탐지(Detections)
탐지를 사용하여 데이터를 분석하고 의심스러운 동작에 대한 경고를 트리거하세요
개요
탐지는 실시간 또는 과거 로그 이벤트에 대해 실행되는 논리의 단위로, 의심스러운 동작을 식별하고 시그널을 생성하며 선택적으로 알림을 생성합니다. 팀은 Python으로 탐지를 작성하여 코드형 탐지(detections-as-code)를 활용하거나 Panther의 간단 탐지(Simple Detections) 기능을 사용하여 기술 수준에 상관없이 탐지 생성 및 관리를 공동 작업할 수 있습니다.
탐지에는 네 가지 유형이 있습니다:
스케줄된 규칙(Scheduled Rules)
데이터 레이크에서 스케줄 검색(Scheduled Searches) 의 결과에 대해 실행됩니다.
정책(Policies)
클라우드 인프라 구성(configuration)을 스캔하고 평가하여 잘못된 구성(misconfiguration)을 식별합니다.
자세한 내용은 정책(Policies).
규칙, 스케줄된 규칙 또는 상관 규칙에 일치가 발생하면 시그널이 생성되고—알림이 활성화된 경우 규칙 매치(rule match)가 생성됩니다. 정책은 각 일치에서 규정 준수 실패(compliance failure)를 생성합니다.
규칙 매치는 탐지의 이벤트 임계값 및 중복 제거(deduplication) 구성에 따라 알림을 트리거할 수 있습니다. 그런 다음 알림은 대상으로 라우팅됩니다 탐지 및 대상에 대한 구성에 따라. 아래에서 시그널, 규칙 매치 및 알림의 차이점.
어떻게 할지 결정해야 합니다 Panther 콘솔에서 탐지를 관리할지 또는 CLI 워크플로를 사용할지그런 다음 시작할 수 있습니다 Panther 관리 탐지를 활성화하거나 직접 작성.
탐지 시작하기
탐지 관리 워크플로 선택
다음 방법 중 하나로 Panther 탐지를 생성하고 관리할 수 있습니다:
Panther 콘솔
콘솔에서 간단 탐지 빌더(Simple Detection builder)를 사용하여 자체 탐지를 구성하거나, Python을 작성하여.
활성화하세요 Panther 관리형 Python 탐지 (개별적으로 또는 탐지 팩(Detection Packs)안에서) 추가 구성 없이 빠르게 시작할 수 있습니다.
로컬에서 탐지를 간단 탐지(Simple Detections) 또는 Python 탐지로 작성하세요.
지속적 통합 및 지속적 배포(CI/CD) 워크플로를 사용하여 Panther 탐지를 관리하는 방법에 대해 자세히 알아보려면 CI/CD 가이드.
CLI 워크플로에는 Panther 분석 도구(PAT)를 사용하는 것이 포함됩니다. PAT는 소스 코드에서 Panther 탐지를 테스트하고 패키지화하며 배포하기 위한 오픈 소스 유틸리티입니다.
CI/CD 워크플로로 마이그레이션
빠르게 시작하려면 Panther 관리형 탐지 팩(Detection Packs) 을 Panther 콘솔에서 활성화한 다음 나중에 CI/CD 워크플로로 전환할 수 있습니다. 워크플로를 CI/CD로 마이그레이션하려면 CI/CD 워크플로로 마이그레이션.
탐지 활성화 또는 작성
Panther로 위협을 탐지하기 시작하는 가장 빠른 방법은 이미 작성되어 있는 Panther 관리형 탐지 를 켜는 것입니다. 이 내장 규칙과 정책은 다양한 로그 소스에 적용 가능하며, Panther는 주기적으로 핵심 탐지 로직에 대한 개선을 릴리스합니다. Panther 관리형 규칙은 규칙 필터(Rule Filters)를 사용하여 맞춤 설정할 수 있거나, 해당 규칙을 복제(clone)하여 복제된 버전의 탐지 로직을 편집하여 정확한 요구에 맞출 수 있습니다.
또한 Panther에서 Sigma 규칙 변환.
을 통해 규칙을 빠르게 생성할 수 있습니다.
Python 탐지 작성하기
Panther AI 탐지 기능 Panther AI 다음
기능을 사용하여 Panther 탐지와 상호작용하세요.
AI 탐지 빌더
AI 탐지 빌더를 사용하면 자연어로 탐지하고자 하는 내용을 설명할 수 있으며—그다음 새 탐지나 수정된 탐지에 대한 제안을 제공합니다. AI 탐지 빌더(베타).
