search
Ctrlk
Knowledge BaseRelease NotesRequest Demo

상관 관계 룰 참조

콘솔 또는 CLI 워크플로에서 YAML 상관 관계 룰 구성하기

hashtag
개요

circle-info

상관관계 룰은 Panther 버전 1.108부터 오픈 베타로 제공되며, 모든 고객에게 이용 가능합니다. 버그 보고와 기능 요청은 Panther 지원 팀에 공유해 주세요.

상관 룰은 로컬의 YAML, CLI 워크플로, 또는 Panther Console의 코드 편집기에서 작성할 수 있습니다. 상관 룰을 만드는 방법은 다음 지침을 참조하세요. 상관 룰.

hashtag
상관 룰 구문

각 상관 룰은 최상위 수준에서 다음 필드로 구성될 수 있습니다:

  • 디택션 키

    디택션:

  • 메타데이터 키

    AnalysisType: correlation_룰
CreateAlert:
Enabled: 
RuleID:
CreatedBy: 
Reports: 
Tags: 
Tests:

  • 알러트 키(정적)

    심각도:
설명:
표시 이름:
출력 ID:
참조:
런북:
요약 속성:

필수 및 선택 항목을 포함하여 이러한 각 키에 대해 자세히 알아보려면 아래의 Correlation 룰 최상위 필드 참조를.

hashtag
Correlation 룰 작성 팁

  • 사용 앵커 및 별칭arrow-up-right. 앵커는 다음으로 정의되며 & , YAML에서 항목을 식별할 수 있게 해줍니다. 해당 항목은 나중에 다음으로 정의되는 별칭으로 참조할 수 있습니다. *.

    • 예시: &failed_login (anchor) 및 *failed_login (alias)

    • 내부에서는 앵커와 별칭을 사용하지 마십시오 테스트. 그렇게 하면 오류가 발생할 수 있습니다.

hashtag
Correlation 룰 최상위 필드

아래 표에는 YAML 탐지를 위한 사용 가능한 모든 키가 포함되어 있습니다. 필수 필드는 굵게 표시됩니다.

필드 이름

설명

예상 값

AnalysisType

이 분석이 룰, scheduled_룰, 정책, correlation_룰 또는 global인지 나타냅니다

correlation_룰

활성화

이 correlation_룰이 활성화되어 있는지 여부

불리언

룰ID

룰의 고유 식별자

문자열

Severity

어떤 severity 연관된 알러트는 다음을 가져야 합니다

다음 문자열 중 하나: 정보, 낮음, 중간, High, 또는 Critical

디택션

시퀀스 또는 그룹을 포함한 상관 관계 룰 정의

다음을 참조하세요 디택션 필드

CreateAlert

상관 관계 룰이 알러트를 생성해야 하는지 여부(기본값: true)

불리언

설명

룰에 대한 간단한 설명

문자열

표시 이름

Panther Console과 알러트에 표시할 사용자 친화적인 이름입니다. 이 룰ID 필드가 설정되지 않은 경우 표시됩니다.

문자열

출력 ID

정적 대상 재정의입니다. 이는 이 룰의 알러트가 어떻게 라우팅될지 결정하는 데 사용되며, 심각도에 따른 기본 라우팅보다 우선합니다.

문자열 목록

참조

이 룰이 존재하는 이유이며, 보통 문서에 대한 링크입니다.

문자열

보고서

이 룰이 해당 프레임워크에 대해 다루는 값에 대한 프레임워크 또는 보고서 이름의 매핑

문자열 목록으로의 문자열 맵

런북

이 룰이 알러트를 반환할 경우 수행할 작업입니다. 설명이 포함된 실행 지침서를 제공하는 것이 권장됩니다, as Panther AI 알러트 분류 가 이를 고려하기 때문입니다.

문자열

요약 속성

알러트가 요약해야 하는 필드 목록입니다.

