탐지 팩
팩을 사용하여 탐지를 그룹화하고 Panther 콘솔을 통해 업데이트를 활성화하세요
개요
탐지 팩(간단히 팩이라고도 함)은 논리적으로 그룹화하는 데 사용됩니다 Panther 관리 탐지및 Panther 콘솔에서 탐지 업데이트를 활성화할 수 있게 합니다. 팩은 다음에서 정의됩니다 panther-labs/panther-analysis 오픈 소스 리포지토리.
단일 팩은 임의의 수의 탐지들을 그룹화할 수 있습니다, 데이터 모델(Data Models), 전역 헬퍼, 조회 테이블및 저장된 검색. Panther 범용 탐지, 예를 들어 특정 데이터 모델에 의존하는 모든 규칙과 그들의 모든 종속성을 그룹화합니다.
탐지 팩은 버전 관리되며 Panther는 해당 팩에 포함된 탐지들의 핵심 탐지 로직 업데이트와 함께 정기적으로 새 버전을 릴리스합니다. 팩 업데이트가 사용 가능하면 팩 목록 페이지에서 해당 팩의 타일(당신의 Panther 콘솔의 탐지 > 팩)에 업데이트 사용 가능 레이블이 표시됩니다.
활성화된 탐지 팩의 일부인 탐지는 다음과 같이 레이블이 지정됩니다 관리됨, 그리고 탐지 팩의 일부가 아닌 탐지는 다음과 같이 레이블이 지정됩니다 관리되지 않음.
참고: Panther 콘솔을 통한 탐지 관리가 에 설치해야 하며 권장됩니다 — 이미 Git 기반 워크플로우를 사용하여 Panther Analysis Tool로 탐지를 관리하고 업로드하고 있다면 그렇습니다. 두 방법을 동시에 사용해 탐지를 관리하면 예기치 않은 동작이 발생할 수 있습니다.
다음을 사용할 수 있습니다 개발자 워크플로우 설정 를 사용하여 UI에서 팩을 켤 수 있는 기능을 비활성화할 수 있습니다.
Panther 관리 탐지 팩(Panther-managed Detection Packs)
Panther는 기본적으로 여러 탐지 팩을 제공합니다. 특정 로그 소스와 관련된 모든 Panther 관리 탐지 (들)을 그룹화하는 팩이 있는 한편, 특정 초점(예: 통합 데이터 모델을 활용하는 일반 규칙이나 AWS용 핵심 탐지 세트)에 따라 그룹화된 탐지 팩도 있습니다. 인기 있는 예시는 다음과 같습니다:
표시 이름
설명
이 팩은 통합 데이터 모델을 활용하는 표준 규칙들을 그룹화합니다
AWS 환경과 관련된 가장 중요하고 높은 가치의 탐지 그룹
Okta에 대해 Panther가 생성한 모든 탐지의 그룹
탐지 팩 사용 방법
탐지 팩 보기
네비게이션 바에서 탐지를 클릭한 다음 팩 탭을 클릭하십시오.
을 클릭하면 Panther 콘솔에서 Panther 제공 탐지 팩 목록을 볼 수 있습니다. 팩을 클릭하면 설명, 활성화 상태, 현재 활성화된 버전, 그리고 탐지와 같은 어떤 엔티티(예: 데이터 모델(Data Models), 전역 헬퍼및 저장된 검색)가 팩에 포함되어 있는지 등 세부 정보를 볼 수 있습니다.
탐지 팩 활성화 및 비활성화
팩은 Panther 콘솔에서 활성화되거나 비활성화될 수 있습니다. 팩을 활성화하면 해당 팩에 포함된 각 탐지가 활성화됩니다. 활성화된 팩 내에서 하나 이상의 탐지를(개별적으로) 팩 전체를 비활성화하지 않고 비활성화할 수 있습니다.
팩이 비활성화되어 있지만 그 안에 포함된 탐지들이 활성화된 경우, 해당 탐지들은 정상적으로 작동합니다(즉 팩이 비활성화된다고 영향받지 않습니다).
