| 필드 이름 | 설명 | 예상 값 |
|---|---|---|
| 필드 이름 | 설명 | 예상 값 |
AnalysisType | 이 분석이 룰, scheduled_룰, 정책, correlation_룰 또는 global인지 나타냅니다 | correlation_룰 |
활성화 | 이 correlation_룰이 활성화되어 있는지 여부 | 불리언 |
룰ID | 룰의 고유 식별자 | 문자열 |
Severity | 어떤 severity 연관된 알러트는 다음을 가져야 합니다 | 다음 문자열 중 하나: 정보, 낮음, 중간, High, 또는 Critical |
디택션 | 시퀀스 또는 그룹을 포함한 상관 관계 룰 정의 | 다음을 참조하세요 디택션 필드 |
CreateAlert | 상관 관계 룰이 알러트를 생성해야 하는지 여부(기본값: true) | 불리언 |
설명 | 룰에 대한 간단한 설명 | 문자열 |
표시 이름 | Panther Console과 알러트에 표시할 사용자 친화적인 이름입니다. 이 룰ID 필드가 설정되지 않은 경우 표시됩니다. | 문자열 |
출력 ID | 정적 대상 재정의입니다. 이는 이 룰의 알러트가 어떻게 라우팅될지 결정하는 데 사용되며, 심각도에 따른 기본 라우팅보다 우선합니다. | 문자열 목록 |
참조 | 이 룰이 존재하는 이유이며, 보통 문서에 대한 링크입니다. | 문자열 |
보고서 | 이 룰이 해당 프레임워크에 대해 다루는 값에 대한 프레임워크 또는 보고서 이름의 매핑 | 문자열 목록으로의 문자열 맵 |
런북 | 이 룰이 알러트를 반환할 경우 수행할 작업입니다. 설명이 포함된 실행 지침서를 제공하는 것이 권장됩니다, as Panther AI 알러트 분류 가 이를 고려하기 때문입니다. | 문자열 |
요약 속성 | 알러트가 요약해야 하는 필드 목록입니다. | 문자열 목록 |
태그 | 이 룰을 분류하는 데 사용되는 태그 | 문자열 목록 |
테스트 | 이 디택션에 대한 단위 테스트를 정의합니다. | 다음을 참조하세요 테스트 필드 |
CreatedBy | 이 디택션의 작성자입니다. Panther 사용자 UUID, 이메일 주소 또는 임의의 텍스트 값으로 설정할 수 있습니다. 더 알아보기 The CreatedBy 디택션 필드. | 문자열 |
| 이름 | 유형 | 검증 | 설명 |
|---|---|---|---|
Schedule | 객체 | 해당 없음 | 상관 룰의 스케줄링 |
이벤트 평가 순서 | 문자열 | 허용되는 값:
| 만약 시간순, 이벤트는 가장 오래된 것부터 최신 순으로 분석됩니다.If 역시간순, 이벤트는 최신 것부터 가장 오래된 순으로 분석됩니다. |
LookbackWindowMinutes | 스칼라 |
기본값: | 상관 룰이 그룹 또는 시퀀스를 평가하기 위해 과거 몇 분을 조회해야 하는지를 나타냅니다. 자세히 알아보기 LookbackWindowMinutes 상관 룰에서 |
그룹 | 목록 |
다음 중 하나만 | 다음의 목록 룰 참조 그룹을 정의하는 상관 룰의 그룹에 대해 더 알아보기 |
MinMatchCount | 스칼라 | 다음이 있는 경우에만 사용할 수 있습니다
다음의 룰 수가 있을 때 사용할 수 없음 다음의 모든 룰이 | MinMatchCount 최소 개수의 개별 룰, 예약된 룰 또는 상관 룰(에서 정의된)을 지정합니다 그룹)는 이 상관관계 룰이 일치하려면 일치해야 합니다. 자세히 알아보기 MinMatchCount 상관 룰에서. |
MatchCriteria | 목록 | 다음이 있는 경우에만 사용할 수 있습니다 x ≥
| 그룹이 통과하기 위해 일치해야 하는 이벤트 필드를 정의하는 MatchCriteria의 매핑 |
Sequence | 목록 |
다음 중 하나만 | 다음의 목록 룰 참조 시퀀스를 정의하는 |
전이 | 목록 | 다음이 있는 경우에만 사용할 수 있습니다 x ≥ | 한 단계에서 시퀀스의 다음 단계로 전환하기 위한 요구 사항을 정의하는 전환 목록입니다. 여기에는 일치해야 하는 이벤트 값이나 시간 범위가 포함될 수 있습니다. |
| 이름 | 유형 | 검증 | 설명 |
|---|---|---|---|
CronExpression | 문자열 | 다음 중 하나만 CronExpression 또는 RateMinutes 필요/허용됩니다 | 상관관계 룰이 얼마나 자주 실행되어야 하는지를 설명하는 cron 표현식입니다. 자세히 알아보기 CronExpression 형식 Scheduled Search crontab 사용 방법. |
RateMinutes | 스칼라 | x ≥ 2 다음 중 하나만 CronExpression 또는 RateMinutes 필수입니다 | 상관관계 룰이 얼마나 자주 실행되어야 하는지를 나타내는 분 단위 비율 |
TimeoutMinutes | 스칼라 | x ≤ RateMinutes | 상관관계 룰이 실행될 수 있는 시간 범위입니다. 상관관계 룰의 평가에 이 시간보다 더 오래 걸리면, 해당 시간 범위에 대해 취소되고 시스템 상태 알림이 생성됩니다 |