문자열 목록

태그

이 룰을 분류하는 데 사용되는 태그

문자열 목록

테스트

이 디택션에 대한 단위 테스트를 정의합니다.

다음을 참조하세요 테스트 필드

CreatedBy

이 디택션의 작성자입니다. Panther 사용자 UUID, 이메일 주소 또는 임의의 텍스트 값으로 설정할 수 있습니다. 더 알아보기 The CreatedBy 디택션 필드.

문자열

hashtag
디택션 필드

이름
유형
검증
설명

Schedule

객체

해당 없음

상관 룰의 스케줄링

이벤트 평가 순서

문자열

허용되는 값:

  • 시간순 (기본값)

  • 역시간순

만약 시간순, 이벤트는 가장 오래된 것부터 최신 순으로 분석됩니다. If 역시간순, 이벤트는 최신 것부터 가장 오래된 순으로 분석됩니다.

LookbackWindowMinutes

스칼라

15 ≤ x ≤ 21600 (15일)

기본값: 15

상관 룰이 그룹 또는 시퀀스를 평가하기 위해 과거 몇 분을 조회해야 하는지를 나타냅니다. 자세히 알아보기 LookbackWindowMinutes 상관 룰에서

그룹

목록

2 ≤ x ≤ 50

다음 중 하나만 그룹 또는 Sequence 필요/허용됩니다

다음의 목록 룰 참조 그룹을 정의하는 상관 룰의 그룹에 대해 더 알아보기

MinMatchCount

스칼라

다음이 있는 경우에만 사용할 수 있습니다 그룹 존재함

2 ≤ x < 의 룰 수 그룹

다음의 룰 수가 있을 때 사용할 수 없음 그룹 를 쿼리함으로써 지표 검색을 수행하는 것은 2 또는 >8.

다음의 모든 룰이 그룹 사용 부재: true

MinMatchCount 최소 개수의 개별 룰, 예약된 룰 또는 상관 룰(에서 정의된)을 지정합니다 그룹)는 이 상관관계 룰이 일치하려면 일치해야 합니다. 자세히 알아보기 MinMatchCount 상관 룰에서.

MatchCriteria

목록

다음이 있는 경우에만 사용할 수 있습니다 그룹 존재함

x ≥ 1

길이는 다음의 길이와 같아야 합니다 그룹

그룹이 통과하기 위해 일치해야 하는 이벤트 필드를 정의하는 MatchCriteria의 매핑

Sequence

목록

2 ≤ x ≤ 50

다음 중 하나만 그룹 또는 Sequence 필요/허용됩니다

다음의 목록 룰 참조 시퀀스를 정의하는

Correlation Rules에서 시퀀스에 대해 자세히 알아보기

전이

목록

다음이 있는 경우에만 사용할 수 있습니다 Sequence 존재함

x ≥ 1

한 단계에서 시퀀스의 다음 단계로 전환하기 위한 요구 사항을 정의하는 전환 목록입니다. 여기에는 일치해야 하는 이벤트 값이나 시간 범위가 포함될 수 있습니다.

hashtag
Schedule 필드

각 상관관계 룰은 일정에 따라 실행됩니다. Schedule 필드는 해당 간격을 정의합니다. 설정에 대해 자세히 알아보기 Schedule 상관 룰에서.

이름
유형
검증
설명

CronExpression

문자열

다음 중 하나만 CronExpression 또는 RateMinutes 필요/허용됩니다

상관관계 룰이 얼마나 자주 실행되어야 하는지를 설명하는 cron 표현식입니다. 자세히 알아보기 CronExpression 형식 Scheduled Search crontab 사용 방법.

