시스템 오류

개요

Panther의 시스템 오류는 Panther 플랫폼의 일부가 예상대로 작동하지 않을 때 경고합니다. 여기에는 다음이 포함됩니다:

• 로그 소스 상태 알림

  • 헬스 체크 실패로 인해 비정상 상태가 된 로그 소스

  • 로그 소스에서 로그가 완전히 중단되는 경우

• 알림 한도 알림

• 알림 전송 실패

  • 알림이 알림 대상에 전달되지 못함

• 로그 분류 오류

  • 로그가 분류되지 못함

• S3 GetObject 오류

  • Panther가 S3 객체를 가져오지 못함

• 클라우드 보안 스캔 실패

  • "액세스 거부" 오류로 인해 Panther가 클라우드 리소스를 스캔하지 못함

• 다음에서의 쿼리 오류 예약된 규칙은 하나 이상과 연결됩니다 예약된 규칙에 연결되지 않음

  • 다음에서의 쿼리 오류 예약된 규칙은 하나 이상과 연결됩니다 예약된 규칙에 연결된 항목은 다음으로 표시됩니다 규칙 오류

• 시간 초과된 예약 검색

이러한 유형의 경고는 다음으로 분류됩니다 시스템 오류 HTTP 소스 설정 중에는 스키마를 선택하지 마십시오. 시스템 오류 항상 CRITICAL 심각도 수준을 가지며—알림 대상으로 전송됩니다 받도록 구성됨 시스템 오류, 해당 대상이 CRITICAL 심각도의 알림을 받도록 구성되어 있지 않더라도. 로그 중단 알람을 로그 소스별로 수동 구성할 수 있는 경우를 제외하고 자동으로 생성됩니다. 타임아웃이 발생할 경우, 경고는 Panther 콘솔의 다음에서 볼 수 있습니다 Alerts & Errors > System Errors.

시스템 오류는 Panther 콘솔의 앱 내 알림 유형이기도 합니다. 알림에 대해 자세히 알아보려면 알림 및 오류.

시스템 오류 알람 구성 방법

모든 유형의 시스템 오류에 대한 경고를 받으려면:

• 다음 수신을 받도록 구성된 알림 대상을 구성합니다 타임아웃이 발생할 경우, 경고 유형.

• 데이터 수신이 중단될 때 경고를 트리거하는 로그 소스별 로그 중단 알람을 구성합니다.

  • 로그 분류 오류, 알림 전송 실패, S3 GetObject 오류 및 클라우드 보안 스캔 실패에 대해서는 알림을 활성화할 필요가 없습니다.

시스템 오류를 위한 알림 대상 구성

기본적으로 Panther는 시스템 오류 경고를 Panther 콘솔의 Alerts 페이지로 보냅니다. 또한 이러한 경고를 수신하도록 알림 대상 중 하나를 구성하는 것을 강력히 권장합니다.

이러한 경고가 사용자 지정 알림 대상으로 전송되도록 하려면 아래 단계를 따르십시오:

1. Panther 콘솔에 로그인합니다.

2. 왼쪽 사이드바 탐색에서 클릭하십시오 구성 > 알림 대상

3. 기존 알림 대상을 선택하거나 새 알림 대상 추가.

4. 알림 대상 구성 페이지에서 시스템 오류 를 대상이 특정 섹션:

로그 소스에 대한 로그 드롭오프 알람 구성

추가하십시오. Panther는 개별 로그 소스에 대해 이벤트 임계값 알람을 설정할 수 있게 하며, 특정 시간 간격 동안 데이터가 수신되지 않으면 경고를 트리거합니다.

예를 들어 임계값을 15분으로 설정하면 15분 동안 이벤트가 처리되지 않으면 경고를 받습니다.

이는 Panther에 잘못 연결되었거나 Panther 외부에서 문제가 발생한 로그 소스에 유용할 수 있습니다.

알람을 새 로그 소스 또는 기존 로그 소스에 추가할 수 있습니다:

새 로그 소스에 알람 추가

기존 소스에 알람 추가

새 로그 소스에 대한 알람 설정

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

2. 오른쪽 상단에서 클릭하십시오 새로 만들기.

