상관 규칙 참조
콘솔 또는 CLI 워크플로우에서 YAML 상관 규칙 구성하기
개요
상관 규칙은 로컬 YAML, CLI 워크플로우 또는 Panther 콘솔의 코드 편집기에서 작성할 수 있습니다. 상관 규칙을 생성하는 방법에 대한 지침은 상관 규칙.
상관 규칙 구문
각 상관 규칙은 최상위 수준에서 다음 필드들로 구성될 수 있습니다:
탐지 키
탐지:메타데이터 키
AnalysisType: correlation_rule CreateAlert: Enabled: RuleID: CreatedBy: Reports: Tags: Tests:알림 키(정적)
심각도: 설명: 표시 이름: OutputIds: 고객의 테넌트에서 Microsoft 또는 파트너 보안 솔루션이 식별한 잠재적인 보안 문제를 나타냅니다. 런북: 요약 속성:
필수 및 선택 항목을 포함하여 이러한 각 키에 대해 자세히 알아보려면 아래의 상관 규칙 최상위 필드 참조.
상관 규칙 작성 팁
상관 규칙 최상위 필드
아래 표에는 YAML 탐지에 사용 가능한 모든 키가 포함되어 있습니다. 필수 필드는 굵은 글씨.
필드 이름
설명
예상 값
예를 들어, 다음 명령은
이 분석이 rule, scheduled_rule, policy, correlation_rule 또는 global
correlation_rule
Enabled
이 correlation_rule이 활성화되었는지 여부
불리언
RuleID
규칙의 고유 식별자
문자열(String)
CreateAlert
상관 규칙이 알림을 생성해야 하는지 여부(기본값: true)
불리언
설명
규칙에 대한 간단한 설명
문자열(String)
표시 이름
Panther 콘솔 및 알림에 표시할 사용자 친화적인 이름입니다. 이 필드가 설정되지 않은 경우 RuleID 가 표시됩니다.
문자열(String)
OutputIds
정적 대상 재정의입니다. 이는 심각도 기반의 기본 라우팅보다 우선하여 이 규칙의 알림이 어떻게 라우팅될지를 결정하는 데 사용됩니다.
문자열 목록
참조
이 규칙이 존재하는 이유, 종종 문서에 대한 링크
문자열(String)
보고서
이 규칙이 해당 프레임워크에서 다루는 값을 프레임워크 또는 보고서 이름에 매핑한 것
문자열을 목록의 문자열에 매핑
런북
이 규칙이 알림을 반환할 경우 수행할 작업입니다. 설명이 있는 런북을 제공하는 것이 권장됩니다. 왜냐하면 Panther AI 경보 분류 가 이를 고려하기 때문입니다.
문자열(String)
요약 속성
알림이 요약해야 하는 필드 목록.
문자열 목록
태그
이 규칙을 분류하는 데 사용되는 태그
문자열 목록
CreatedBy
이 탐지의 작성자입니다. Panther 사용자 UUID, 이메일 주소 또는 임의의 텍스트 값으로 설정할 수 있습니다. 자세한 내용은 를 입력하세요 CreatedBy 탐지 필드.
문자열(String)
는 필드들
는 필드들EventEvaluationOrder
문자열(String)
허용 값:
시간순(기본값)역시간순
다중 시리즈: 각기 다른 색의 여러 선으로 표현되는 시간순, 이벤트는 오래된 것에서 최신 순으로 분석됩니다.
만약 역시간순, 이벤트는 최신 것에서 오래된 순으로 분석됩니다.
조회 창(lookback window):
스칼라
15 ≤ x ≤ 21600 (15일)
기본값: 15
상관 규칙이 그룹 또는 시퀀스를 평가하기 위해 과거 몇 분을 조회해야 하는지를 나타냅니다. 에 대해 자세히 알아보세요 조회 창(lookback window): 상관 규칙에서
목록
2 ≤ x ≤ 50
다음 중 하나만 Group 또는 전환(Transitions) 필요/허용됩니다
의 목록 그룹을 정의하는 규칙 참조 입니다 그룹에 대해 자세히 알아보려면 상관 규칙에서
MinMatchCount
스칼라
는 있는 경우에만 사용할 수 있습니다 Group 가 존재할 때
2 ≤ x < 해당 항목의 규칙 수 Group
다음의 규칙 수가 Group 일 때 사용할 수 없습니다 2 또는 >8.
다음의 어떠한 규칙이 Group 를 사용할 때 사용할 수 없습니다 Absence: true
MinMatchCount 는 이 상관 규칙이 일치하기 위해 일치해야 하는 최소 개수의 개별 규칙, 예약된 규칙 또는 상관 규칙(에 정의된)을 지정합니다. 자세한 내용은 Group에 대해 알아보세요 MinMatchCount 상관 규칙에서.
