시스템 오류

개요

Panther의 시스템 오류는 Panther 플랫폼의 일부가 예상대로 작동하지 않을 때 알러트를 보냅니다. 여기에는 다음이 포함됩니다:

• 로그 소스 상태 알림

  • 헬스 체크 실패로 인해 비정상 상태가 된 로그 소스

  • 로그 소스에서 로그가 완전히 중단되는 경우

• 알러트 한도 알림

• 알러트 전달 실패

  • 알러트가 알러트 대상에 전달되지 못함

• 로그 분류 오류

  • 로그가 분류되지 못함

• S3 GetObject 오류

  • Panther가 S3 객체를 가져오지 못함

• 클라우드 보안 스캔 실패

  • "액세스 거부" 오류로 인해 Panther가 클라우드 리소스를 스캔하지 못함

• 에서의 쿼리 오류 예약된 검색 예약된 룰에 연결되지 않음

  • 에서의 쿼리 오류 예약된 검색 예약된 룰에 연결된 것은 다음으로 표시됩니다 룰 오류

• 시간 초과된 예약된 검색

이 유형의 알러트는 시스템 오류 로 Panther에 분류됩니다. 시스템 오류 항상 치명적(CRITICAL) 심각도 수준을 가지며 알러트 대상으로 전송됩니다 수신하도록 구성된 시스템 오류, 해당 대상이 치명적(CRITICAL) 심각도의 알러트를 수신하도록 구성되어 있지 않더라도. 로그 중단 알람을 각 로그 소스별로 수동 구성할 수 있는 경우를 제외하고 자동으로 생성됩니다. 시스템 오류 알러트는 Panther 콘솔의 알러트 및 오류 > 시스템 오류.

시스템 오류는 Panther 콘솔의 인앱 알림 유형이기도 합니다. 알림에 대해 자세히 알아보려면 알림 및 오류.

시스템 오류 알람 구성 방법

모든 유형의 시스템 오류에 대한 알러트를 수신하려면:

• 해당 시스템 오류 해당 알러트 유형을 수신하는 것이 강력히 권장됩니다.

• 받도록 알러트 대상을 구성하십시오.

  • 로그 분류 오류, 알러트 전달 실패, S3 GetObject 오류 및 클라우드 보안 스캔 실패에 대해서는 알러트를 활성화할 필요가 없음을 유의하십시오.

시스템 오류에 대한 알러트 대상 구성

기본적으로 Panther는 시스템 오류 알러트를 알러트 페이지에 전송합니다. 또한 이러한 알러트를 수신하도록 알러트 대상 중 하나를 구성하는 것이 강력히 권장됩니다.

이러한 알러트를 사용자 정의 알러트 대상으로 전송하려면 다음 단계를 따르십시오:

1. Panther 콘솔에 로그인합니다.

2. 왼쪽 사이드바 탐색에서 구성 > 알러트 대상

3. 기존 알러트 대상을 선택하거나 새 알러트 대상을 추가하십시오.

4. 알러트 대상 구성 페이지에서 시스템 오류 을(를) 알러트 유형 섹션에 추가하십시오:

로그 소스용 로그 중단 알람 구성

Panther는 개별 로그 소스에 대해 이벤트 임계값 알람을 설정할 수 있게 하며, 특정 시간 간격 동안 데이터가 수신되지 않으면 알러트를 트리거합니다.

예를 들어 임계값을 15분으로 설정하면 15분 동안 이벤트가 처리되지 않을 경우 알러트를 받습니다.

이는 Panther에 잘못 연결되었거나 Panther 외부에서 문제가 발생한 로그 소스에 유용할 수 있습니다.

새 로그 소스 또는 기존 로그 소스에 알람을 추가할 수 있습니다:

새 로그 소스에 알람 추가

기존 소스에 알람 추가

새 로그 소스에 대한 알람 설정

1. Panther 콘솔의 왼쪽 탐색 막대에서 구성 > 로그 소스.

2. 우측 상단에서 새로 만들기.

3. 온보딩 워크플로의 각 단계를 완료합니다.