팩을 업데이트할 때 비활성화된 탐지가 포함되어 있으면, 탐지는 업데이트되지만 여전히 비활성 상태로 유지됩니다.
팩을 활성화하거나 비활성화하려면:
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
활성화하거나 비활성화하려는 팩을 찾습니다.
해당 팩 타일의 오른쪽에서 활성화됨 슬라이더를 켜거나 끕니다.
설정은 활성화됨 슬라이더는 팩 상세 페이지에도 표시됩니다:
탐지 팩 업데이트 또는 롤백
탐지 팩에 대한 새 업데이트는 정기적으로 panther-analysis 리포지토리에 업데이트 사용 가능 릴리스됩니다. 이러한 업데이트는 Panther에 의해 자동으로 감지되며 팩 개요 페이지는 관련 팩 옆에
플래그를 표시합니다.
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
팩 탐지를 업데이트하려면:
업데이트하려는 팩을 찾습니다. 버전 팩 타일 내의
드롭다운에서 버전 번호를 선택합니다. 계속.
팝업 모달에서 클릭합니다 성공 여부를 확인하기 위해 콘솔 내 알림
을 받게 됩니다.
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
이전 팩 버전으로 되돌리려면:
업데이트하려는 팩을 찾습니다. 버전 팩 타일 내의
드롭다운에서 버전 번호를 선택합니다. 계속.
되돌리려는 팩을 찾습니다.
팩으로 탐지 관리하기
관리되는 탐지 편집
팩이 활성화된 후 Panther 콘솔에서 수동으로 편집할 수 있는 일부 필드가 있습니다:
경고 필드 설정
활성화 / 비활성화
중복 제거 기간
이벤트 임계값
런북
대상 재정의
Panther 콘솔에서 수동으로 편집될 수 있습니다. 탐지 .yml 파일에서 이들 필드를 편집해도 이 값들을 재정의하지 않습니다.
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
편집 가능한 필드는 Panther 콘솔에서 다음과 같이 변경할 수 있습니다:
편집하려는 탐지를 포함하는 팩의 이름을 클릭한 다음 탐지의 이름을 클릭합니다.
원하는 변경을 탐지에 적용합니다.
클릭 Diff 보기 편집할 수 없는 필드는 회색으로 표시됩니다.
페이지 오른쪽 상단의 변경 사항을 저장하려면 클릭하십시오.
관리되는 탐지 복제 및 편집
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
탐지 팩에 포함된 규칙이나 정책이 필요에 맞지 않으면 해당 항목을 복제한 다음 복제본을 사용자화할 수 있습니다:
다음을 따르세요 편집하려는 탐지를 포함하는 팩의 이름을 클릭한 다음 탐지의 이름을 클릭합니다. Panther 관리 탐지 복제 방법 지침
Panther 관리 탐지 사용에 관한
문서를 참조하십시오. 팩 소스(레거시) 사용자 지정 팩 소스는 더 이상 신규 고객에게 지원되지 않는 레거시 기능입니다. Panther 콘솔 밖에서 생성 및 편집된 사용자 지정 탐지를 사용하려면
Panther 개발자 워크플로우 개요
를 참조하여 지원되는 워크플로우를 이해하십시오.
팩 소스는 탐지 팩을 위한 사용자 지정 GitHub 소스를 구성하는 방법을 제공합니다. 팩 소스가 구성되면 Panther는 소스 리포지토리에서 새 태그 릴리스를 24시간마다 확인합니다. Panther가 팩 소스에서 사용자 지정 팩을 찾으려면 다음을 수행해야 합니다: 릴리스가 초안 상태가 아닌 최종 상태인지 확인하십시오릴리스 이름이 다음 형식에 따라 명명되었는지 확인하십시오
SemVer 형식
, 그리고 릴리스의 태그는 릴리스 이름과 동일해야 합니다릴리스 아티팩트의 이름이panther-analysis-all.zip인지 확인하십시오(릴리스에 서명하는 경우 해당하는
, 그리고 릴리스의 태그는 릴리스 이름과 동일해야 합니다panther-analysis-all.sig파일도 필요합니다) 다음을 확인하십시오: 당신의
다음을 사용할 수 있습니다 는 적어도 하나의 팩 매니페스트 파일을 포함하고 있어야 합니다 ( 팩 매니페스트 섹션을 아래에서 참조 자세한 정보를 위해) panther_analysis_tool
(PAT)는 필요한 릴리스 자산을 생성하고 초안 릴리스를 게시하기 위해 사용됩니다(추가 세부사항은
GitHub 릴리스 생성 - Panther Analysis Tool
를 참조하십시오). 사용자 지정 팩은 Panther 제공 팩과 동일한 기능으로 관리할 수 있습니다.
