search
Ctrlk
Knowledge BaseRelease NotesRequest Demo

Panther 감사 로그를 위한 디택션 쿼리 및 작성

Panther 감사 로그 모니터링

hashtag
개요

다음과 같이 할 수 있습니다 Panther 감사 로그 수집을 Panther로 활성화합니다, 즉 이후 디택션, 데이터 레이크 쿼리 등에서 Panther 감사 로그와 상호작용할 수 있습니다.

hashtag
Panther 감사 로그에 대해 데이터 레이크 쿼리하기

감사 로그는 데이터 레이크의 다음 위치에서 찾을 수 있습니다 panther_logs.panther_audit. 다음 쿼리를 검색 또는 Data Explorer에서 실행하면 지난 하루 동안의 모든 감사 이벤트가 표시됩니다:

SELECT * FROM panther_logs.panther_audit WHERE p_occurs_since('1 day');

이 쿼리의 결과에는 여러 감사 로그가 포함되며, 그 예시는 아래에서 볼 수 있습니다:

{
	"XForwardedFor": [
		"72.72.72.72",
		"130.172.130.172"
	],
	"actionDescription": "사용 가능한 모든 데이터 레이크 데이터베이스의 세부 정보를 나열합니다",
	"actionName": "LIST_DATA_LAKE_DATABASES",
	"actionParams": {},
	"actionResult": "SUCCEEDED",
	"actor": {
		"attributes": {
			"email": "[email protected]",
			"emailVerified": false,
			"roleId": ""
		},
		"id": "[email protected]",
		"name": "[email protected]",
		"type": "USER"
	},
	"errors": null,
	"p_any_ip_addresses": [
		"72.72.72.72",
		"130.172.130.172"
	],
	"p_any_trace_ids": [
		"[email protected]"
	],
	"p_any_usernames": [
		"[email protected]"
	],
	"p_event_time": "2022-04-22 15:39:55.358",
	"p_log_type": "Panther.Audit",
	"p_parse_time": "2022-04-22 15:41:36.276",
	"p_row_id": "asdfdjklasdfjklasdfjlk",
	"p_source_id": "abc12345-ab12-cd12-ef12-abc1234567890",
	"p_source_label": "panther-audit-logs-us-east-1",
	"pantherVersion": "1.34.0",
	"sourceIP": "72.72.72.72",
	"timestamp": "2022-04-22 15:39:55.358",
	"userAgent": ""
}

hashtag
Panther 감사 로그용 디택션 작성하기

감사 로그는 Panther 내에서 비정상적이거나 중요한 작업이 수행되었을 때 알림을 생성하는 강력한 디택션을 작성하는 데 활용할 수 있습니다.

디택션이 삭제되었을 때 알림을 보내는 디택션을 작성해 보겠습니다.

hashtag
1단계: 디택션 생성 시작

  1. 왼쪽 탐색 모음에서 Panther Console의 디택션.

  2. 디택션 페이지에서 다음을 클릭합니다 새로 만들기.

  3. 에서 디택션 유형 선택 모달에서 다음을 클릭합니다 .

  4. 설명적인 이름 룰의 이름(예: Panther 디택션 삭제됨.

  5. 아래에서 다음 소스에 대해, 에서 로그 유형 드롭다운, 선택 Panther.Audit. Under a "For the Following Source" header is a "Log Types" dropdown. A "Panther.Audit" selection has been made.

  6. 에서 감지 타일의 파이썬 편집기.

  7. 코드 편집기에서 다음 Python 코드를 입력하세요. 이 코드는 디택션이 삭제될 때 알러트를 생성합니다:

  8. 에서 알러트 생성 타일 아래에서 필수 필드, 선택하세요 Severity.

  9. 아래로 스크롤하여 Test 타일을 클릭한 다음 새로 추가.

hashtag
2단계: 디택션에 대한 테스트 만들기

1단계에서 디택션을 정의하고 새로 추가 아래 Test 테스트를 시작하기 위해.

아래에서는 여러분이 디택션을 작성한 작업에 대한 테스트 데이터를 생성할 것입니다. 예시에서는 Panther Console에서 디택션을 삭제하는 작업을 확인하기 위한 디택션을 정의했습니다.

  1. 별도의 브라우저 탭에서 Panther Console을 엽니다. 테스트 감사 로그를 생성하기 위해 디택션을 작성한 작업을 수행합니다.

    • 위의 예시에서는 Panther Console에서 디택션을 삭제하는 작업을 확인하기 위한 디택션을 정의했습니다. 이 예시에서는 다음 단계를 따릅니다:

      1. 다음으로 이동합니다 Build > 디택션.

      2. 테스트 디택션을 생성합니다.

      3. 디택션을 성공적으로 생성한 후 삭제합니다.

  2. 왼쪽 사이드바에서 다음을 클릭합니다 Investigate > Data Explorer.

  3. 테스트하는 작업에 대한 감사 로그를 찾기 위해 쿼리를 실행합니다.

    • 우리의 예시를 바탕으로, 최근에 삭제된 디택션을 확인하기 위해 다음 쿼리를 사용합니다:

    • 결과가 반환되지 않으면 몇 분 기다린 후 다시 시도하세요.

  4. Data Explorer 결과에서 이 로그를 나타내는 JSON 개체를 복사합니다. 정의한 디택션으로 돌아간 다음 JSON 개체를 붙여넣습니다. Test 텍스트 편집기.

  5. 떠나세요 디택션은 예시 이벤트를 기반으로 트리거되어야 합니다 토글이 다음으로 설정됨 YES.

  6. 클릭 테스트 실행.

    • 디택션이 예상대로 실행되고 알러트 제목이 예상대로 표시되는지 확인합니다. The image shows the test from a rule in the Panther Console. At the bottom under the "Mock Testing" section, there is a message that says "PASS" and includes the alert title and dedup string for the successful test.

  7. 페이지 오른쪽 상단 모서리에서 클릭하세요 배포.

hashtag
설명적인 알러트 제목 만들기

위의 예에서는 간단한 알러트 제목을 사용했습니다:

audit log에서 찾을 수 있는 값을 사용하여 더 설명적인 알러트 제목을 구성할 수 있습니다. actionParams 필드:

여기에서 로그 스키마 감사 로그 필드에 대한 자세한 내용은.

circle-info

The actionParams 필드는 감사된 각 작업마다 다릅니다. 특정 작업에 대해 이 필드에 어떤 정보가 포함되어 있는지 이해하려면, 해당 작업의 감사 로그에 대해 데이터 레이크를 쿼리하고 그 결과를 바탕으로 해당 작업에 대한 탐지 규칙을 작성하는 방법을 정하세요.

이전Panther 감사 로그다음Panther 감사 로그 작업

마지막 업데이트

도움이 되었나요?