알러트 런북

알러트를 조사하고 해결하기 위한 권장 단계

개요

알러트 런북은 알러트를 유발한 문제를 조사하고 해결하기 위한 지침 모음입니다. 설명적인 런북을 제공하는 것이 권장됩니다. Panther AI 알러트 분류 는 이를 고려할 것입니다. 효과적인 런북 작성 방법을 알아보세요 아래.

런북은 디택션에서 정의됩니다:

Python 디택션에서는, 동적 runbook() function 또는 정적 런북 필드.
Simple Detections에서는 정적 런북 필드.
상관 룰에서는 정적 런북 필드.

Panther는 여러 Panther 관리 디텍션—에서 이를 확인하세요 panther-analysis 레포지토리.

런북 예시

def runbook(event):
    user_arn = event.deep_get("userIdentity", "arn", default="this user")
    source_ip = event.deep_get("sourceIPAddress", default="this IP address")
    
    return f"""
    1. 알러트 발생 24시간 전부터 해당 시간까지 {user_arn}의 모든 API 호출을 찾습니다
    2. 소스 IP {source_ip}가 알려진 클라우드 제공업체 IP 범위 또는 VPN 엔드포인트와 연관되어 있는지 확인합니다
    3. 지난 7일간 {user_arn} 또는 {source_ip}로부터 발생한 다른 알러트를 찾습니다
    """

추가 런북 예시

이 섹션의 런북 예시는 YAML 런북 필드 값으로 작성되었지만 Python으로 변환할 수 있습니다 runbook 함수입니다.

사용자 행동 분석 런북:

Runbook: |
  1. 정상 동작을 파악하기 위해 알러트 발생 24시간 전부터 해당 시간까지 사용자 ARN의 모든 API 호출을 찾습니다
  2. 과거 90일 동안 이 사용자가 해당 동작을 수행한 적이 있는지 확인합니다
  3. 지난 7일간 이 사용자로부터 발생한 다른 알러트나 의심스러운 활동을 확인합니다

리소스 접근 패턴 런북:

Runbook: |
  1. 알러트 전후 1시간 창에서 이 S3 버킷에 대한 모든 접근 시도를 쿼리합니다
  2. 접근 주체가 지난 30일 활동을 기준으로 이 버킷에 정당한 접근 권한을 가지고 있는지 판단합니다
  3. 접근된 오브젝트 키가 민감 데이터 패턴과 일치하는지 확인합니다

네트워크/IP 분석 런북:

Runbook: |
  1. 알러트 전후 6시간 동안 소스 IP에서 발생한 모든 API 호출을 찾습니다
  2. 해당 IP가 알려진 클라우드 제공업체, VPN 또는 회사 네트워크 범위와 연관되어 있는지 확인합니다
  3. 이 사용자의 로그인 위치에서 지리적 불일치가 있는지 확인합니다

권한 상승 조사 런북:

Runbook: |
  1. 알러트 발생 48시간 전 이 사용자 또는 역할에 대한 IAM 정책 변경을 쿼리합니다
  2. 정책 변경 후 24시간 내에 새로 부여된 권한을 사용한 모든 API 호출을 찾습니다
  3. 과거 90일 동안 이 사용자가 유사한 권한 상승 행동을 수행한 적이 있는지 확인합니다

데이터 유출 조사 런북:

Runbook: |
  1. 알러트 전후 24시간 동안 이 사용자가 외부 대상으로 전송한 총 데이터 양을 계산합니다
  2. 데이터 전송량을 사용자의 30일 평균 기준과 비교합니다
  3. 목적지 IP나 도메인이 클라우드 스토리지 또는 파일 공유 서비스와 연관되어 있는지 식별합니다

인증 실패 분석 런북:

Runbook: |
  1. 첫 실패 발생 1시간 전 이 사용자에 대한 인증 실패 시도를 계산합니다
  2. 실패 시도 이후 다른 IP에서 성공적인 인증이 발생했는지 확인합니다
  3. 알러트 전후 24시간 동안 이 사용자에 대한 비밀번호 재설정 또는 MFA 변경을 확인합니다

효과적인 런북 작성 팁

Panther AI 또는 사람 분석가가 따를 수 있는 효과적인 런북을 작성하려면:

서로 이어지는 2~3개의 집중된 조사 단계를 제공하세요.
- 단계는 구체적이고 명확하며 실행 가능해야 합니다. 예를 들어:
  - 좋음 (구체적, 실행 가능): "이 알러트 전후 6시간 동안 {user_arn}이 수행한 모든 API 호출을 식별하기 위해 AWS CloudTrail을 쿼리하세요."
  - 나쁨 (모호하고 명확한 결과 없음): "관련 사용자 활동을 검색하세요."
- 문맥을 수집하고 내러티브를 구성하는 데 도움이 되도록 다음의 질문에 답할 수 있는 단계를 사용해 보세요:
  1. 무슨 일이 발생했는가? (직접적인 문맥)
  2. 정상인가? (기준선 비교)
  3. 그 밖에 무엇이 의심스러운가? (상관)
모호성을 피하기 위해 특정 알러트 필드를 이름으로 참조하세요.
- 예를 들어, 다음을 사용하세요 sourceIPAddress 대신 "the IP" userIdentity:arn 대신 "the user."
데이터 검색을 위한 시간 창(예: "24 hours before" 또는 "30 minutes around")을 표시하세요. 검색할 시간량을 결정할 때는 다음 지침을 사용하세요:
- 최근 의심스러운 활동 찾기: 알러트 전후 1~6시간
- 행동 기준선 설정: 과거 30~90일의 기록
- 상관 검색 실행: 24시간에서 7일
- 장기 패턴 검색: 90일

런북 템플릿

이 섹션의 런북 템플릿은 YAML 런북 필드 값으로 작성되었지만 다음으로 변환할 수 있습니다 Python runbook 함수.

일반 런북 템플릿:

Runbook: |
  1. [시간창]에 [특정 필드]에 의한 [동작]
  2. [특정 조건]을 [확인/비교/검증]
  3. [시간창]에 [관련 활동]을 [검색/조회]

AWS CloudTrail 런북 템플릿:

Runbook: |
  1. [시간창]에 [userIdentity:arn]에 의한 모든 API 호출을 확인하기 위해 CloudTrail을 쿼리합니다
  2. [sourceIPAddress]가 알려진 [조건]과 일치하는지 확인합니다
  3. [시간창]에 이 [사용자/리소스/동작]에 대한 다른 알러트를 찾습니다

인증 런북 템플릿:

Runbook: |
  1. [알러트 이전의 시간창]에 대한 [사용자]의 [인증 이벤트] 수를 계산합니다
  2. [IP/위치/디바이스에 관한 조건]인지 확인합니다
  3. [시간창]에 대한 [성공적인 인증/비밀번호 변경/계정 수정]을 확인합니다

Panther AI가 알러트 런북을 사용하는 방법

다음 필드를 포함해야 합니다 Panther AI는 알러트를 분류합니다, 런북을 읽고 이를 자율적으로 실행합니다. 위의 팁에 따라 런북을 작성하면 Panther AI가 가능한 최강의 알러트 분류를 수행하는 데 도움이 될 수 있습니다.

디텍션 데모 보기 runbook AI 알러트 분류에 영향을 미치는 데모는 여기.

Panther AI 런북 지향 알러트 분류 기능

다음 필드를 포함해야 합니다 알러트를 분류하는 및 디텍션의 runbook를 실행하면서, Panther AI는 자신의 도구 를 통해 여러 기능에 접근할 수 있습니다 (도구 이름을 지정할 필요는 없습니다 — Panther AI가 어떤 것을 사용할지 결정하게 할 수 있습니다):

기능/도구

무엇을 하는가

런북 예시 단계

로그 검색

필터를 사용하여 모든 로그 유형에 대해 이벤트를 검색합니다

"알러트 발생 24시간 전 이 사용자 ARN의 모든 AWS CloudTrail 이벤트를 찾습니다"

구조화된 쿼리

SQL 유사 구문으로 데이터 레이크 테이블을 쿼리합니다

"지난 1시간 동안 이 버킷에서 발생한 모든 GetObject 작업에 대해 S3 서버 액세스 로그를 쿼리합니다"

디텍션 세부정보

디텍션 룰 소스 코드와 메타데이터를 가져옵니다

"어떤 임계값이 이 알러트를 유발했는지 이해하기 위해 디텍션 룰 로직을 검토하세요"

hashtag개요

hashtag런북 예시

hashtag효과적인 런북 작성 팁

hashtagPanther AI가 알러트 런북을 사용하는 방법

개요

런북 예시

효과적인 런북 작성 팁

Panther AI가 알러트 런북을 사용하는 방법