클라우드 연결 Panther 인스턴스 설정하기

개요

프로비저닝하려면 클라우드 연결된 Panther 인스턴스, 다음을 사용합니다 panther-cloud-connected-setup CLI 도구와 수동 단계를 추가로 수행합니다. 클라우드 연결된 Panther 인스턴스는 AWS 및 Snowflake 또는 Databricks에 배포됩니다.

아래의 CLI 도구에 대해 읽은 후 설정 프로세스를 시작하세요.

도구 panther-cloud-connected-setup 부분

클라우드 연결된 Panther 인스턴스를 설정하는 일환으로 panther-cloud-connected-setup CLI 도구를실행합니다. 이 도구는 로컬 머신 또는 AWS, Snowflake, Databricks 계정 내에서 모든 작업을 수행하며 Panther와 자격 증명이나 정보를 공유하지 않습니다.

도구가 수행하는 작업

이 도구를 실행하면:

• AWS 계정 내에서:

  • 다음을 배포합니다 PantherDeploymentRole IAM 역할

  • 다음을 설치합니다 PantherDeploymentUpdaterRole, 이는 귀하의 PantherDeploymentRole 최신 상태를 유지합니다

  • 다음을 배포하고 실행합니다 PantherReadinessCheck 사전 배포 도구로, 배포 문제에 직면할 가능성이 낮은지 확인합니다

  • 제공한 루트 도메인을 기반으로 다음 하위 도메인에 대한 SSL 인증서를 등록합니다:

    • <desired panther subdomain>.yourdomain.com

    • *.<desired panther subdomain>.yourdomain.com

  • (선택 사항) 인증서 검증을 위해 Route 53에 DNS 검증 레코드를 생성합니다

• (Snowflake 사용 시) 다음을 사용하여 AWS 환경에서 Snowflake 자격 증명을 프로비저닝합니다:

  • (권장) Panther가 대신 생성해 주는 Snowflake 계정 및 관리자 사용자

  • (권장하지 않음) 아래의 지침에 따라 생성한 이미 생성된(빈) Snowflake 계정 및 관리자 사용자를 귀하가 제공하는 경우. 이 경로는 도구가 panther-cloud-connected-setup GLOBALORGADMIN 역할을 가진 Snowflake 사용자를 사용하도록 허용할 수 없는 경우에 매력적일 수 있습니다 사용자를. (이 사용자의 자격 증명은 Panther와 절대 공유되지 않습니다.)

도구가 상태를 저장하는 방법

도구 panther-cloud-connected-setup 도구는 상태를 panther-cli-state.db 파일에 저장합니다. 도구가 처음 실행에서 Panther 인스턴스를 성공적으로 프로비저닝하지 못한 경우, 이 파일은 이미 성공적으로 완료된 단계를 추적하므로 재실행을 더 간단하게 만듭니다.

클라우드 연결된 Panther 인스턴스를 설정하는 방법

전제 조건

도구 설치 전제 조건

시작하기 전에 다음 도구를 설치해야 합니다 panther-cloud-connected-setup 도구.

도구가 올바르게 설정되었는지 확인하려면 다음을 실행하세요:

이 명령은 다음과 유사한 출력을 생성해야 합니다:

AWS 전제 조건

• 귀하는 AWS 조직을.

• 보유하고 있습니다 다음에 설명된 방법 중 하나를 사용하여 AWS에 인증할 수 있습니다) 다음 중 하나를 사용하여:

  • (권장) AWS 계정의 루트 사용자 (또는 동등한 권한을 가진 다른 IAM 사용자).

  • 다음 최소 권한을 가진 IAM 사용자:

    • 배포할 수 있는 권한 CloudFormation 템플릿

    • 다음에서 인증서를 생성할 수 있는 권한 AWS Certificate Manager (ACM)

    • Lambda를 생성하고 호출할 수 있는 권한 다음에 대한 읽기/쓰기 권한

    • Secrets Manager 권한

에서 자격 증명이 발견되지 않으면, 표준 AWS 클라이언트 라이브러리의 표준 해상 전략을 사용하여 환경에서 AWS 자격 증명을 로드하려고 시도합니다.