목록
2 ≤ x ≤ 50
다음 중 하나만 Group 또는 전환(Transitions) 필요/허용됩니다
의 목록 그룹을 정의하는 규칙 참조 그룹이 통과하려면 일치해야 하는 이벤트 필드를 정의하는 MatchCriteria의 매핑
목록
는 있는 경우에만 사용할 수 있습니다 전환(Transitions) 가 존재할 때
x ≥ 1
시퀀스의 각 단계에서 다음 단계로 전환하기 위한 요구사항을 정의하는 전환 목록입니다. 여기에는 일치해야 하는 이벤트 값이나 시간 범위가 포함될 수 있습니다.
Schedule 필드들
Schedule 필드들각 상관 규칙은 스케줄에 따라 실행됩니다. 필드 Schedule 는 해당 간격을 정의합니다. 설정에 대해 자세히 알아보려면 Schedule 상관 규칙에서.
또는
문자열(String)
다음 중 하나만 또는 또는 RateMinutes 필요/허용됩니다
상관 규칙이 얼마나 자주 실행되어야 하는지를 설명하는 cron 표현식입니다. 형식에 대해 자세히 알아보려면 또는 에서 형식을 확인하세요 스케줄된 검색 crontab 사용 방법.
RateMinutes
스칼라
x ≥ 2
다음 중 하나만 또는 또는 RateMinutes 필수입니다
상관 규칙이 얼마나 자주 실행되어야 하는지를 설명하는 분 단위 비율
TimeoutMinutes
스칼라
x ≤ RateMinutes
상관 규칙이 실행될 수 있는 시간 프레임입니다. 상관 규칙이 이 기간보다 오래 실행되는 경우 해당 기간에 대해 취소되며 시스템 상태 알림이 생성됩니다
Group 및 전환(Transitions) 필드(규칙 참조)
Group 및 전환(Transitions) 필드(규칙 참조)내부의 Group 및 전환(Transitions), 이 상관 규칙에 포함된 규칙에 대한 참조 목록을 포함합니다. 각 규칙 참조는 다음 필드를 포함할 수 있습니다:
ID
문자열(String)
를 사용하는 경우에만 필수 를 사용하면 상관 규칙의 특이성이 높아집니다. 또는 MatchCriteria
시퀀스 또는 그룹에서 참조되는 규칙에 대한 고유 식별자
RuleID
문자열(String)
ruleID는 사전에 Panther에 존재해야 합니다
시퀀스 또는 그룹에 포함할 규칙, 예약된 규칙 또는 상관 규칙의 ID
MinMatchCount
스칼라
x ≥ 1
기본값: 1
이 시퀀스 단계가 통과하기 위해 필요한 신호의 최소 개수
MaxMatchCount
스칼라
x ≥ 0
x > MinMatchCount (설정된 경우)
이 시퀀스 단계가 통과하기 위해 허용되는 최대 신호 수
부재
불리언
해당 없음
단계가 통과하기 위해 신호의 부재가 참이어야 하는지 여부
MatchCriteria 필드들
MatchCriteria 필드들를 입력하세요 MatchCriteria 키는 더 세분화된 결과를 위해 Group 와 함께 사용할 수 있습니다. 이는 각 규칙이 어떤 이벤트 필드에 대해 일치하는지를 나타냅니다. 상관 규칙당 일치되는 필드 유형은 하나만 있을 수 있습니다(예: 모든 를 사용하는 것은 값이 일치해야 하는 이벤트 필드를 정의하려는 경우에 유용합니다. 모든 이메일 주소 필드).
를 입력하세요 MatchCriteria 필드는 고유 레이블인 키를 포함합니다. 해당 키는 GroupID 및 내 항목은 쌍의 목록을 포함합니다.
에 정의된 Group 가 있는 예와 없는 예를 참조하세요 MatchCriteria )를 가진 결과 집합을 생성한 후 상관 규칙.\
내 항목은
문자열(String)
여러 로그 유형, 예약된 규칙 또는 상관 규칙에 연결된 규칙의 경우: 오직
탭은 각 선언된 요약 속성에 대해 상위 다섯 개 속성을 표시합니다.필드들 만 허용됩니다단일 로그 유형에만 연결된 규칙의 경우: 모든 필드가 허용됩니다
로그 스키마를 기반으로 검증됩니다. 유형이
필드의 데이터 유형 — 일반적으로 비스칼라 데이터 유형(즉,또는JSON인 필드로 끝날 수 없습니다. JSON 객체 내의 모든 항목은 검증되지 않습니다.다른
내 항목은값과 동일한 유형이어야 합니다다음을 사용해야 합니다 Kusto Query Language(KQL) 구문
참조된 규칙에서 일치시켜야 하는 이벤트의 필드
예: p_alert_context.username
를 사용하면 상관 규칙의 특이성이 높아집니다. 필드들
를 사용하면 상관 규칙의 특이성이 높아집니다. 필드들를 입력하세요 를 사용하면 상관 규칙의 특이성이 높아집니다. 키는, 오직 전환(Transitions)와 함께 사용될 때만, 한 단계가 다른 단계로 이동할 수 있는 방식을 정의합니다.