RateMinutes

스칼라

x ≥ 2 다음 중 하나만 CronExpression 또는 RateMinutes 필수입니다

상관관계 룰이 얼마나 자주 실행되어야 하는지를 나타내는 분 단위 비율

TimeoutMinutes

스칼라

x ≤ RateMinutes

상관관계 룰이 실행될 수 있는 시간 범위입니다. 상관관계 룰의 평가에 이 시간보다 더 오래 걸리면, 해당 시간 범위에 대해 취소되고 시스템 상태 알림이 생성됩니다

hashtag
그룹Sequence 필드(룰 참조)

다음 내에서 그룹Sequence, 이 상관관계 룰에 포함된 룰에 대한 참조 목록을 포함합니다. 각 룰 참조에는 다음 필드가 포함될 수 있습니다:

이름
유형
검증
설명

ID

문자열

다음을 사용하는 경우에만 필요 전이 또는 MatchCriteria

시퀀스 또는 그룹에서 참조되는 룰에 대한 고유 식별자

룰ID

문자열

ruleID는 사전에 Panther에 존재해야 합니다

시퀀스 또는 그룹에 포함할 룰, 예약된 룰 또는 상관관계 룰의 id

MinMatchCount

스칼라

x ≥ 1 기본값: 1

시퀀스의 이 단계가 통과되기 위해 필요한 최소 신호 수

MaxMatchCount

스칼라

x ≥ 0 x > MinMatchCount (설정된 경우)

시퀀스의 이 단계가 통과될 수 있는 최대 신호 수

Absence

불리언

해당 없음

신호의 부재가 해당 단계가 통과되기 위해 참이어야 하는지 여부

hashtag
MatchCriteria 필드

The MatchCriteria 키는 다음과 함께 사용할 수 있습니다 그룹 더 세분화된 결과를 위해. 각 룰이 어떤 이벤트 필드에 대해 일치하는지를 나타냅니다. 각 상관관계 룰당 일치시킬 수 있는 필드 유형은 하나만 가능합니다(예: 모든 IP 주소 필드 또는 모든 이메일 주소 필드).

The MatchCriteria 필드에는 고유한 레이블인 키가 포함됩니다. 그 키에는 다음의 목록이 포함됩니다 GroupID일치 쌍.

다음의 예를 참조하세요 그룹 다음을 포함한 경우와 포함하지 않은 경우 MatchCriteria 에서 상관 룰.\

이름
유형
검증
설명

GroupID

문자열

The ID 정의됨 그룹. 룰 참조를 일치시켜야 하는 필드에 연결하는 데 사용됩니다

일치

문자열

  • 여러 로그 유형, 예약된 룰 또는 상관관계 룰과 연결된 룰의 경우: 다음만 p_ 필드 허용됩니다

  • 하나의 로그 유형에만 연결된 룰의 경우: 모든 필드가 허용됩니다

  • 로그 스키마를 기준으로 검증됩니다. 유형이 다음인 필드로 끝날 수 없습니다 객체 또는 JSON. JSON 객체 내부의 모든 내용은 검증되지 않습니다.

  • 다른 일치 값과 동일한 유형이어야 합니다

  • 다음을 사용해야 합니다 Kusto Query Language (KQL) 구문arrow-up-right

매칭해야 하는, 참조된 룰의 이벤트 내 필드

예: p_알러트_context.username

hashtag
전이 필드

The 전이 키, 와(과) 함께만 사용되며 Sequence, 는 한 단계가 다른 단계로 어떻게 이동할 수 있는지 정의합니다.

전환은 아래에 나열된 룰들과 동일한 순서여야 합니다. Sequence.

전환에 대해 자세히 알아보기 상관 룰에서.

이름
유형
검증
설명

ID

문자열

해당 없음

시퀀스 내 전환의 고유 식별자입니다.

시작

문자열

The ID 에서 룰 참조 시작 단계를 나타내는 시퀀스의 섹션입니다.

문자열

The ID 에서 룰 참조 종료 단계를 나타내는 시퀀스의 섹션입니다.

WithinTimeFrameMinutes

스칼라

1 ≤ x ≤ 1440 그리고 x ≤ LookbackWindowMinutes

시퀀스의 두 단계(다음으로 정의되는 시작끝) 가 통과로 판정되기 위해 순서대로 발생해야 하는 시간 범위(분)입니다.