3. 온보딩 워크플로의 각 단계를 완료하십시오.

   • 참조 데이터 소스 및 전송 소스별 특정 설정 지침은 참조하십시오.

4. 온보딩 워크플로 끝의 성공 페이지에서, 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예입니다. 이 설정은 활성화된 상태로 두십시오.

   • 다음의 숫자 와 다음 중 하나를 클릭하여 스케줄을 구성하세요: 필드에 원하는 기간을 입력하십시오 Panther가 이벤트가 처리되지 않았다는 경고를 보내기 전에 얼마나 기다려야 합니까?.

시스템 오류의 유형

로그 소스 상태 알림

Panther는 로그 소스가 Panther에 올바르게 연결되었는지, 적절한 자격 증명을 보유하고 있는지, 소스에서 일관되게 데이터를 수신하고 있는지 확인하기 위해 상태 검사를 수행합니다.

로그 중단 알림

Panther는 개별 로그 소스에 대해 이벤트 임계값 알람을 설정할 수 있게 하며, 특정 시간 간격 동안 데이터가 수신되지 않으면 경고를 트리거합니다. 이러한 알림 활성화 지침은 위 섹션을 참조하십시오: 로그 소스에 대한 로그 드롭오프 알람 구성.

다음에 대해서는 로그 중단 알람을 설정할 수 없습니다 Panther 감사 로그를 로그 소스로 활성화한 경우.

로그 분류 알림

Panther는 수신 로그가 해당 로그 소스에 연결된 스키마에 따라 올바르게 파싱되지 못하면 로그 분류 알림을 생성합니다. 이런 경우:

• 분류에 실패한 로그는 데이터 레이크로 전송되며 classification_failures 요일 panther_monitor 라는 테이블에서 검색할 수 있습니다.

• 첫 로그가 분류에 실패한 직후 경고가 생성됩니다. 경고는 분류에 실패한 모든 로그 라인을 표시합니다.

Panther 콘솔의 경고 상세 페이지는 올바르게 파싱되지 못한 로그 라인을 강조하여 해당 로그 유형의 스키마에서 어떤 라인을 수정하거나 추가해야 하는지 판단하는 데 도움을 줍니다.

경고에는 해당 로그 소스의 Log Source Ops 페이지로 연결되는 링크가 포함되어 있어 Health 탭에서 분류 실패 비율을 볼 수 있습니다.

분류 실패 수정

로그 소스 중 하나가 분류 실패를 받으면 다음 단계를 수행하여 수정할 수 있습니다:

1. 로그 소스에 여러 스키마가 연결된 경우 어느 스키마가 실패했는지 식별하십시오.

   • 이 정보는 다음에서 찾을 수 있습니다 Health 로그 소스 상세 페이지의 탭 또는 Data Explorer에서 직접, classification_failures 요일 panther_monitor 라는 테이블에서 검색할 수 있습니다.

2. 라는 테이블에서.

   • 스키마가 이벤트를 파싱하지 못한 이유를 이해하십시오. 분류 실패의 일반적인 원인은 다음과 같습니다: 다음이 있는 필드: required:true

   • 수신된 일부 데이터에 존재하지 않았음 다음 형식을 가진 필드가 있음: type:string object

   • 그러나 실제로 수신된 데이터는

   • 다른 형식임

   • 타임스탬프 필드의 형식 정의가 잘못되었음

3. 이벤트가 소스에 구성되지 않은 LogType이었음 이벤트가 다른 방식으로 손상되었음

4. 스키마 업데이트 필요에 따라..

   
5. 페이지에서 분류 실패 알림을 해결하려면 Mark as Resolved

   • 를 클릭하십시오 이벤트 재처리하시겠습니까?팝업 모달에서, 분류에 실패한 이벤트를 처리하려면 다음 중 하나를 클릭하십시오:

     (베타)

     이벤트 재처리

     : 분류에 실패한 이벤트가 다시 처리됩니다.

