC Flow 로그에서 키를 나타내기 위해.

7. 클릭 계속.

8. 보강 기본 정보 크론 표현식 로그를 선택하고참고: 아직 새 스키마를 생성하지 않았다면 다음을 참조하세요 recipientAccountID. 스키마를 생성하면 커스텀 인리치먼트를 구성하는 동안 테이블 스키마 페이지의 드롭다운에서 해당 스키마를 선택할 수 있습니다.

   1. 스키마 생성에 대한 문서 를 참조하세요. 사용자 지정 보강 데이터를 사용하여 스키마를 유추할 수도 있습니다. 스키마를 생성한 후 보강을 구성하는 동안 테이블 스키마 페이지의 드롭다운에서 선택할 수 있습니다. 페이지에서 자동 생성된 스키마를 검토하고 드롭다운에서

   2. 스키마 생성에 대한 문서 테이블 스키마 &#xNAN; 필요한 경우 다른 항목을 추가하려면..

9. 클릭 계속.

10. 보강 기본 정보 가져오기 방법 선택 페이지에서 Google Cloud Storage 버킷에서 데이터 동기화 타일에서 클릭하세요 드롭다운에서.

11. Google Cloud Storage 소스를 설정하세요. 데이터는 에 있어야 합니다 파일 업로드 이 매핑은 인리치먼트의 데이터가 갱신될 때마다 발생합니다. 페이지에서 파일을 끌어다 놓거나 클릭하여 파일 선택

    • 를 입력하세요 Google Cloud Storage URI, 특정 객체를 식별하는 고유한 경로.

    • 를 입력하세요 업데이트 주기, S3 소스가 업데이트되는 주기(기본값 1시간).

12. 클릭 계속.

13. 아이덴티티를 설정하세요.

    • 이를 수행하는 방법에 대한 지침은 다음 섹션인 아이덴티티 설정을 참조하세요.

14. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면을(를) 선택하세요.

15. 을(를) 선택하여 가져올 보강 데이터 파일을 선택하세요. 파일은 다음 형식이어야 합니다: 이 커스텀 인리치먼트가 데이터를 받지 못할 경우 알람을 설정하시겠습니까?형식. 로 설정되어 있는지 확인하세요. 데이터를 받지 못할 경우 알람 설정?

    • 를 설정하려면 토글을 스케줄된 검색을 사용하는 경우: 값은 일정 유형 및 빈도 으로 전환하세요.

    • 선택적으로, 옆의 필드를 작성하세요..

    S

아이덴티티 설정

지원되는 아이덴티티 방법은 Workload Identity Federation입니다. GCS 소스를 사용하는 Panther 커스텀 인리치먼트와 함께 Workload Identity Federation을 설정하는 방법에는 세 가지 옵션이 있습니다:

• Terraform 템플릿 파일을 사용하여 Workload Identity Federation 설정

• GCP 콘솔에서 Workload Identity Federation을 수동으로 설정

Terraform 템플릿 파일을 사용하여 Workload Identity Federation 설정

1. 보강 기본 정보 아이덴티티 설정 페이지에서 GCS 소스로 커스텀 인리치먼트를 생성하는 과정 중 "Terraform 템플릿 파일" 라벨이 붙은 타일을 찾으세요. 타일 오른쪽에서 클릭하세요 선택.

2. 클릭 Terraform 템플릿, 템플릿을 다운로드하여 자체 파이프라인을 통해 적용할 수 있습니다.

3. 파일의 필드를 작성하세요 panther.tfvars 구성으로 파일을 채우세요.

   • 다음 값들을 제공하세요 panther_workload_identity_pool_id, panther_workload_identity_pool_provider_id, 값은 panther_aws_account_id.

   • 버킷을 다른 리소스들과 함께 생성할지 또는 이미 버킷이 있는지에 대한 파일의 지침을 따르세요.

4. Terraform 구성 파일이 포함된 작업 디렉터리를 초기화하고 다음을 실행하세요 terraform init.

5. 제공된 해당 Terraform 명령 을 복사하여 CLI에서 실행하세요.

6. 풀에 대한 자격 증명 구성 파일을 생성하려면 제공된 gcloud 명령 을 복사하여 프로젝트 번호, 풀 ID 및 공급자 ID 값을 바꾼 후 CLI에서 실행하세요.

   • 프로젝트 번호, 풀 ID 및 공급자 ID는 출력에서 확인할 수 있습니다 Terraform 명령.

7. 다음의 출력에서 찾을 수 있습니다 JSON 파일 제공, 자격 증명 구성 파일을 업로드하세요.

8. 클릭 이 알람의 알림 대상은 페이지 하단에 표시됩니다. 알림 전송 위치를 구성 및 사용자화하려면

GCP 콘솔에서 Workload Identity Federation을 수동으로 설정

1. Google Cloud 콘솔에서 Panther가 로그를 가져올 버킷을 결정하세요.

   • 아직 버킷을 생성하지 않았다면 다음을 참조하세요 버킷 생성에 관한 Google 문서.

1. IAM API 활성화.

2. 다음을 따라 AWS와 Workload Identity Federation을 구성하세요 AWS 또는 Azure와 Workload Identity Federation 구성 문서.

