Panther 관리형 탐지 사용하기

개요

Panther에는 Panther 관리 탐지(Panther-managed detections)라고 하는 여러 기본 제공 Python 탐지가 포함되어 있습니다. Panther는 이러한 탐지의 핵심 로직을 작성하고 정기적으로 개선 사항을 배포합니다. Panther 관리 탐지를 사용하면 처음부터 직접 작성해야 하는 수고를 덜 수 있을 뿐만 아니라 Panther가 새 버전을 릴리스할 때 핵심 탐지 로직에 대한 개선을 지속적으로 받을 수 있다는 이점이 있습니다.

Panther 관리 탐지는 다음과 같이 사용할 수 있습니다:

• 그대로 활성화

• 활성화하고 조정 인라인 필터 및/또는 그 편집 가능한 필드

• 기본 탐지(Base Detection)로 사용 탐지 파생(detection derivation)

• 복제 후 편집 (복제된 탐지는 Panther가 관리하지 않으며 지속적인 업데이트를 받지 않습니다)

Panther 관리 탐지는 Panther 콘솔에서 작업하거나 Panther CLI 워크플로우.

대부분의 Panther 관리 탐지는 탐지 팩(Detection Packs)—탐지의 논리적 그룹—내에 포함되어 있지만, 일부는 포함되어 있지 않을 수 있습니다. 보통 허용 목록(allowlist)이나 차단 목록(denylist)에 사용자 정의 값을 추가하는 등 추가 구성이 필요하기 때문입니다. 이러한 탐지를 팩에서 제외하면 필수 구성이 없이 활성화되어 오탐 경보를 생성할 가능성을 줄일 수 있습니다. 팩에 포함되지 않은 Panther 관리 탐지의 예시는 다음과 같습니다:

• AWS.Resource.RequiredTags

• AWS.GuardDuty.Enabled

• Crowdstrike.DNS.Request

• GCP.UnusedRegions

• GSuite.DriveVisibilityChanged

Panther 관리 탐지 사용 방법

사용 가능한 Panther 관리 탐지 보기

Panther 관리 탐지의 전체 목록은 콘솔과 GitHub에서 확인할 수 있으며, 아래에서 설명합니다.

Panther 관리 탐지 활성화 및 비활성화

Panther 관리 탐지는 Panther 콘솔 또는 Panther CLI 워크플로우를 사용하여 활성화하거나 비활성화할 수 있습니다:

Panther 관리 탐지 업데이트 또는 롤백

Panther가 새 버전을 릴리스할 때 Panther 관리 탐지를 업데이트하거나 이전 버전으로 되돌리려면, 다음을 따르세요 탐지 팩(Detection Packs)에서 탐지 팩 업데이트 또는 롤백 지침.

참고: 버전 관리되고 업데이트 또는 롤백 대상이 될 수 있는 것은 탐지 팩에 포함된 Panther 관리 탐지뿐입니다.

Panther 관리 탐지 사용자 정의 방법

Panther 관리 탐지는 인라인 필터을(를) 추가하거나, 해당 편집 가능한 필드을(를) 수정하거나, 탐지 상속(detection inheritance)을(를) 사용하여 사용자 정의할 수 있습니다. 이러한 옵션을 통해 Panther의 핵심 탐지 로직에 대한 업데이트를 계속 받으면서 자체 튜닝 및 사용자 정의를 추가할 수 있습니다.

Panther 관리 탐지의 핵심 규칙 로직(읽기 전용)을 수정해야 하는 경우, 대신 복제하여 편집할 수 있습니다. 복제된 탐지는 Panther가 아닌 귀하가 관리하므로 시간이 지나도 Panther의 핵심 탐지 로직 개선을 받지 못합니다. 이 때문에 가능하다면 이 섹션에 설명된 사용자 정의 기법을 사용하는 것을 권장합니다.

인라인 필터

규칙 필터(Rule Filters)를 추가하여 Panther 관리 규칙을 쉽게 조정할 수 있습니다. 자세한 지침은 인라인 필터로 탐지 수정(Modifying Detections with Inline Filters) 를 참조하세요.