• 기타 전제 조건

  • 맞춤 도메인이 등록되어 있어야 합니다. 맞춤 도메인 등록에 도움이 필요하고 AWS를 도메인 등록기관으로 사용하려는 경우, 다음을 따르세요.

이 Amazon Route 53 문서

• (Snowflake 사용 시) Snowflake 전제 조건 귀하는.

• Snowflake 조직을 panther-cloud-connected-setup 보유하고 있습니다

  • (도구가 귀하를 대신하여 Snowflake 계정 및 관리자 사용자를 프로비저닝하도록 하는 것이 권장되는 경우) 귀하에게 다음과 같은 Snowflake 사용자가 있습니다: 사용자를 다음이

    • 도구 부착되어 있습니다.Snowflake 문서는 ORGADMIN 역할이 제거될 것이라고 언급합니다

  • . 그 일이 발생하기 전에 GLOBALORGADMIN 대신 ORGADMIN 역할을 가진 사용자를 사용할 수 있습니다. RSA 키 쌍 인증을 사용합니다. RSA 키 쌍을 설정해야 하는 경우 다음을 따르세요.

  • Snowflake 키 쌍 인증 구성 지침 다음과 일치하는 값을 가지고 있습니다 및 NAMELOGIN_NAME . 이를 확인하려면 Snowflake 워크시트에서 다음 명령을 실행하세요:

• (권장하지 않음) 이미 생성된 Snowflake 계정과 관리자 사용자를 제공할 경우, 아래 지침에 따라 생성된 빈 Snowflake 계정과 관리자 사용자가 있어야 합니다.

  • 일부 Panther 기능은 Snowflake Enterprise 이상을 필요로 합니다. 여기에서 자세히 알아보기.

(Databricks 사용 시) Databricks 전제 조건

• 다음을 참조하세요 전제 조건 에서 Panther용 Databricks 구성하기.

1단계: 새 AWS 계정 생성

• AWS 조직에서, 새 계정을 생성하세요필요한 경우. (기존의 빈 계정을 사용하는 것도 가능합니다.)

2단계: Panther에 값 요청

• 클라우드 연결된 인스턴스를 배포한다고 Panther 지원팀에 알려주고 다음 값에 대한 요청을 하세요 CloudFormationConfig.IdentityAccountId 및 CloudFormationConfig.OpsAccountId입니다. 이러한 값은 3단계에서 사용합니다.

3단계: 구성 파일 작성

1. 다음 템플릿 중 하나를 복사하여 로컬에 구성 파일을 만듭니다:

   • Snowflake를 사용하는 경우:

     • 만약 panther-cloud-connected-setup 도구가 Snowflake 계정과 관리자 사용자를 대신 프로비저닝해야 하는 경우: example-config-new-snowflake-acct.yml

     • 이미 생성된 빈 Snowflake 계정과 관리자 사용자를 제공할 경우: example-config-existing-snowflake-acct.yml

   • Databricks를 사용하는 경우: example-config-databricks.yml

2. 템플릿의 안내에 따라 키 값을 업데이트하고 아래 사항을 유의하세요:

   • 다음 항목에 대한 값을 입력할 때 PantherAccountConfig.Region값으로, 지원되는 AWS Panther 리전 중 하나를사용하세요. 이 리전은 Panther 인스턴스가 배포될 위치입니다.

   • (만약 당신이 example-config-new-snowflake-acct.yml) 다음 항목의 값을 입력할 때 SnowflakeConfig.NewAccountConfig.SnowflakeEdition일부 Panther 기능은 Snowflake Enterprise 이상을 필요로 합니다. 여기에서 자세히 알아보기.

   • 도구 AutoRegisterValidationDomains 필드가 도구가 필요한 인증서를 발급하기 위해 대신 DNS 레코드를 생성하도록 허용합니다. 이를 true 로 설정하면 Panther 배포에 사용되는 AWS 계정이 Panther 도메인의 DNS 레코드도 관리해야 합니다.