   • 에 대한 자세한 설정 지침은 데이터 소스 및 전송 에서 소스별로 확인하십시오.

4. 온보딩 워크플로의 완료 페이지에서 이벤트가 처리되지 않으면 알러트를 트리거 의 기본값은 예(YES)입니다. 이 설정을 활성화 상태로 유지하십시오.

   • 다음 옆의 숫자 및 기간 필드에 원하는 시간 기간을 입력하십시오. Panther가 이벤트가 처리되지 않았다는 알러트를 보내기 전에 얼마나 기다려야 합니까?.

시스템 오류의 유형

로그 소스 상태 알러트

Panther는 로그 소스에 대해 헬스 체크를 수행하여 Panther가 소스에 올바르게 연결되어 있고 올바른 자격 증명을 가지고 있으며 소스에서 지속적으로 데이터를 수신하는지 확인합니다.

로그 중단 알러트

Panther는 개별 로그 소스에 대해 이벤트 임계값 알람을 설정할 수 있게 하며, 특정 시간 간격 동안 데이터가 수신되지 않으면 알러트를 트리거합니다. 이러한 알러트를 활성화하는 방법은 위 섹션을 참조하십시오: 로그 소스용 로그 중단 알람 구성.

다음에 대해서는 로그 중단 알람을 설정할 수 없습니다: Panther 감사 로그을(를) 로그 소스로 활성화한 경우.

로그 분류 알러트

Panther는 수신된 로그가 해당 로그 소스에 연결된 스키마에 따라 올바르게 파싱되지 못하면 로그 분류 알러트를 생성합니다. 이 경우:

• 분류에 실패한 로그는 데이터 레이크로 전송되며 classification_failures 라는 테이블에서 검색할 수 있습니다. panther_monitor 데이터베이스에.

• 첫 로그가 분류에 실패한 직후 알러트가 즉시 생성됩니다. 알러트는 분류에 실패한 모든 로그 라인을 표시합니다.

Panther 콘솔의 알러트 상세 페이지는 올바르게 파싱되지 못한 로그 라인을 강조 표시하여 해당 로그 유형의 스키마에서 수정하거나 추가해야 할 라인을 파악하는 데 도움을 줍니다.

알러트에는 해당 로그 소스의 Log Source Ops 페이지로 연결되는 링크가 포함되어 있으며, 해당 페이지의 헬스 탭에서 분류에 실패하는 이벤트 비율을 확인할 수 있습니다.

분류 실패 해결

로그 소스 중 하나에서 분류 실패가 발생하면 다음 단계를 수행하여 해결할 수 있습니다:

1. 로그 소스에 둘 이상의 스키마가 연결되어 있는 경우 어떤 스키마가 실패했는지 식별하십시오.

   • 이 정보는 로그 소스 상세 페이지의 헬스 탭 또는 Data Explorer의 classification_failures 라는 테이블에서 검색할 수 있습니다. panther_monitor 데이터베이스에.

2. 테이블에서 직접 찾을 수 있습니다.

   • 이벤트를 파싱하지 못한 이유를 이해하십시오. 분류 실패의 일반적인 원인은 다음과 같습니다: 필드에 required:true

   • 가 일부 수신 데이터에 존재하지 않았음 필드의 type:string 이지만 실제로 수신된 데이터는

   • 객체(object)였음

   • 타임스탬프 필드의 형식 정의가 잘못되었음

   • 이벤트가 소스에 구성되지 않은 LogType이었음

3. 이벤트가 다른 방식으로 손상되었음 필요에 따라 스키마를

4. 업데이트하십시오. 분류 실패 알러트를 해결하려면.

   
5. 해결로 표시 을(를) 클릭하십시오. 표시되는

   • 이벤트 다시 처리하시겠습니까? 팝업 모달에서 분류에 실패한 이벤트를 다음 중 하나를 클릭하여 처리하십시오:(베타)

     이벤트 다시 처리

     : 분류에 실패한 이벤트가 다시 처리됩니다.

     이벤트 재분류는 마지막 15일 이내에 분류에 실패한 이벤트에 대해서만 가능합니다.