| 이름 | 유형 | 검증 | 설명 |
|---|---|---|---|
ID | 문자열 | 다음을 사용하는 경우에만 필요 전이 또는 MatchCriteria | 시퀀스 또는 그룹에서 참조되는 룰에 대한 고유 식별자 |
룰ID | 문자열 | ruleID는 사전에 Panther에 존재해야 합니다 | 시퀀스 또는 그룹에 포함할 룰, 예약된 룰 또는 상관관계 룰의 id |
MinMatchCount | 스칼라 | x ≥ 1기본값: 1 | 시퀀스의 이 단계가 통과되기 위해 필요한 최소 신호 수 |
MaxMatchCount | 스칼라 | x ≥ 0 x > MinMatchCount (설정된 경우) | 시퀀스의 이 단계가 통과될 수 있는 최대 신호 수 |
Absence | 불리언 | 해당 없음 | 신호의 부재가 해당 단계가 통과되기 위해 참이어야 하는지 여부 |
| 이름 | 유형 | 검증 | 설명 |
|---|---|---|---|
GroupID | 문자열 | The ID 정의됨 그룹. 룰 참조를 일치시켜야 하는 필드에 연결하는 데 사용됩니다 | |
일치 | 문자열 |
| 매칭해야 하는, 참조된 룰의 이벤트 내 필드 예: |
| 이름 | 유형 | 검증 | 설명 |
|---|---|---|---|
ID | 문자열 | 해당 없음 | 시퀀스 내 전환의 고유 식별자입니다. |
시작 | 문자열 | The ID 에서 룰 참조 시작 단계를 나타내는 시퀀스의 섹션입니다. | |
끝 | 문자열 | The ID 에서 룰 참조 종료 단계를 나타내는 시퀀스의 섹션입니다. | |
WithinTimeFrameMinutes | 스칼라 | 1 ≤ x ≤ 1440 그리고 x ≤ LookbackWindowMinutes | 시퀀스의 두 단계(다음으로 정의되는 시작 및 끝) 가 통과로 판정되기 위해 순서대로 발생해야 하는 시간 범위(분)입니다. |
일치 | 목록 | len(x) = 1 | 어떤 이벤트 필드가 일치해야 하는지 정의합니다 |
| 이름 | 키 유형 | 설명 | 검증 |
|---|---|---|---|
켬 | 문자열 | 이벤트 내에서 다음에 의해 참조되는 필드
| |
시작 | 문자열 | 이벤트 내에서 다음에 의해 참조되는 필드 이벤트 필드 이름이 정확히 일치하지 않지만 함께 그룹화되어야 할 때 사용됩니다. 예:
| |
끝 | 문자열 | 이벤트 내에서 다음에 의해 참조되는 필드 이벤트 필드 이름이 정확히 일치하지 않지만 함께 그룹화되어야 할 때 사용됩니다. 예:
|
| 이름 | 키 유형 | 설명 |
|---|---|---|
이름 | 문자열 | 테스트 케이스의 설명 이름입니다. 모든 테스트 케이스는 고유한 이름을 가져야 합니다. |
기대 결과 | 불리언 | 이 테스트 케이스에 대해 상관관계 룰이 매치를 생성해야 하는지 여부(즉, True 또는 거짓)를 반환). 예를 들어 테스트가 다음을 지정하는 경우 ExpectedResult: False 그리고 상관관계 룰이 실제로 매치를 생성하는 경우(즉, 를 반환), True기대값이 실제 동작과 일치하지 않으므로 테스트는 실패합니다. |
규칙 출력 | Array<룰 출력> | 다음의 목록 룰 출력 objects. Each 룰 출력 은 모의 신호(들)을 나타냅니다 상관 룰 정의에서 참조되는 특정 룰에서 생성되며, 어떤 이벤트 필드/값이 일치했는지에 대한 정의를 포함합니다. |
| 이름 | 키 유형 | 설명 |
|---|---|---|
ID | 문자열 | 상관 룰의 단계 중 하나에 대한 참조 그룹 또는 Sequence 필드입니다. 항목이 다음에 그룹 또는 Sequence 있다면 ID이 정의되어 있는 경우, 이 값은 해당 ID. 항목이 다음에 그룹 또는 Sequence 없다면 ID이 정의되어 있는 경우, 이 값은 해당 룰ID 과 연결된 그룹 또는 Sequence 항목과 일치해야 합니다. |
일치 | Object<String, MatchValue> | 상관 룰의 이 단계가 일치한 이벤트 필드와 값을 나타내는 객체입니다. 키는 일치한 필드 이름이며(하위 필드는 JSON 경로 표기법을 사용하여 지정할 수 있습니다. 예: 그룹 또는 Sequence )—값은p_알러트_context.username객체입니다. MatchValue 객체는 일치한 이벤트 값을 나타내며, 일치가 발생한 시점을 나타냅니다. |
| [일치한 값] | 키 유형 | 설명 |
|---|---|---|
(String)Array<String> OR Array<Number> | 키는 규칙이 일치한 임의의 문자열입니다. 값은 타임스탬프 배열이며, 타임스탬프는 상대적(테스트 케이스가 실행된 시점 기준) 또는 절대적일 수 있습니다: | 상대적 타임스탬프: 숫자의 배열로 표현되며, 숫자는 일치가 테스트 케이스 시나리오 시작 후 몇 분 뒤에 발생했는지를 나타냅니다.
에 대해 절대적 타임스탬프를 사용한다면, 모든 |