Thinkst Canary 로그

개요

Panther가 수집합니다 Thinkst Canary 웹후크를 구성하여 이벤트를 Panther의 HTTP 소스에 게시하도록 Thinkst Canary 경고 로그.

Thinkst Canary 허니팟 및 허니토큰은 몇 분 내에 배포할 수 있으며 몇 번의 클릭만으로 Panther로 전송할 수 있습니다. Panther에서는 Canary 경고를 다른 보안 이벤트와 연관시켜 중앙 집중식 위협 탐지, 간소화된 사고 대응 및 네트워크 보안 상태 전반에 걸친 향상된 가시성을 제공할 수 있습니다.

Thinkst Canary 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 새 Thinkst Canary 소스 생성

이 로그를 Panther에 연결하려면:

1. Panther 콘솔의 왼쪽 탐색 바에서 다음을 클릭합니다 구성 > 로그 소스.

2. 클릭 새로 만들기.

3. “Thinkst Canary”를 검색한 다음 해당 타일을 클릭하세요.

4. 슬라이드아웃 패널의 오른쪽 상단에서 클릭하세요 설정 시작.

   
5. Panther의 HTTP 소스 구성에 대한 지침을 따르세요, 5단계부터 시작합니다.

   • 다음의 인증 방법에서 선택하세요 공유 비밀 인증. 이것이 Thinkst Canary가 지원하는 유일한 인증 방법입니다.

   • 이 소스로 전송되는 페이로드는 다음의 모든 HTTP 소스에 대한 페이로드 요구사항.

   • HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

2단계: Thinkst Canary에서 웹후크 구성

1. Thinkst Canary 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘 > 를 클릭하세요 글로벌 설정.

2. 왼쪽 내비게이션 바에서 클릭하세요 웹후크.

3. 클릭 새 웹후크 추가.

4. 아래의 글로벌 웹후크 피드에서 더하기 아이콘(을 클릭하세요+).

5. 위의 새 웹후크 추가 팝업 모달에서 클릭하세요 일반 추가.

6. 위의 새 일반 웹후크 추가 팝업 모달에서 웹후크 필드를 구성하세요:

   • 웹후크 URL: 에 다음을 붙여넣으세요 HTTP 소스 URL 1단계에서 Panther에서 생성한 1단계.

   • 사용자 지정 요청 헤더 추가: 이 필드를 켜세요.

     • 헤더 이름과 값은 Thinkst Canary 콘솔과 Panther 사이에서만 공유되어야 합니다.

   • 헤더 이름 입력: 다음을 입력하세요 헤더 이름 1단계에서 Panther에 입력한 1단계.

   • 헤더 값 입력: 다음을 입력하세요 공유 비밀 값 1단계에서 Panther에 입력하거나 생성한 1단계.

7. 클릭 저장.

Panther 관리 탐지

참조 Panther 관리 Thinkst Canary에 대한 규칙은 panther-analysis GitHub 저장소.

지원되는 로그 유형

ThinkstCanary.Alert