search
Knowledge BaseRelease NotesRequest Demo

Panther 감사 로그에 대한 탐지 쿼리 및 작성

Panther 감사 로그 모니터링하기

hashtag
개요

귀하는 Panther 감사 로그를 Panther로 수집하도록 활성화합니다즉, 이후 감지, 데이터 레이크 쿼리 등에서 Panther 감사 로그와 상호작용할 수 있습니다.

hashtag
Panther 감사 로그에 대한 데이터 레이크 쿼리

감사 로그는 데이터 레이크의 다음 위치에서 찾을 수 있습니다 panther_logs.panther_audit. 다음 쿼리는 알림 요약을 보는 동안 알림 위에 마우스를 올려 놓으면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하면 속성 값을 복사하여 데이터 탐색기(Data Explorer)에서 사용할 수 있습니다. 또는 데이터 탐색기에서 실행되며 지난 하루 동안의 모든 감사 이벤트를 보여줍니다:

SELECT * FROM panther_logs.panther_audit WHERE p_occurs_since('1 day');

이 쿼리의 결과에는 여러 감사 로그가 포함되며, 그 예시는 아래에서 볼 수 있습니다:

{
	"XForwardedFor": [
		"72.72.72.72",
		"130.172.130.172"
	],
	"actionDescription": "사용 가능한 모든 데이터 레이크 데이터베이스의 세부 정보를 나열합니다",
	"actionName": "LIST_DATA_LAKE_DATABASES",
	"actionParams": {},
	"actionResult": "SUCCEEDED",
	"actor": {
		"attributes": {
			"email": "[email protected]",
			"emailVerified": false,
			"roleId": ""
		},
		"id": "[email protected]",
		"name": "[email protected]",
		"type": "USER"
	},
	"errors": null,
	"p_any_ip_addresses": [
		"72.72.72.72",
		"130.172.130.172"
	],
	"p_any_trace_ids": [
		"[email protected]"
	],
	"p_any_usernames": [
		"[email protected]"
	],
	"p_event_time": "2022-04-22 15:39:55.358",
	"p_log_type": "Panther.Audit",
	"p_parse_time": "2022-04-22 15:41:36.276",
	"p_row_id": "asdfdjklasdfjklasdfjlk",
	"p_source_id": "abc12345-ab12-cd12-ef12-abc1234567890",
	"p_source_label": "panther-audit-logs-us-east-1",
	"pantherVersion": "1.34.0",
	"sourceIP": "72.72.72.72",
	"timestamp": "2022-04-22 15:39:55.358",
	"userAgent": ""
}

hashtag
Panther 감사 로그에 대한 감지 작성

감사 로그는 Panther 내에서 비정상적이거나 중요한 작업이 발생했을 때 경보를 생성하는 강력한 감지를 작성하는 데 활용될 수 있습니다.

감지가 삭제되었을 때 경보를 생성하는 감지를 작성해 보겠습니다.

hashtag
1단계: 감지 생성 시작

  1. Panther 콘솔의 왼쪽 탐색 바에서 다음을 클릭합니다 탐지(Detections).

  2. Detections 페이지에서 클릭합니다 새로 만들기.\

  3. 위의 Select Detection Type 모달에서 클릭합니다 Rule.

  4. 소스에 대한 설명적인 이름(Name) 규칙의 이름 예: Panther detection deleted.

  5. 아래의 다음 소스에 대해, 에서 로그 유형(Log Types) 드롭다운에서 선택합니다 Panther.Audit. Under a "For the Following Source" header is a "Log Types" dropdown. A "Panther.Audit" selection has been made.

  6. 위의 Detect 타일, 클릭 Python 편집기.

  7. 코드 편집기에 다음 Python 코드를 입력합니다. 이 코드는 감지가 삭제될 때 경보를 생성합니다:

  8. 위의 경보 생성 타일에서 필수 필드에서, 를 선택합니다 이 policy 이고.

  9. 아래로 스크롤하여 Test 타일을 선택하고 새로 추가.

hashtag
2단계: 감지 테스트 생성

1단계에서 감지를 정의하고 클릭했습니다 새로 추가 에서 Test 테스트 프로세스를 시작합니다.

아래에서는 작성한 감지에 대해 테스트 데이터를 생성합니다. 예에서는 Panther 콘솔에서 감지 삭제 작업을 확인하는 감지를 정의했습니다.

  1. 별도의 브라우저 탭에서 Panther 콘솔을 열고, 감지를 위해 작성한 작업을 수행하여 테스트 감사 로그를 생성합니다.

    • 위의 예에서는 Panther 콘솔에서 감지 삭제 작업을 확인하는 감지를 정의했습니다. 이 예제에서는 다음 단계를 따릅니다:

      1. 을(를) 클릭하십시오. Build > Detections.

      2. 테스트 감지를 생성합니다.

      3. 감지를 성공적으로 생성한 후 삭제합니다.

  2. 왼쪽 사이드바에서 조사(Investigate) > 데이터 탐색기(Data Explorer).

  3. 테스트 중인 작업에 대한 감사 로그를 찾기 위해 쿼리를 실행합니다.

    • 예에 따라 최근에 삭제된 감지를 확인하기 위해 다음 쿼리를 사용합니다:

    • 결과가 반환되지 않으면 몇 분 기다렸다가 다시 시도하십시오.

  4. Data Explorer 결과에서 이 로그를 나타내는 JSON 객체를 복사합니다. 정의한 감지로 돌아가서 JSON 객체를 Test 텍스트 편집기에 붙여넣습니다.

  5. 을(를) 그대로 두십시오 예시 이벤트를 기준으로 감지가 트리거되어야 합니다 토글이 다음으로 설정되어 있습니다 설정의 기본값은.

  6. 클릭 테스트 실행.

    • 감지가 예상대로 실행되고 경보 제목이 예상대로 표시되는지 확인합니다. The image shows the test from a rule in the Panther Console. At the bottom under the "Mock Testing" section, there is a message that says "PASS" and includes the alert title and dedup string for the successful test.

  7. 페이지 오른쪽 상단에서 클릭합니다 배포.

hashtag
더 설명적인 경보 제목 만들기

위의 예에서는 간단한 경보 제목을 사용했습니다:

로그의 actionParams 필드에 있는 값을 사용하여 더 설명적인 경보 제목을 구성할 수 있습니다:

참조하세요 로그 스키마 감사 로그 필드에 대한 자세한 내용은

circle-info

를 입력하세요 actionParams 필드는 각 감사된 작업마다 다릅니다. 특정 작업에 대해 이 필드에 어떤 정보가 포함되는지 이해하려면, 해당 작업에 대한 감사 로그를 데이터 레이크에서 쿼리하십시오 그리고 결과를 사용하여 해당 작업에 대한 감지 작성 방법을 결정하십시오.

PreviousPanther 감사 로그NextPanther 감사 로그 작업

Last updated

Was this helpful?