Panther 관리형 디택션 사용하기

개요

Panther에는 기본으로 제공되는 여러 Python 디택션이 포함되어 있으며, 이를 Panther 관리형 디택션이라고 합니다. Panther는 이러한 디택션의 핵심 로직을 작성했으며, 주기적으로 개선 사항을 릴리스합니다. Panther 관리형 디택션을 사용하면 처음부터 직접 작성해야 하는 수고를 덜 수 있을 뿐만 아니라, Panther가 새 버전을 릴리스함에 따라 시간이 지나면서 핵심 디택션 로직의 개선 사항을 지속적으로 받을 수 있다는 이점도 있습니다.

Panther 관리형 디택션은 다음과 같이 사용할 수 있습니다:

• 있는 그대로 활성화

• 다음으로 활성화 및 조정 인라인 필터 및/또는 해당 편집 가능한 필드

• 다음과 함께 기본 디택션으로 사용 디택션 파생

• 복제 후 편집 (복제된 디택션은 Panther에서 관리되지 않으며 지속적인 업데이트를 받지 않습니다)

Panther Console에서 Panther 관리형 디택션으로 작업하거나 다음을 사용할 수 있습니다 Panther CLI 워크플로.

대부분의 Panther 관리형 디택션은 다음에 포함되어 있습니다 디택션 팩—디택션의 논리적 그룹화—이지만, 일부는 그렇지 않습니다. 일반적으로 허용 목록 또는 거부 목록에 사용자 지정 값을 추가하는 등의 추가 구성이 필요하기 때문입니다. 이러한 디택션을 팩에서 제외하면 필요한 구성 없이 활성화되어 오탐 알러트를 생성할 가능성을 줄일 수 있습니다. 팩에 포함되지 않은 Panther 관리형 디택션의 예시는 다음과 같습니다:

• AWS.Resource.RequiredTags

• AWS.GuardDuty.Enabled

• Crowdstrike.DNS.Request

• GCP.UnusedRegions

• GSuite.DriveVisibilityChanged

Panther 관리형 디택션 사용 방법

사용 가능한 Panther 관리형 디택션 보기

Panther 관리형 디택션의 전체 목록은 아래 설명된 대로 Console 및 GitHub에서 볼 수 있습니다.

Panther 관리형 디택션 활성화 및 비활성화

Panther 관리형 디택션은 Panther Console 또는 Panther CLI 워크플로를 사용하여 활성화 및 비활성화할 수 있습니다:

Panther 관리형 디택션 업데이트 또는 롤백

Panther가 새 버전을 릴리스할 때 Panther 관리형 디택션을 업데이트하거나(또는 이전 버전으로 되돌리려면) 다음을 따르세요 디택션 팩의 디택션 팩 업데이트 또는 롤백 지침.

디택션 팩에 포함된 Panther 관리형 디택션만 버전 관리되며, 따라서 업데이트 또는 롤백 대상이 된다는 점에 유의하세요.

Panther 관리형 디택션 사용자 지정 방법

Panther 관리형 디택션은 다음을 추가하거나 인라인 필터해당 편집 가능한 필드를 수정하거나, 디택션 상속을 사용하여 사용자 지정할 수 있습니다. 이러한 옵션을 사용하면 Panther로부터 핵심 디택션 로직 업데이트를 계속 받으면서도 자체 조정 및 사용자 지정을 추가할 수 있습니다.

Panther 관리형 디택션의 핵심 룰 로직(읽기 전용)을 수정해야 하는 경우, 대신 복제하고 편집할 수 있습니다. 복제된 디택션은 Panther가 아니라 사용자가 관리하므로 시간이 지나면서 Panther의 핵심 디택션 로직 개선 사항을 받지 못합니다. 따라서 가능하면 이 섹션에 설명된 사용자 지정 기법을 사용하는 것을 권장합니다.

인라인 필터

룰 필터를 추가하여 Panther 관리형 룰을 쉽게 조정할 수 있습니다. 자세한 지침은 인라인 필터로 디택션 수정하기 를 참조하세요.

사용자 지정된 디택션이 디택션 팩의 일부이고 해당 팩이 업데이트되거나 다른 버전으로 되돌려지는 경우, 인라인 필터는 유지됩니다.