일치

목록

len(x) = 1

어떤 이벤트 필드가 일치해야 하는지 정의합니다

hashtag
일치 필드

일치 는 의 하위 필드입니다 전이, 와(과) 함께 사용됩니다 Sequence. 이러한 필드를 사용하면 각 룰, 예약된 룰 또는 상관관계 룰에 대해 어떤 이벤트 필드가 일치하는 값을 가져야 하는지 정의할 수 있습니다.

상관관계 룰당 매칭할 수 있는 필드 유형은 하나뿐입니다(예: 모든 IP 주소 필드 또는 모든 이메일 주소 필드).

chevron-right동일한 매치 값 사용 예시hashtag
이름
키 유형
설명
검증

문자열

이벤트 내에서 다음에 의해 참조되는 필드 전이 시작 매칭해야 하는 항목입니다. 이벤트 필드 이름이 정확히 일치할 때 사용됩니다. 예: p_udm.x 또는 p_any_usernames

값이 배열 유형 필드인 경우, 두 배열 모두에 최소 하나의 항목이 있어야 합니다( 부재: true 가 어느 이벤트에도 사용되지 않는다고 가정).

  • 시작 는 비어 있어야 합니다

  • 여러 로그 유형, 예약된 룰 또는 상관관계 룰과 연결된 룰의 경우: 다음만 p_ 필드 허용됩니다

  • 하나의 로그 유형에만 연결된 룰의 경우: 모든 필드가 허용됩니다

  • 로그 스키마를 기준으로 검증됩니다. 유형이 다음인 필드로 끝날 수 없습니다 객체 또는 JSON. JSON 객체 내부의 모든 내용은 검증되지 않습니다.

  • 다음을 사용해야 합니다 KQL 구문arrow-up-right

시작

문자열

이벤트 내에서 다음에 의해 참조되는 필드 전이 시작 매칭해야 하는 항목입니다.

이벤트 필드 이름이 정확히 일치하지 않지만 함께 그룹화되어야 할 때 사용됩니다. 예: p_알러트_context.username = p_알러트_context.user

값이 배열 유형 필드인 경우, 는 다음 중 하나일 수 있습니다( 부재: true 가 어느 이벤트에도 사용되지 않는다고 가정):

  • 스칼라 필드이며, 이 경우 값이 에 있어야 합니다 시작 배열

  • 또 다른 배열이며, 이 경우 두 배열 모두에 최소 하나의 항목이 있어야 합니다

  • 는 비어 있어야 합니다

  • 여러 로그 유형, 예약된 룰 또는 상관관계 룰과 연결된 룰의 경우: 다음만 p_ 필드 허용됩니다

  • 하나의 로그 유형에만 연결된 룰의 경우: 모든 필드가 허용됩니다

  • 로그 스키마를 기준으로 검증됩니다. 유형이 다음인 필드로 끝날 수 없습니다 객체 또는 JSON. JSON 객체 내부의 모든 내용은 검증되지 않습니다.

  • 다음을 사용해야 합니다 KQL 구문arrow-up-right

문자열

이벤트 내에서 다음에 의해 참조되는 필드 전이 시작 매칭해야 하는 항목입니다.

이벤트 필드 이름이 정확히 일치하지 않지만 함께 그룹화되어야 할 때 사용됩니다. 예: p_알러트_context.username = p_알러트_context.user 값이 배열 유형 필드인 경우, 시작 는 다음 중 하나일 수 있습니다( 부재: true 가 어느 이벤트에도 사용되지 않는다고 가정):

  • 스칼라 필드이며, 이 경우 시작 값이 에 있어야 합니다 배열

  • 또 다른 배열이며, 이 경우 두 배열 모두에 최소 하나의 항목이 있어야 합니다

  • 는 비어 있어야 합니다

  • 여러 로그 유형, 예약된 룰 또는 상관관계 룰과 연결된 룰의 경우: 다음만 p_ 필드 허용됩니다

  • 하나의 로그 유형에만 연결된 룰의 경우: 모든 필드가 허용됩니다

  • 로그 스키마를 기준으로 검증됩니다. 유형이 다음인 필드로 끝날 수 없습니다 객체 또는 JSON. JSON 객체 내부의 모든 내용은 검증되지 않습니다.

