알림 런북(Alert Runbooks)

알림을 조사하고 조정하기 위한 권장 단계

개요

알림 런북은 알림을 트리거한 문제를 조사하고 수정하기 위한 지침 모음입니다. 설명적인 런북을 제공하는 것이 권장되며, Panther AI 경고 분류 이를 고려합니다. 효과적인 런북 작성 방법을 아래에서.

런북은 탐지에서 정의됩니다:

Python 탐지에서는 동적 runbook() function 또는 정적 런북 필드.
Simple Detections에서는 정적 런북 필드.
상관 규칙에서는 정적 런북 필드.

Panther는 여러 Panther 관리 탐지에 대한 알림 런북을 제공합니다 — panther-analysis 저장소에서 확인하세요.

런북 예시

def runbook(event):
    user_arn = event.deep_get("userIdentity", "arn", default="이 사용자")
    source_ip = event.deep_get("sourceIPAddress", default="이 IP 주소")
    
    return f"""
    1. 알림 발생 24시간 전까지 {user_arn}이 수행한 모든 API 호출 찾기
    2. 소스 IP {source_ip}가 알려진 클라우드 제공업체 IP 범위 또는 VPN 엔드포인트와 연관되어 있는지 확인
    3. 지난 7일 동안 {user_arn} 또는 {source_ip}로부터의 다른 알림 확인
    """

추가 런북 예시

이 섹션의 런북 예시는 YAML 런북 필드 값으로 작성되어 있지만 Python runbook 함수로 변환될 수 있습니다.

사용자 행동 분석 런북:

Runbook: |
  1. 정상 행동을 파악하기 위해 알림 발생 24시간 전까지 해당 사용자 ARN이 수행한 모든 API 호출 찾기
  2. 지난 90일 동안 이 사용자가 이 작업을 수행한 적이 있는지 확인
  3. 지난 7일 동안 이 사용자로부터의 다른 알림 또는 의심스러운 활동 확인

리소스 접근 패턴 런북:

Runbook: |
  1. 알림 전후 1시간 창에서 이 S3 버킷에 대한 모든 접근 시도 쿼리
  2. 지난 30일 활동을 기반으로 접근 주체가 이 버킷에 대한 정당한 접근 권한이 있는지 판단
  3. 접근된 객체 키가 민감한 데이터 패턴과 일치하는지 확인

네트워크/IP 분석 런북:

Runbook: |
  1. 알림 전후 6시간 동안 소스 IP로부터의 모든 API 호출 찾기
  2. 해당 IP가 알려진 클라우드 제공업체, VPN 또는 기업 네트워크 범위와 연관되어 있는지 확인
  3. 이 사용자의 로그인 위치에서 지리적 불일치가 있는지 확인

권한 상승 조사 런북:

Runbook: |
  1. 알림 발생 48시간 전 이 사용자 또는 역할에 대한 IAM 정책 변경 쿼리
  2. 정책 변경 후 24시간 동안 새로 부여된 권한을 사용한 모든 API 호출 찾기
  3. 이 사용자가 지난 90일 동안 유사한 권한 상승 행동을 수행한 적이 있는지 확인

데이터 유출 조사 런북:

Runbook: |
  1. 알림 전후 24시간 동안 이 사용자가 외부 목적지로 전송한 총 데이터량 계산
  2. 데이터 전송량을 해당 사용자의 30일 평균 기준선과 비교
  3. 목적지 IP 또는 도메인이 클라우드 스토리지 또는 파일 공유 서비스와 연관되어 있는지 식별

인증 실패 분석 런북:

Runbook: |
  1. 최초 실패 1시간 전 이 사용자에 대한 실패한 인증 시도 수 집계
  2. 실패 후 다른 IP에서 성공적인 인증이 발생했는지 확인
  3. 알림 전후 24시간 동안 이 사용자에 대한 비밀번호 재설정 또는 MFA 변경 여부 확인

효과적인 런북 작성 팁

Panther AI 또는 인간 분석가가 따를 수 있는 효과적인 런북을 작성하려면:

서로 연계되는 2–3개의 집중된 조사 단계를 제공하세요.
- 단계는 구체적이고 명확하며 실행 가능해야 합니다. 예를 들어:
  - 좋음(구체적, 실행 가능): "이 알림 전후 6시간 동안 {user_arn}이 수행한 모든 API 호출을 식별하기 위해 AWS CloudTrail을 쿼리하세요."
  - 나쁨(모호하며 명확한 결과 없음): "관련 사용자 활동을 검색하세요."
- 상황을 수집하고 서사를 구성하는 데 도움이 되도록 다음 질문에 답할 수 있는 단계를 사용하는 것을 고려하세요:
  1. 무슨 일이 발생했는가? (즉각적 상황)
  2. 이것이 정상인가? (기준선 비교)
  3. 무엇이 더 의심스러운가? (상관관계)
모호성을 피하려면 특정 경고 필드를 이름으로 참조하세요.
- 예를 들어, sourceIPAddress 대신 "그 IP" 대신 사용하고 userIdentity:arn 대신 "그 사용자" 대신 사용하세요.
데이터 검색을 위한 시간 창(예: "24시간 전" 또는 "주변 30분")을 명시하세요. 검색할 시간 범위를 결정할 때 다음 지침을 사용하세요:
- 최근 의심스러운 활동 찾기: 알림 전/후 1-6시간
- 행동 기준선 설정: 30-90일의 기록
- 상관 검색 실행: 24시간에서 7일
- 장기 패턴 검색: 90일

런북 템플릿

이 섹션의 런북 템플릿은 YAML 런북 필드 값으로 작성되어 있지만 Python runbook 함수로 변환될 수 있습니다.

일반 런북 템플릿:

Runbook: |
  1. [행동]을 [특정 필드]로 [시간 범위]에 대해 수행
  2. [확인/비교/검증] [특정 조건]
  3. [검색/찾기] [관련 활동]을 [시간 범위]에서

AWS CloudTrail 런북 템플릿:

Runbook: |
  1. [timeframe] 동안 [userIdentity:arn]이 수행한 모든 API 호출에 대해 CloudTrail 쿼리
  2. [sourceIPAddress]가 알려진 [조건]과 일치하는지 확인
  3. [timeframe] 동안 이 [사용자/리소스/동작]에 대한 다른 알림 찾기

인증 런북 템플릿:

Runbook: |
  1. [알림 전 시간 범위] 동안 [사용자]에 대한 [인증 이벤트] 수 집계
  2. [IP/위치/장치에 관한 조건]이 있는지 확인
  3. [성공한 인증/비밀번호 변경/계정 수정]을 [시간 범위]에서 찾기

Panther AI가 알림 런북을 사용하는 방법

When Panther AI는 알림을 분류(트리아지)할 때런북을 읽고 이를 자율적으로 실행합니다. 위의 팁에 따라 런북을 작성하면 Panther AI가 가능한 강력한 알림 분류를 수행하는 데 도움이 될 수 있습니다.

탐지 데모 보기 runbook AI 알림 분류에 영향을 주는 내용을 여기에서.

Panther AI 런북 기반 알림 분류 기능

When 알림을 분류하는 동안 및 탐지의 runbook실행할 때, Panther AI는 자신의 도구 에 걸쳐 여러 기능에 접근할 수 있습니다(도구 이름을 지정할 필요는 없으며—어느 것을 사용할지 Panther AI가 결정할 수 있습니다):

기능/도구

무엇을 하는가

런북 예시 단계

로그 검색

필터를 사용하여 모든 로그 유형의 이벤트 검색

"알림 발생 24시간 전까지 사용자 ARN이 생성한 모든 AWS CloudTrail 이벤트 찾기"

구조화된 쿼리

SQL과 유사한 구문으로 데이터 레이크 테이블 쿼리

"이 버킷에서 지난 1시간 동안 모든 GetObject 작업에 대해 S3 서버 액세스 로그 쿼리"

탐지 세부정보

탐지 규칙 소스 코드 및 메타데이터 가져오기

"어떤 임계값이 이 알림을 트리거했는지 이해하기 위해 탐지 규칙 로직 검토"

hashtag개요

hashtag런북 예시

hashtag효과적인 런북 작성 팁

hashtagPanther AI가 알림 런북을 사용하는 방법

개요

런북 예시

효과적인 런북 작성 팁

Panther AI가 알림 런북을 사용하는 방법