자세한 내용은
AI 탐지 요약 개요 탭에서 Panther 콘솔의 탐지 상세 페이지에는 AI가 생성한 요약이 있습니다:
이 요약은 Panther 관리형 탐지을 활성화하기 전에 검토하거나, 동료가 생성한 탐지(예: 기능을 사용하여 Panther 탐지와 상호작용하세요.).
간단 탐지(Simple Detections)
간단 탐지는 모든 수준의 기술 역량을 가진 사용자가 Panther에서 탐지를 쉽게 생성하고 관리할 수 있게 하는 기능 모음을 가리킵니다. 이러한 기능에는 다음이 포함됩니다:
간단 탐지 빌더(Simple Detection builder)콘솔에서 코드 작성 없이 규칙을 생성 및 편집할 수 있는 간단 탐지 빌더가 있습니다.
CLI 워크플로에서 작성된 간단 탐지CLI 워크플로에서 YAML로 간단 탐지를 작성한 다음 이를 Panther에 업로드하면 콘솔의 간단 탐지 빌더에서 해당 탐지가 표시됩니다.
이 기능들을 통해 다양한 수준의 YAML 경험을 가진 팀원이 탐지를 이해하고 공동 작업할 수 있습니다.
탐지에서 데이터 작업하기
스키마 정의
Panther의 스키마는 데이터에 포함된 필드 유형에 대한 유용한 정보를 제공하여 탐지를 작성할 때 데이터와 상호작용하는 방법을 이해하기 쉽게 만듭니다.
스키마 정의는 다음에서 찾을 수 있습니다:
Panther 문서
문서의 지원 로그(Supported Logs) 섹션에서 각 통합에 대한 스키마를 참조하세요. 사용자 정의 로그(Custom Logs) 스키마에 대한 자세한 내용은 사용자 정의 로그(Custom Logs).
Panther 콘솔
Panther 콘솔에 로그인한 다음 데이터 > 스키마(Data > Schemas).
Data Explorer에서 샘플 추출하기
Data Explorer는 파이썬 코드를 작성할 때 데이터, 데이터 위치 및 데이터 유형을 이해하고 조사하기 쉽게 합니다. 여기에는 Panther가 로그 소스에서 파싱한 모든 데이터가 포함되며 데이터는 테이블에 저장됩니다.
탐지를 작성하려는 로그 유형에 해당하는 테이블을 검색하여 로그 이벤트를 찾아보세요.
다음과 같이 할 수 있습니다 예제 테이블 데이터 미리보기 SQL을 작성하지 않고도 가능합니다. 해당 로그 소스에 대한 샘플 SQL 쿼리를 생성하려면 테이블 유형 옆의 눈 아이콘을 클릭하세요:
쿼리가 결과를 생성하면 결과 테이블에 예제 로그 이벤트가 표시됩니다. 이를 CSV 파일로 다운로드할 수 있습니다.
탐지 작성 중에 단위 테스트(Unit Tests) 에 사용할 로그 이벤트를 복사하려면 JSON 보기(View JSON).
시그널(신호) vs. 알림
이 섹션은 이전에 시그널과 알림이 "규칙 매치(rule matches)"와 어떻게 다른지 설명했습니다. Panther는 2025년 말에 panther_rule_matches, panther_rule_errors, 및 panther_views 로의 쓰기를 중단할 것입니다. 이 위치들에 쓰여진 데이터는 이미 새 위치로 동시에 기록되고 있으므로 과거 데이터가 손실되지 않습니다. 변경 사항에 대해 자세히 알아보려면 이 지식 기반 문서.
를 참조하세요. 규칙(rule), 스케줄된 규칙(scheduled rule)또는 상관 규칙(correlation rule):
에 일치가 발생할 때마다 시그널(signal) 이 생성됩니다. 이는 규칙, 스케줄된 규칙 또는 상관 규칙에 설정된 구성과 상관없이 적용됩니다.
규칙, 스케줄된 규칙 또는 상관 규칙에 알림이 활성화된 경우(즉, 콘솔에서 알림 생성(Create Alert) 이
켜짐(ON)으로 설정되어 있거나, CLI 워크플로에서CreateAlert이가true 로 설정된 경우), 알림(alert)
를 참조하세요. 이 생성됩니다(탐지의 이벤트 임계값 및 중복 제거 구성에 따라). 탐지에 대해 알림이 비활성화된 경우 알림은 생성되지 않습니다.정책(policy)
의 경우 규정 준수 실패(compliance failure)가 생성됩니다(시그널이 아니라). 정책은 알림을 비활성화하도록 구성할 수 없습니다.
Last updated
Was this helpful?