인라인 필터는 policies나 예약된 룰이 아니라 룰에만 적용된다는 점에 유의하세요.

편집 가능한 필드

Panther 관리형 디택션은 핵심 디택션 로직 편집은 허용하지 않지만, Panther Console에서 특정 메타데이터 필드를 사용자 지정할 수 있도록 허용합니다. (모든 기타 필드는 Panther Console에서 회색으로 표시되며, 룰 함수 및 단위 테스트 편집기는 읽기 전용입니다.) 이러한 편집 가능한 필드는 다음과 같습니다:

• 활성화 / 비활성화

• 심각도

• 중복 제거 기간

• 이벤트 임계값

• 대상 재정의

• 런북

Panther Console에서 이러한 필드에 대해 변경한 내용은, 사용자 지정된 디택션이 디택션 팩의 일부이고 해당 팩이 업데이트되거나 다른 버전으로 되돌려지는 경우 유지됩니다.

Panther Console에서 편집 가능한 필드를 변경할 수 있습니다:

1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭합니다 빌드 > 디택션.

2. 편집하려는 디택션을 찾은 다음, 해당 이름을 클릭하여 세부 정보 페이지로 이동합니다.

3. 아래로 스크롤하여 알러트 필드 설정 섹션으로 이동합니다.

4. 디택션에 원하는 변경 사항을 적용합니다.

   • 편집할 수 없는 필드는 회색으로 표시됩니다.

5. 다음을 클릭합니다 업데이트 변경 사항을 저장하려면 페이지 오른쪽 상단에서 클릭합니다.

디택션 상속

디택션 상속을 사용하면 Panther 관리형 디택션을 기본 디택션으로 사용하고, 그로부터 자체 파생 디택션을 만들 수 있습니다. 파생 디택션은 변경할 수 없는 기본 디택션의 핵심 로직과, 덮어쓸 수 있는 해당 메타데이터 필드 값을 상속합니다.

자세한 내용은 다음을 참조하세요 디택션 상속.

Panther 관리형 디택션 복제 방법

Panther 관리형 디택션이 요구 사항에 맞지 않는 경우, 이를 복제한 다음 복제된 사본을 편집할 수 있습니다:

1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭합니다 빌드 > 디택션.

2. 편집하려는 디택션을 찾은 다음 해당 이름을 클릭합니다.

3. 디택션 세부 정보 페이지의 오른쪽 상단에서 점 세 개 > 를 클릭합니다 복제.

4. 표준 디택션 생성 인터페이스로 리디렉션됩니다. 선택적으로 복제된 디택션의 이름.

   • 기본적으로 복제된 디택션의 이름에는 (Copy) 가 덧붙습니다.

5. 오른쪽 상단에서 다음을 클릭합니다 계속.

6. 복제된 디택션의 세부 정보 페이지에서 디택션의 복제본에 원하는 변경 사항을 적용합니다.

   • 이 활성화됨 토글은 기본적으로 원래 디택션의 활성화 상태를 따릅니다. 즉, Panther 관리형 디택션이 비활성화되어 있었다면 토글은 OFF로 설정됩니다.

7. 오른쪽 상단에서 다음을 클릭합니다 저장.

디택션을 복제하고 편집해도 원래 디택션의 활성화 상태는 변경되지 않습니다. 즉, 원래 Panther 관리형 디택션이 활성화되어 있었지만 사용자 지정 사본으로 이를 대체 하려는 경우, 다시 돌아가 Panther 관리형 디택션을 비활성화해야 합니다.

복제된 디택션은 Panther에서 관리되지 않으며 지속적인 업데이트를 받지 않습니다(디택션 팩에 포함된 Panther 관리형 디택션과 달리). 원래 버전의 디택션(팩에 포함된 경우)은 활성화 여부와 관계없이 평소처럼 계속 업데이트를 받습니다.

Panther 관리형 디택션용 알러트 런북

알러트 런북은 알러트를 트리거한 문제를 해결하기 위한 지침 모음입니다. Panther는 여러 Panther 관리형 policies 및 룰에 대해 알러트 런북을 제공합니다. 다음에서 확인하세요 알러트 런북.