전환은 전환(Transitions).
전환에 대해 자세히 알아보세요 상관 규칙에서.
ID
문자열(String)
해당 없음
시퀀스에서 전환에 대한 고유 식별자입니다.
WithinTimeFrameMinutes
스칼라
1 ≤ x ≤ 1440 AND x ≤ 조회 창(lookback window):
두 단계(로 정의된)의 두 단계가 통과하기 위해 발생해야 하는 분 단위의 시간 프레임입니다. From 및 To) 내에 있어야 합니다.
내 항목은 필드들
내 항목은 필드들내 항목은 는의 자식 필드입니다 를 사용하면 상관 규칙의 특이성이 높아집니다., 와 함께 사용됩니다 전환(Transitions). 이러한 필드는 각 규칙, 예약된 규칙 또는 상관 규칙에 대해 어떤 이벤트 필드가 일치하는 값을 가져야 하는지를 정의할 수 있게 해줍니다.
상관 규칙당 일치되는 필드 유형은 하나만 있을 수 있습니다(예: 모든 를 사용하는 것은 값이 일치해야 하는 이벤트 필드를 정의하려는 경우에 유용합니다. 모든 이메일 주소 필드).
사용(On)
문자열(String)
이벤트에서 참조된 를 사용하면 상관 규칙의 특이성이 높아집니다. From 및 To 에서 일치시켜야 하는 필드입니다. 이벤트 필드 이름이 정확히 일치할 때 사용됩니다. 예: p_udm.x 또는 p_any_usernames
값이 배열 타입 필드인 경우, (어느 이벤트에도 Absence: true 가 사용되지 않는다고 가정하면) 두 배열 모두에 적어도 한 항목이 있어야 합니다.
From및To비어 있어야 합니다여러 로그 유형, 예약된 규칙 또는 상관 규칙에 연결된 규칙의 경우: 오직
탭은 각 선언된 요약 속성에 대해 상위 다섯 개 속성을 표시합니다.필드들 만 허용됩니다단일 로그 유형에만 연결된 규칙의 경우: 모든 필드가 허용됩니다
로그 스키마를 기반으로 검증됩니다. 유형이
필드의 데이터 유형 — 일반적으로 비스칼라 데이터 유형(즉,또는JSON인 필드로 끝날 수 없습니다. JSON 객체 내의 모든 항목은 검증되지 않습니다.다음을 사용해야 합니다 KQL 구문
From
문자열(String)
이벤트에서 참조된 를 사용하면 상관 규칙의 특이성이 높아집니다. From 및 To 일치시켜야 하는.
이벤트 필드의 이름이 정확히 일치하지 않지만 함께 그룹화되어야 할 때 사용됩니다. 예: p_alert_context.username = p_alert_context.user
값이 배열 타입 필드인 경우, To 는 다음 중 하나일 수 있습니다(어느 이벤트에도 Absence: true 가 사용되지 않는다고 가정하면):
스칼라 필드인 경우, 그
To값은From보다 카디널리티가 낮습니다.에 있어야 합니다.
사용(On)비어 있어야 합니다여러 로그 유형, 예약된 규칙 또는 상관 규칙에 연결된 규칙의 경우: 오직
탭은 각 선언된 요약 속성에 대해 상위 다섯 개 속성을 표시합니다.필드들 만 허용됩니다단일 로그 유형에만 연결된 규칙의 경우: 모든 필드가 허용됩니다
로그 스키마를 기반으로 검증됩니다. 유형이
필드의 데이터 유형 — 일반적으로 비스칼라 데이터 유형(즉,또는JSON인 필드로 끝날 수 없습니다. JSON 객체 내의 모든 항목은 검증되지 않습니다.다음을 사용해야 합니다 KQL 구문
To
문자열(String)
이벤트에서 참조된 를 사용하면 상관 규칙의 특이성이 높아집니다. From 및 To 일치시켜야 하는.
이벤트 필드의 이름이 정확히 일치하지 않지만 함께 그룹화되어야 할 때 사용됩니다. 예: p_alert_context.username = p_alert_context.user
값이 배열 타입 필드인 경우, From 는 다음 중 하나일 수 있습니다(어느 이벤트에도 Absence: true 가 사용되지 않는다고 가정하면):
스칼라 필드인 경우, 그
From값은To보다 카디널리티가 낮습니다.에 있어야 합니다.