4단계: 실행 panther-cloud-connected-setup 부분

• 다음 명령으로 도구를 실행하세요:

  • 유용할 수 있는 추가 플래그:

    • --verbose : 상세 로그 출력

    • --snowflake-logging : 상세 Snowflake 로그 출력

    • --force-check-certificates : 이미 발급된 것으로 표시된 경우에도 인증서를 강제로 확인

5단계 (필요한 경우): 인증서 요청을 검증하기 위한 DNS 레코드 생성

이전 단계에서 panther-cloud-connected-setup 도구를 실행하면 대신 SSL 인증서를 요청했으며, 만약 당신이 AutoRegisterValidationDomains: true 를 구성 파일에 설정했다면 Route 53에 DNS 검증 레코드를 생성했습니다.

만약 당신이 AutoRegisterValidationDomains: false로 설정했다면, DNS 검증 레코드를 수동으로 생성해야 합니다.

자동 DNS 레코드 생성(활성화된 경우)

만약 당신이 AutoRegisterValidationDomains: true 를 구성 파일 및 도메인이 동일한 AWS 계정의 Route 53에 호스팅되어 있다면, panther-cloud-connected-setup 를 실행하면 필요한 DNS 검증 레코드를 자동으로 생성하려고 시도합니다.

확인을 위해 도구 출력물을 확인하세요:

• 다음 메시지가 보이면 Successfully created DNS validation record 메시지가 나타나면 DNS 레코드가 자동으로 생성된 것이며 아래 수동 단계를 건너뛸 수 있습니다.

• 다음 메시지가 보이면 Failed to auto-register validation domains 경고가 표시되거나 인증서가 발급되지 않은 것으로 표시되면 아래 수동 단계를 진행하세요.

수동 DNS 레코드 생성

만약 당신이 AutoRegisterValidationDomains: false 를 구성 파일 또는 자동 등록이 실패한 경우, DNS 검증 레코드를 수동으로 생성하세요:

1. 도구를 성공적으로 실행하면 계정 정보가 포함된 파일을 출력합니다. 이 파일에서 panther_certificate 및 wildcard_certificate 노드를 찾으세요:\

   • 다음 항목들이 validation_details.record_name 및 validation_details.record_value 값들이 서로 다른지, panther_certificate 및 wildcard_certificate 노트에서 또는 동일한지 여부를 확인하세요.

2. AWS Route53(또는 선택한 다른 DNS 서비스)에서:

   • 만약 validation_details.record_name 및 validation_details.record_value 값들이 노드에서 동일한 경우, 하나의 CNAME DNS 레코드를 생성하세요. panther_certificate 및 wildcard_certificate 위의 예시 출력 파일에서 값들이 동일하므로 다음 항목으로 단 하나의 DNS 레코드를 생성합니다:

     • 이름:

       • _8f65a0a68b4ca63ae9b9baa41429bf89.panther.coolsystems.net. 값:

       • _2b5df93054bace85f6a84fb07235830d.zfyfvmchrl.acm-validations.aws. 타입:

       • CNAME 노드에서 값들이 다르다면, 두 개의 CNAME DNS 레코드를 생성하세요.

   • 만약 validation_details.record_name 및 validation_details.record_value 값들이 서로 다른지, panther_certificate 및 wildcard_certificate 6단계: 출력된 파일을 Panther에 제공

도구를 성공적으로 실행하면 계정 정보가 포함된 파일을 출력합니다. 이 파일을 Panther 지원팀에 제공하세요.

• 예시 출력 파일

AWS 콘솔에서 EC2 서비스로 이동하세요.

1. 다음의 AWS 제공 DNS 이름을 찾으세요:

2. 웹 로드 밸런서: Route53(또는 선택한 다른 DNS 서비스)으로 이동하세요.

