Panther 관리형 디텍션 사용

개요

Panther는 판서 관리형 디택션이라고 불리는 여러 즉시 사용 가능한 Python 디택션을 제공합니다. Panther는 이러한 디택션의 핵심 로직을 작성하고 정기적으로 개선 사항을 배포합니다. Panther 관리형 디택션을 사용하면 처음부터 직접 작성해야 하는 수고를 덜 수 있을 뿐만 아니라 Panther가 새로운 버전을 출시함에 따라 시간이 지남에 따라 핵심 디택션 로직에 대한 개선을 계속해서 받을 수 있는 지속적인 이점도 제공합니다.

Panther 관리형 디택션은 다음과 같이 될 수 있습니다:

• 있는 그대로 활성화

• 활성화하고 다음으로 조정 인라인 필터 및/또는 그 편집 가능한 필드

• 다음과 함께 베이스 디택션으로 사용 디텍션 파생

• 클론하여 편집 (클론된 디택션은 Panther가 관리하지 않으며 지속적인 업데이트를 받지 않습니다)

Panther 관리형 디택션은 Panther 콘솔에서 작업하거나 다음을 사용하여 작업할 수 있습니다 Panther CLI 워크플로.

대부분의 Panther 관리형 디택션은 다음 내에 포함되어 있습니다 선택적으로 하나 이상의—디택션의 논리적 그룹—그러나 일부는 포함되어 있지 않으며, 일반적으로 허용 목록이나 차단 목록에 사용자 지정 값을 추가하는 등의 추가 구성이 필요하기 때문입니다. 이러한 디택션을 팩에서 제외하면 필요한 구성 없이 활성화되어 잘못된 긍정 알러트를 생성할 가능성을 줄일 수 있습니다. 팩에 포함되어 있지 않은 Panther 관리형 디택션의 예는 다음과 같습니다:

• AWS.Resource.RequiredTags

• AWS.GuardDuty.Enabled

• Crowdstrike.DNS.Request

• GCP.UnusedRegions

• GSuite.DriveVisibilityChanged

Panther 관리형 디택션 사용 방법

사용 가능한 Panther 관리형 디택션 보기

Panther 관리형 디택션 전체 목록은 아래에 설명된 것처럼 콘솔과 GitHub에서 확인할 수 있습니다.

Panther 관리형 디택션 활성화 및 비활성화

Panther 관리형 디택션은 Panther 콘솔에서 또는 Panther CLI 워크플로를 사용하여 활성화 및 비활성화할 수 있습니다:

Panther 관리형 디택션 업데이트 또는 롤백

Panther가 새 버전을 출시했을 때 Panther 관리형 디택션을 업데이트하려면(또는 이전 버전으로 되돌리려면) 다음을 따르십시오 디텍션 팩에 대한 디텍션 팩 업데이트 또는 롤백 지침.

팩에 포함된 Panther 관리형 디택션만 버전 관리되며 따라서 업데이트되거나 롤백될 수 있다는 점에 유의하십시오.

Panther 관리형 디택션 사용자 지정 방법

Panther 관리형 디택션은 다음을 추가하거나 인라인 필터그것의 편집 가능한 필드을(를) 수정하거나 디택션 상속을(를) 사용하여 사용자 지정할 수 있습니다. 이러한 옵션을 통해 Panther로부터 핵심 디택션 로직에 대한 업데이트를 계속 받으면서 자체 튜닝 및 사용자 지정을 추가할 수 있습니다.

Panther 관리형 디택션의 핵심 룰 로직(읽기 전용)을 수정해야 하는 경우 대신 클론하여 편집할 수 있습니다클론된 디택션은 Panther가 아닌 귀하가 관리하므로 시간이 지남에 따라 Panther의 핵심 디택션 로직 개선을 수신하지 않게 됩니다. 이러한 이유로 가능하면 이 섹션에 설명된 사용자 지정 기법을 사용하는 것을 권장합니다.

인라인 필터

룰 필터를 추가하여 Panther 관리형 룰을 쉽게 튜닝할 수 있습니다. 자세한 지침은 인라인 필터로 디텍션 수정하기 을(를) 참조하십시오.