     • 이벤트 재분류는 마지막 15일 이내에 분류에 실패한 이벤트에만 가능합니다. 해결하려는 분류 실패 경고에 최근 15일 이내에 수신된 이벤트와 15일보다 오래된 이벤트가 모두 포함된 경우, 전자만 재처리되며 후자는 무시됩니다.:

     • 재처리된 이벤트는 성공적으로 수집되는 시점에 수집 할당량에 포함됩니다.

   • 재처리가 성공적으로 완료되면시스템 알림

을 받게 됩니다.

분류가 다시 실패하면 새로운 분류 실패 경고를 받게 됩니다.

• 재처리 건너뛰기 : 분류에 실패한 이벤트는 Panther에 수집되지 않습니다..

• S3 GetObject 오류 알림

알림 전송 실패

라는 테이블을 통해 쿼리할 수 있습니다.

Panther가 지난 24시간 내에 어떤 S3 객체도 가져오지 못하면 경고가 생성됩니다. 경고는 실패하는 특정 S3 객체를 표시합니다. 타임아웃이 발생할 경우, 이 유형의 오류는 Panther가 다음을 초과하는 로그 이벤트를 수집하려고 시도할 때 생성됩니다

클라우드 보안 스캔 실패

데이터 수집 크기 제한 (15 MB)

. 유사한 오류는 CloudWatch, Azure Blob Storage 및 Google Cloud Storage(GCS)에 대해서도 생성됩니다.

• 알림 전송 실패 경고는 Panther가 알림을 대상으로 전달하지 못할 때 생성됩니다.알림을 처음 전달하려는 시도가 실패하면 Panther는 자동으로 재전송을 시도합니다. 알림 전달 실패가 특정 임계값을 초과하면 시스템 상태 경고가 생성되어경고를 받도록 구성된 모든 알림 대상으로 전송됩니다.

  • 클라우드 보안 스캔 실패 경고는 "액세스 거부" 오류로 인해 Panther가 클라우드 리소스를 스캔하지 못할 때 생성됩니다. 알림을 처음 전달하려는 시도가 실패하면 Panther는 자동으로 재전송을 시도합니다. 알림 전달 실패가 특정 임계값을 초과하면 시스템 상태 경고가 생성되어 이는 스캔을 허용하도록 권한이 올바르게 구성되지 않았을 때 발생합니다. 이는 일반적으로 다음 시나리오 중 하나로 인해 발생합니다:

• 우리의 스캔 역할 (

  • PantherAuditRole

• )에 충분한 권한이 구성되어 있지 않음.

  • 이 역할의 권한은 거의 변경되지 않기 때문에 매우 드문 경우입니다. 이는 알림을 처음 전달하려는 시도가 실패하면 Panther는 자동으로 재전송을 시도합니다. 알림 전달 실패가 특정 임계값을 초과하면 시스템 상태 경고가 생성되어 을 최신 버전으로 업데이트하여 해결할 수 있습니다.

AWS Organizations의 서비스 제어 정책(SCP)이 우리의 스캔 역할이 스캔을 수행하지 못하게 하고 있음.

일반적으로 특정 리전 또는 서비스에 제한을 둔 SCP에서 발생합니다. 이는 SCP를 수정하여 우리 스캔 역할에 대한 예외를 추가하거나 클라우드 보안 통합을 수정하여 특정 리전 또는 리소스 유형을 제외하도록 하여 해결할 수 있습니다. AWS 리소스 기반 정책이 우리의 스캔 역할이 스캔을 수행하지 못하게 하고 있음.AWS에서는 권한이 양방향입니다. 리소스에 접근할 권한이 역할에 부여될 수 있지만, 리소스 자체가 우리 역할에 의해 접근되는 것을 허용하지 않을 수 있습니다. 이는 리소스 기반 정책을 수정하여 우리 스캔 역할에 대한 예외를 추가하거나 클라우드 보안 통합을 수정하여 특정 리소스 또는 리소스 유형을 제외하도록 하여 해결할 수 있습니다。」,