   

   1. 기본 서브도메인(

   2. <your_desired_Panther_subdomain>.<company_name>.com)이 해당 로드 밸런서의 이 DNS 이름을 가리키도록 새 CNAME 레코드를 생성하세요.로드 밸런서. 로드 밸런서: EC2에서

3. http-ingest-alb 의 AWS 제공 DNS 이름을 찾으세요. Route53(또는 선택한 다른 DNS 서비스)으로 이동하세요.

   

   1. 기본 서브도메인(

   2. 로그 서브도메인(logs.<your_desired_Panther_subdomain>.<company_name>.com로드 밸런서. 의 AWS 제공 DNS 이름을 찾으세요. EC2에서

4. )이 가리키도록 새 CNAME 레코드를 생성하세요.

5. AWS 콘솔에서 API Gateway 서비스로 이동하세요. 클릭 > APIs.

6. Custom domain namesAPI 서브도메인 이름을 클릭하세요 ().

7. api.<your_desired_Panther_subdomain>.<company_name>.com ). Endpoint Configuration 섹션에서 API Gateway 도메인 이름

   1. 기본 서브도메인(

   2. 값을 복사하세요.API 서브도메인 이름을 클릭하세요 (API 서브도메인( )이 이 값을 가리키도록 새 CNAME 레코드를 생성하세요. 섹션에서 API Gateway 도메인 이름

8. (선택 사항) 방금 생성한 세 개의 CNAME 레코드를 검증하세요:

   • 기본 엔드포인트가 작동하는지 검증하려면:

     1. 웹 브라우저에서 기본 서브도메인으로 이동하세요.

     2. Panther 콘솔에 로그인하세요.

   • HTTP 수집 엔드포인트가 작동하는지 검증하려면:

     • 다음 지침에 따라 Panther에서 HTTP 소스를 설정하세요.

   • API 엔드포인트가 작동하는지 검증하려면, Panther Analysis Tool (PAT)을 사용하여 호출하세요:

     1. API 토큰 생성.

     2. GraphQL API 엔드포인트 식별.

     3. 다음 명령을 실행하세요 check-connection 명령: pipenv run panther_analysis_tool check-connection --api-host $YOUR_GRAPHQL_ENDPOINT --api-token $YOUR_TOKEN

8단계: API Gateway 및 CodeBuild 할당량 증액 요청

• 다음을 따르세요 이 AWS 문서 다음 할당량 증액을 요청하려면:

  • API Gateway 스로틀 할당량: 20,000으로 설정

  • CodeBuild:

    • ARM/Large 환경에서의 동시 실행 빌드 수(또는 ARM BUILD_GENERAL1_LARGE) : 2 이상으로 설정

    • Linux/Large 환경에서의 동시 실행 빌드 수(또는 Linux BUILD_GENERAL1_LARGE) : 2 이상으로 설정

Panther는 자동으로 귀하의 Lambda 동시 실행 할당량 을 2,000으로 늘리기 위한 요청을 제출합니다.

9단계 (Databricks 사용하는 경우): Panther용 Databricks 구성

• 다음의 모든 지침을 완료하세요 Panther용 Databricks 구성하기.

설치 후 권장사항

1단계 (권장): AWS 리소스에서 Panther가 정의한 태그 활성화

• Panther는 이 태그들을 정의합니다 Panther 배포를 위해 생성된 AWS 리소스에 대해. 이러한 태그를 활성화하려면 이 AWS 문서 따르세요.

2단계 (선택): AWS 리소스에 대한 사용자 지정 태그 Panther에 제공

• Panther가 정의한 태그와 더불어, 원하면 자신의 사용자 지정 태그 를 Panther 배포를 위해 생성된 AWS 리소스에 추가할 수 있습니다. 이렇게 하려면 태그 키와 값 목록을 Panther 지원팀에 제공하세요.

3단계 (Snowflake 사용하는 경우): 최적의 쿼리 성능을 위한 Snowflake 구성 권장사항 검토

• 다음 참조: 최적 검색 성능을 위한 Snowflake 구성.