인라인 필터는 사용자 지정된 디택션이 디텍션 팩의 일부이고 해당 팩이 업데이트되거나 다른 버전으로 되돌려질 경우 보존됩니다.

인라인 필터는 룰에만 적용되며 정책이나 예약된 룰에는 적용되지 않는다는 점에 유의하십시오.

편집 가능한 필드

Panther 관리형 디택션은 핵심 디택션 로직 편집을 허용하지 않지만 Panther 콘솔에서 특정 메타데이터 필드를 사용자 지정할 수는 있습니다. (모든 다른 필드는 Panther 콘솔에서 회색으로 표시되며 룰 함수 와 유닛 테스트 에디터는 읽기 전용이 됩니다.) 이러한 편집 가능한 필드에는 다음이 포함됩니다:

• 활성화 / 비활성화

• 심각도

• 중복 제거 기간

• 이벤트 임계값

• 대상 오버라이드

• 런북

콘솔에서 이러한 필드에 대해 이루어진 모든 변경 사항은 사용자 지정된 디택션이 디텍션 팩의 일부이고 팩이 업데이트되거나 다른 버전으로 되돌려질 경우 보존됩니다.

Panther 콘솔에서 편집 가능한 필드를 변경할 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 창에서 빌드 > 디텍션.

2. 편집하려는 디택션을 찾아 이름을 클릭하면 해당 디택션의 세부정보 페이지로 이동합니다.

3. 아래로 스크롤하여 알러트 필드 설정 섹션의 명령을 실행하세요.

4. 디택션에 원하는 변경을 적용하십시오.

   • 편집할 수 없는 필드는 회색으로 표시됩니다.

5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 업데이트 페이지 오른쪽 상단의 을(를) 클릭하여 변경 내용을 저장하십시오.

디택션 상속

디택션 상속을 사용하면 Panther 관리형 디택션을 베이스 디택션으로 사용하여 자체 파생 디택션을 만들 수 있습니다. 파생 디택션은 변경할 수 없는 베이스 디택션의 핵심 로직과 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다.

자세한 내용은 디택션 상속.

Panther 관리형 디택션 클론 방법

Panther 관리형 디택션이 필요에 맞지 않는 경우 이를 클론한 다음 클론된 복사본을 편집할 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 창에서 빌드 > 디텍션.

2. 편집하려는 디택션을 찾아 이름을 클릭하십시오.

3. 디택션 세부정보 페이지 오른쪽 상단에서 점 세 개 > 클론.

4. 표준 디택션 생성 인터페이스로 리디렉션됩니다. 선택적으로 클론된 디택션의 이름.

   • 클론된 디택션의 이름은 기본적으로 (복사) 가 추가되어 나타납니다.

5. 오른쪽 상단에서 계속.

6. 클론된 디택션의 세부정보 페이지에서 클론된 복사본에 원하는 변경을 적용하십시오.

   • 사용자를 사용할 것이며, 사용 토글은 원본 디택션의 활성 상태를 기본값으로 하며, 즉 Panther 관리형 디택션이 비활성화되어 있었다면 토글은 OFF로 설정됩니다.

7. 오른쪽 상단에서 저장.

디택션을 클론하고 편집하는 것은 원본 디택션의 활성화 상태를 변경하지 않는다는 점에 유의하십시오. 즉, 원본 Panther 관리형 디택션이 활성화되어 있고 사용자 지정한 복사본으로 그것을 대체 하려는 경우에는 되돌아가서 Panther 관리형 디택션을 비활성화해야 합니다.

클론된 디택션은 Panther가 관리하거나 지속적인 업데이트를 받지 않습니다(디텍션 팩에 포함된 Panther 관리형 디택션이 받는 것과는 다릅니다). 디텍션의 원본 버전(팩에 포함된 경우)은 활성화 여부에 관계없이 계속해서 정상적으로 업데이트를 받습니다.

Panther 관리형 디택션용 알러트 런북

알러트 런북은 알러트를 트리거한 문제를 해결하기 위한 일련의 지침입니다. Panther는 여러 Panther 관리형 정책 및 룰에 대한 알러트 런북을 제공합니다—다음에서 찾으십시오 알러트 런북.