Panther로 Teleport 감사 이벤트 내보내기

Teleport Event Handler 플러그인과 Fluentd를 구성하여 감사 로그를 Panther로 전송하는 방법

Panther는 클라우드 네이티브 보안 분석 플랫폼입니다. 이 가이드에서는 Fluentd를 사용하여 Teleport 감사 이벤트를 Panther로 전달하는 방법을 설명합니다. 작동 방식 # Teleport Event Handler는 mTLS를 사용하여 Fluentd와 통신하여 보안 채널을 설정하도록 설계되었습니다. 이 설정에서 Event Handler는 이벤트를 Fluentd로 전송하고, Fluentd는 이를 Panther가 수집할 S3로 전달합니다. 사전 요구사항 # Panther 계정. Event Handler를 실행할 서버, 가상 머신, Kubernetes 클러스터 또는 Docker 환경. 아래 지침은 테스트용 로컬 Docker 컨테이너를 가정합니다. Fluentd 버전 v [fluentd.version] 이상. Teleport Event Handler는 기존 Fluentd 시스템에 통합하거나 새로운 설정과 함께 사용할 수 있는 새 fluent.conf 파일을 생성합니다. 로그를 저장할 S3 버킷. Panther는 이 버킷에서 로그를 수집합니다. 아래 지침은 VM에서 Event Handler 플러그인을 로컬로 테스트하는 방법을 보여줍니다. 다른 환경에서는 경로, 포트 및 도메인을 조정해야 합니다. 1단계/7. Event Handler 플러그인 설치 # Teleport Event Handler는 Fluentd 포워더와 함께 실행되며, Teleport의 이벤트 API에서 이벤트를 받아 Fluentd로 전달합니다. 2단계/7. 플러그인 구성 생성 # 3단계/7. 감사 이벤트 읽기를 위한 사용자 및 역할 생성 # 4단계/7. teleport-event-handler 자격 증명 생성 # Event Handler 역할에 대한 자격 증명 발급 활성화 # Machine & Workload Identity 방식 또는 장기 아이덴티티 파일 방식 을 사용하여 자격 증명 발급을 활성화합니다. Event Handler 플러그인 사용자의 아이덴티티 파일 내보내기 # 플러그인에 Teleport 아이덴티티 파일 접근 권한을 부여합니다. 유출 시 위험성이 낮은 단기 아이덴티티 파일을 생성하기 위해 Machine ID 사용을 권장하지만, 데모 배포에서는 tctl 로 장기 아이덴티티 파일을 생성할 수 있습니다. 5단계/7. Fluentd와 S3 플러그인이 포함된 Dockerfile 생성 # Panther로 로그를 전송하려면 S3용 Fluentd 출력 플러그인을 사용해야 합니다. 다음 내용으로 Dockerfile 을 만듭니다: FROM fluent/fluentd:edge USER root RUN fluent-gem install fluent-plugin-s3 USER fluent Docker 이미지를 빌드합니다: $ docker build -t fluentd-s3 . 팁: 로컬에서 테스트하는 경우? 테스트를 위해 로컬 Docker 컨테이너에서 Fluentd를 실행하는 경우, 진입점을 대화형 셸로 조정하여 설정을 테스트할 수 있습니다. $ docker run