  • 다음을 사용해야 합니다 KQL 구문arrow-up-right

hashtag
테스트 필드

사용하지 마세요 앵커 및 별칭 내에서 테스트. 그렇게 하면 오류가 발생할 수 있습니다.

이름
키 유형
설명

이름

문자열

테스트 케이스의 설명 이름입니다. 모든 테스트 케이스는 고유한 이름을 가져야 합니다.

기대 결과

불리언

이 테스트 케이스에 대해 상관관계 룰이 매치를 생성해야 하는지 여부(즉, True 또는 거짓)를 반환). 예를 들어 테스트가 다음을 지정하는 경우 ExpectedResult: False 그리고 상관관계 룰이 실제로 매치를 생성하는 경우(즉, 를 반환), True기대값이 실제 동작과 일치하지 않으므로 테스트는 실패합니다.

규칙 출력

Array<룰 출력>

다음의 목록 룰 출력 objects. Each 룰 출력 은 모의 신호(들)을 나타냅니다 상관 룰 정의에서 참조되는 특정 룰에서 생성되며, 어떤 이벤트 필드/값이 일치했는지에 대한 정의를 포함합니다.

hashtag
룰 출력 필드

이름
키 유형
설명

ID

문자열

상관 룰의 단계 중 하나에 대한 참조 그룹 또는 Sequence 필드입니다. 항목이 다음에 그룹 또는 Sequence 있다면 ID이 정의되어 있는 경우, 이 값은 해당 ID. 항목이 다음에 그룹 또는 Sequence 없다면 ID이 정의되어 있는 경우, 이 값은 해당 룰ID 과 연결된 그룹 또는 Sequence 항목과 일치해야 합니다.

일치

Object<String, MatchValue>

상관 룰의 이 단계가 일치한 이벤트 필드와 값을 나타내는 객체입니다. 키는 일치한 필드 이름이며(하위 필드는 JSON 경로 표기법을 사용하여 지정할 수 있습니다. 예: 그룹 또는 Sequence )—값은p_알러트_context.username객체입니다. MatchValue 객체는 일치한 이벤트 값을 나타내며, 일치가 발생한 시점을 나타냅니다.

hashtag
MatchValue 필드

A MatchValue 현재 상관 룰은 전체에서 일치시킬 이벤트 값 하나만 지정할 수 있으므로, 이 객체는 키/값 쌍을 하나만 포함할 수 있습니다.

circle-exclamation

p_any_emails: # String (일치한 필드 이름)

hashtag
예시:

또는

[일치한 값]
키 유형
설명

(String)Array<String> OR Array<Number>

키는 규칙이 일치한 임의의 문자열입니다. 값은 타임스탬프 배열이며, 타임스탬프는 상대적(테스트 케이스가 실행된 시점 기준) 또는 절대적일 수 있습니다:

상대적 타임스탬프: 숫자의 배열로 표현되며, 숫자는 일치가 테스트 케이스 시나리오 시작 후 몇 분 뒤에 발생했는지를 나타냅니다.

  • 절대적 타임스탬프: RFC3339 형식의 타임스탬프 배열로 표현됩니다.

  • 하나의 테스트에서는 상대적 타임스탬프와 절대적 타임스탬프를 섞을 수 없습니다. 예를 들어, 테스트가 한

에 대해 절대적 타임스탬프를 사용한다면, 모든 룰 출력에 대해서도 절대적 타임스탬프를 사용해야 합니다. 규칙 출력.

이전상관 관계 룰(베타)다음Signals

마지막 업데이트

도움이 되었나요?