     • 해당 분류 실패 알러트에 마지막 15일 이내에 수신된 이벤트와 15일보다 오래된 이벤트가 모두 포함되어 있는 경우, 전자만 재처리되며 후자는 무시됩니다. 재처리된 이벤트는 성공적으로 수집될 때 해당 시점의 수집 할당량에 포함됩니다.:

     • 재처리가 성공적으로 완료되면

   • 시스템 알림을(를) 받게 됩니다.

분류가 다시 실패하면 새 분류 실패 알러트를 받게 됩니다.

재처리 건너뛰기

• : 분류에 실패한 이벤트는 Panther에 수집되지 않습니다. S3 GetObject 오류 알림.

• Panther가 S3 객체를 가져오지 못하면 S3 GetObject 오류 알러트가 생성됩니다. 이 경우 기본적으로 다음 작업이 수행됩니다:

알러트 전달 실패

Panther가 지난 24시간 동안 어떤 S3 객체도 가져오지 못한 경우 알러트가 생성됩니다. 알러트에는 실패하는 특정 S3 객체가 표시됩니다.

이 유형의 오류는 Panther가 시스템 오류 데이터 수집 크기 제한(15MB)

클라우드 보안 스캔 실패

을 초과하는 로그 이벤트를 수집하려고 할 때 생성됩니다. 유사한 오류가 CloudWatch, Azure Blob Storage 및 Google Cloud Storage(GCS)에 대해서도 생성됩니다.

알러트 전달 실패 알러트는 Panther가 알러트를 대상에 전달하지 못할 때 생성됩니다.

• 알러트 전달을 초기 시도에서 실패하면 Panther는 자동으로 재전송을 시도합니다. 알러트 전달 실패가 일정 임계값을 초과하면 시스템 상태 알러트가 생성되어알러트를 수신하도록 구성된 모든 알러트 대상으로 전송됩니다.

  • 클라우드 보안 스캔 실패 알러트는 Panther가 "액세스 거부" 오류로 인해 클라우드 리소스를 스캔하지 못할 때 생성됩니다. 알러트 이는 스캔을 허용하도록 권한이 올바르게 구성되지 않은 경우 발생합니다. 이는 일반적으로 다음 시나리오 중 하나로 인해 발생합니다:

• 당사의 스캔 역할(

  • PantherAuditRole

• )에 충분한 권한이 구성되어 있지 않습니다.

  • 이 역할의 권한은 거의 변경되지 않기 때문에 이는 매우 드문 경우입니다. 이는 알러트 을(를) 최신 버전으로 업데이트하여 해결할 수 있습니다.

AWS 조직의 서비스 제어 정책(SCP)이 당사의 스캔 역할이 스캔을 수행하지 못하도록 차단하고 있습니다.

일반적으로 특정 리전이나 서비스에 대한 제한이 있는 SCP에서 발생합니다. 이는 SCP를 수정하여 당사 스캔 역할에 대한 예외를 추가하거나 Cloud Security 통합을 수정하여 특정 리전 또는 리소스 유형을 제외하도록 하여 해결할 수 있습니다. AWS 리소스 기반 정책이 당사의 스캔 역할이 스캔을 수행하지 못하도록 차단하고 있습니다.AWS에서는 권한이 양방향입니다. 해당 리소스에 액세스 권한이 부여될 수 있지만, 리소스 자체가 당사 역할에 의해 액세스되도록 권한을 부여하지 않을 수 있습니다. 이는 리소스 기반 정책을 수정하여 당사 스캔 역할에 대한 예외를 추가하거나 Cloud Security 통합을 수정하여 특정 리소스 또는 리소스 유형을 제외하도록 하여 해결할 수 있습니다. 알러트는 스캔이 실패한 리소스와 스캔 실패를 초래한 AWS 오류를 표시합니다: 당신은 이 정보를 사용하여 정확한 권한 문제를 정확히 찾아낼 수 있습니다. 위 예시에서는 "어떤 리소스 기반 정책도 kms:ListResourcetags 액션을 허용하지 않는다"는 것을 볼 수 있습니다. 이는 해당 문제가 리소스 기반 정책과 관련이 있음을 나타냅니다.