   1. 다음을 정의할 때 속성 매핑 및 조건다음 예시를 참고하세요:

      • 예시 속성 매핑들:

        Google

        AWS

        google.subject

        assertion.arn.extract('arn:aws:sts::{account_id}:')+":"+assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')

        attribute.account

        assertion.account

      • 예시 어트리뷰트 조건: attribute.account=="<PANTHER_AWS_ACCOUNT_ID>"

   2. 당신이 신원 풀에 공급자를 추가할 때, 선택하세요 AWS.

1. 계정에 필요한 IAM 역할을 할당하세요.

• Pub/Sub 구독과 토픽이 존재하는 프로젝트에 다음 권한이 필요합니다:

  필요한 권한들

  역할

  범위

  storage.objects.get

  storage.objects.list

  roles/storage.objectViewer

  버킷 이름

  • 참고: 특정 리소스에 대한 권한에 조건이나 IAM 정책을 설정할 수 있습니다. 이는 GCP의 IAM 섹션(아래 예시 스크린샷 참조)이나 특정 리소스의 페이지에서 수행할 수 있습니다.

  • 참고: 다음 명령으로 권한을 생성할 수 있습니다 gcloud CLI 도구에서, 여기서 $PRINCIPAL_ID 는 다음과 비슷할 수 있습니다: principalSet://iam.googleapis.com/projects/<THE_ACTUAL_GOOGLE_PROJECT_NUMBER>/locations/global/workloadIdentityPools/<THE_ACTUAL_POOL_ID>/attribute.account/<THE_ACTUAL_PANTHER_AWS_ACCOUNT_ID>

    • gcloud projects add-iam-policy-binding $PROJECT_ID --member="$PRINCIPAL_ID" --role="roles/storage.objectViewer"

1. 자격 증명 구성 파일을 다운로드하세요, 이 파일은 Panther에서 GCP 인프라에 인증하는 데 사용됩니다.

• gcloud CLI 도구를 사용하여 자격 증명 구성 파일을 생성하려면 다음 명령 형식을 사용하세요: gcloud iam workload-identity-pools create-cred-config projects/$PROJECT_NUMBER/locations/global/workloadIdentityPools/$POOL_ID/providers/$PROVIDER_ID --aws --output-file=config.json

PAT을 통해 GCS 버킷에서 커스텀 인리치먼트 데이터를 동기화하기

페이지 내에서 접근할 수 있습니다.

PAT을 통해 파일 업로드로 사용자 지정 보강 데이터 가져오기

• 데이터 파일이 1MB보다 큰 경우 대신

  • S3 동기화 업로드 방법 또는. GCS 동기화 업로드 방법 또는 을 사용하는 것이 권장됩니다. 파일 및 폴더 설정사용자 지정 보강에는 다음 파일이 필요합니다: 섹션을 참조하세요. 참조로서의 저장소.

• 테이블에 데이터를 로드할 때 사용할 스키마를 정의하는 YAML 파일

  • 이 데이터 스키마 파일은 디렉터리 외부의 디렉터리에 저장되어야 합니다. 또는 다른 커스텀 로그 스키마와 함께 예를 들어 에 저장하도록 선택할 수 있습니다. /schemas 당신의 panther-analysis 저장소 루트의 디렉터리.

• 테이블에 로드할 데이터를 포함한 JSON 또는 CSV 파일(선택 사항, 아래 참조).

스키마 및 구성 파일 작성

테이블 구성에서 해당 값들을 참조하므로 일반적으로 먼저 데이터 스키마를 작성하는 것이 좋습니다.

1. YAML 데이터 스키마 파일을 생성합니다. 이 스키마는 테이블에 업로드할 파일을 읽는 방법을 정의합니다. 데이터로 CSV 파일을 사용하는 경우 스키마는 CSV를 파싱할 수 있어야 합니다.

   • 테이블 스키마는 로그 스키마와 동일한 형식입니다. 스키마 작성에 대한 자세한 내용은 문서를 참조하세요. 로그 스키마 관리.

2. 테이블 구성을 위한 YAML 파일을 만드세요. GCS에 저장된 파일의 데이터를 사용하는 커스텀 인리치먼트의 예시는 아래 파일을 참조하세요.

   • 다음을 참고하세요 갱신 필드에는 다음이 포함됩니다 GCSCredentials, StorageProvider, ObjectPathGCS PeriodMinutes 및

   • 필수 및 허용 값의 전체 목록은 필드를 포함하는 객체들의 목록이 될 것입니다..

3. 저장소 루트에서 스키마 파일을 업로드하려면 다음을 실행하세요 panther_analysis_tool update-custom-schemas --path ./schemas.

4. 저장소 루트에서 커스텀 인리치먼트를 업로드하려면 다음을 사용하세요 panther_analysis_tool upload.

사전 요구 사항

커스텀 인리치먼트를 GGS 버킷과 동기화하도록 구성하기 전에 다음 항목을 준비해야 합니다:

• Panther가 Google Cloud Storage 객체에 접근하는 데 사용할 수 있는 workload identity pool용 JSON 자격 증명 구성. Panther의 Workload Identity Federation 설정에 대한 자세한 내용은 아이덴티티 설정 위의 Panther 콘솔 지침 섹션을 참조하세요.

• 데이터를 저장하려는 파일의 경로. 경로 형식은 다음과 같아야 합니다: gs://bucket-name/path_to_file/file.csv