사용(On)비어 있어야 합니다여러 로그 유형, 예약된 규칙 또는 상관 규칙에 연결된 규칙의 경우: 오직
탭은 각 선언된 요약 속성에 대해 상위 다섯 개 속성을 표시합니다.필드들 만 허용됩니다단일 로그 유형에만 연결된 규칙의 경우: 모든 필드가 허용됩니다
로그 스키마를 기반으로 검증됩니다. 유형이
필드의 데이터 유형 — 일반적으로 비스칼라 데이터 유형(즉,또는JSON인 필드로 끝날 수 없습니다. JSON 객체 내의 모든 항목은 검증되지 않습니다.다음을 사용해야 합니다 KQL 구문
값을 구성하는 방법에 대해 자세히 알아보려면 상관 규칙 참조의 해당 항목을 확인하세요. 필드들
값을 구성하는 방법에 대해 자세히 알아보려면 상관 규칙 참조의 해당 항목을 확인하세요. 필드들또 다른 배열인 경우, 두 배열 모두에 적어도 하나의 항목이 있어야 합니다 앵커 및 별칭 - ID: Missing Crowdstrike 값을 구성하는 방법에 대해 자세히 알아보려면 상관 규칙 참조의 해당 항목을 확인하세요.. 이렇게 하면 오류.
이름(Name)
문자열(String)
사용하지 마십시오
를 실행하려면 API 토큰이 필요합니다 — 자세한 내용은
불리언
테스트 케이스에 대한 설명적인 이름. 모든 테스트 케이스는 고유한 이름을 가져야 합니다. True 또는 False이 테스트 케이스에 대해 상관 규칙이 일치(즉, )를 생성해야 하는지 여부입니다. 예를 들어 테스트가 예상 결과: False 를 지정하고 상관 규칙이 실제로 일치(즉, True)를 생성하면, 기대치가 실제 동작과 일치하지 않기 때문에 테스트는 실패합니다.
를 참조하세요.
배열<RuleOutput>
의 목록 RuleOutput 객체. 각 RuleOutput 는 특정 규칙 참조에서 생성된 모의 신호(들) 를 나타내며, 어떤 이벤트 필드/값이 일치했는지에 대한 정의를 포함합니다.
RuleOutput 필드들
RuleOutput 필드들ID
문자열(String)
상관 규칙의 Group 또는 전환(Transitions) 필드의 단계 중 하나에 대한 참조입니다. 만약 Group 또는 전환(Transitions) 의 항목들이 ID를 정의하고 있다면, 이 값은 그 ID와 일치해야 합니다. Group 또는 전환(Transitions) 의 항목들이 ID를 정의하지 않는다면, 이 값은 해당 항목과 연결된 RuleID 와 일치해야 합니다. Group 또는 전환(Transitions) 항목.
일치 항목
Object<String, MatchValue>
이 객체는 이 시퀀스 단계에서 일치한 이벤트 필드와 값을 나타냅니다. 키는 일치한 필드 이름(하위 필드는 JSON 경로 표기법으로 지정할 수 있음, 예: Group 또는 전환(Transitions) )이며 값은p_alert_context.username객체입니다. MatchValue 이 객체는 일치한 이벤트 값과 일치가 발생한 시각들을 정의합니다.
MatchValue 필드들
MatchValue 필드들A MatchValue 현재 상관 규칙은 전체에서 일치할 이벤트 값을 하나만 지정할 수 있으므로 이 객체는 단일 키/값 쌍만 포함할 수 있습니다.
p_any_emails: # 문자열(일치한 필드 이름)
예:
또는
(문자열)배열<문자열> 또는 배열<숫자>
키는 규칙이 일치한 임의의 문자열입니다. 값은 타임스탬프의 배열이며 타임스탬프는 상대적(테스트 케이스가 실행된 시간 기준)일 수도 있고 절대적일 수도 있습니다:
상대 타임스탬프: 숫자 배열로 표현되며, 숫자는 테스트 케이스 시나리오 시작 후 해당 일치가 발생한 분 수를 나타냅니다.
절대 타임스탬프: RFC3339 형식의 타임스탬프 배열로 표현됩니다.
단일 테스트는 상대 타임스탬프와 절대 타임스탬프를 섞어 쓸 수 없습니다. 예를 들어, 하나의
에 대해 절대 타임스탬프를 사용하면, 모든 RuleOutput에 대해 절대 타임스탬프를 사용해야 합니다 를 참조하세요..
Last updated
Was this helpful?