인라인 필터는 맞춤화된 탐지가 탐지 팩의 일부이고 팩이 업데이트되거나 다른 버전으로 되돌려지더라도 유지됩니다.

인라인 필터는 정책이나 예약 규칙(scheduled rules)에는 적용되지 않고 규칙에만 적용된다는 점에 유의하세요.

편집 가능한 필드

Panther 관리 탐지는 핵심 탐지 로직 편집을 허용하지 않지만 Panther 콘솔에서 특정 메타데이터 필드는 사용자 정의할 수 있도록 허용합니다. (모든 다른 필드는 Panther 콘솔에서 회색 처리되며, 규칙 함수(Rule Function) 및 단위 테스트(Unit Test) 편집기는 읽기 전용이 됩니다.) 이러한 편집 가능한 필드는 다음을 포함합니다:

• 활성화 / 비활성화

• 심각도(Severity)

• 중복 제거 기간(Deduplication Period)

• 이벤트 임계값(Events Threshold)

• 대상 덮어쓰기(Destination Overrides)

• 런북(Runbook)

Panther 콘솔에서 이러한 필드에 대해 수행한 변경 사항은 맞춤화된 탐지가 탐지 팩의 일부이고 팩이 업데이트되거나 다른 버전으로 되돌려지더라도 보존됩니다.

Panther 콘솔에서 편집 가능한 필드를 변경할 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 바에서 빌드(Build) > Detections(탐지).

2. 편집하려는 탐지를 찾아 해당 이름을 클릭하여 세부 정보 페이지로 이동하세요.

3. 아래로 스크롤하여 경보 필드 설정(Set Alert Fields) 섹션을 찾으세요.

4. 탐지에 대해 원하는 변경을 수행하세요.

   • 편집할 수 없는 필드는 회색으로 표시됩니다.

5. 클릭합니다 업데이트(Update) 페이지 오른쪽 상단에서 변경 사항을 저장하려면.

탐지 상속

탐지 상속을 사용하면 Panther 관리 탐지를 기본 탐지(Base Detections)로 사용하여 자체 파생 탐지(Derived Detections)를 생성할 수 있습니다. 파생 탐지는 변경 불가능한 기본 탐지의 핵심 로직과 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다.

자세한 내용은 탐지 상속(Detection Inheritance).

을 참조하세요.

Panther 관리 탐지 복제 방법

1. Panther 콘솔의 왼쪽 탐색 바에서 빌드(Build) > Detections(탐지).

2. Panther 관리 탐지가 필요에 맞지 않는 경우 복제한 다음 복제본을 편집할 수 있습니다:

3. 편집하려는 탐지를 찾아 해당 이름을 클릭하세요. 탐지 세부 정보 페이지 오른쪽 상단에서 점 세 개 >.

4. 복제(Clone) 클릭하세요.

   • 표준 탐지 생성 인터페이스로 리디렉션됩니다. 선택적으로 복제된 탐지의 이름(Name) 을(를) 업데이트하세요.

5. 복제된 탐지의 이름은 기본적으로 (복사)(Copy).

6. 가 뒤에 추가됩니다.

   • 오른쪽 상단에서, 클릭하세요 활성화됨(Enabled) 계속(Continue)

7. 복제된 탐지의 이름은 기본적으로 복제된 탐지의 세부 정보 페이지에서 복제본에 원하는 변경을 수행하세요.

해당 토글은 원본 탐지의 활성화 상태를 기본값으로 사용합니다. 즉, Panther 관리 탐지가 비활성화되어 있었다면 토글이 OFF로 설정됩니다. 저장(Save).

탐지를 복제하고 편집하는 것은 원본 탐지의 활성화 상태를 변경하지 않는다는 점에 유의하세요. 즉, 원본 Panther 관리 탐지가 활성화되어 있고 맞춤화된 복제본으로

대체(replace)

하려는 경우, 원본 Panther 관리 탐지를 비활성화해야 합니다. 복제된 탐지는 Panther에 의해 관리되지 않으며 탐지 팩에 포함된 Panther 관리 탐지처럼 지속적인 업데이트를 받지 않습니다. 원본 탐지(팩에 포함된 경우)는 활성화 여부와 관계없이 정상적으로 업데이트를 계속 받습니다..