설명
팩 소스 필드는 다음 표에 설명되어 있습니다.
필드 이름
예
필수
문자열
예상 값
예
소유자
문자열
대상 리포지토리의 소유자/조직
리포지토리
리포지토리 이름
문자열
kmsKey
리포지토리
아니요
문자열
릴리스 서명을 검증하기 위한 서명/검증 KMS 키의 ARN
AccessToken
비공개 리포지토리에 접근하는 데 사용되는 개인 액세스 토큰 , 그리고 릴리스의 태그는 릴리스 이름과 동일해야 합니다 팩 매니페스트
팩은 팩에 대한 메타데이터(예: 이름, 설명, 팩에 포함된 탐지/파일)를 포함하는 팩 매니페스트 YAML 파일을 생성하여 정의됩니다. 당신의.
릴리스 아티팩트는 여러 팩 매니페스트와 탐지, 전역 헬퍼, 데이터 모델 등 리포지토리의 다른 파일들을 포함할 수 있습니다. GitHub 리포지토리를 Panther 콘솔에 팩 소스로 추가하면 이러한 각 팩 매니페스트 파일이 Panther 콘솔에 개별적으로 활성화/비활성화할 수 있는 팩으로 표시됩니다.
부울 값
다음 표는 팩 매니페스트에서 유효한 다양한 키의 참조입니다. Panther가 사용하는 팩 매니페스트의 추가 예시는 우리의
GitHub의 Panther 제공 팩
에서 찾을 수 있습니다.
부울 값
AnalysisType
문자열
설명
true
이 파일의 분석 유형을 나타냅니다
문자열
팩
부울 값
PackID 이 팩의 고유 ID Panther 콘솔에 표시될 이 팩에 대한 추가 정보 이 팩의 고유 ID PackDefinition
단일 필드인
IDs
부울 값
를 가진 매핑이며, 그 필드는 문자열 목록입니다. 목록의 각 문자열은 이 팩에 포함된 파일의 고유 ID여야 합니다
문자열
{ IDs: [string] }
DisplayName Panther 콘솔에 이 팩에 대해 표시될 사용자 친화적 제목 비공개 리포지토리 접근
Panther가 비공개 리포지토리를 폴링할 수 있도록 액세스하려면 개인 액세스 토큰으로 팩 소스를 구성해야 합니다. 토큰 생성에 대한 자세한 내용은 GitHub 문서 를 참조하십시오.
개인 액세스 토큰은 계정 소유자가 접근 가능한 모든 리포지토리에 대한 접근 권한을 부여합니다. 우리는 탐지 팩을 포함한 리포지토리에 외부 협력자로 추가할 수 있는
"머신 사용자" 를 생성하는 것을 권장합니다. 이렇게 하면 액세스 토큰을 특정 사용 및 리포지토리에 대해 범위를 제한할 수 있습니다.릴리스 서명 Panther 관리 팩은 비대칭 AWS KMS 키로 서명됩니다. Panther 팩 소스에서 어떤 탐지를 가져오기 전에 릴리스 자산 panther-analysis.sig 를 사용하여 서명을 검증합니다. 이는 가져오는 탐지들이 변조되거나 수정되지 않았음을 보장합니다. 유사한 기능을 사용하려면,
서명/검증 KMS 키를 생성
"Sid": "Enable KMS Verify",
"AWS": "arn:aws:iam::{accountid}:root":
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
다음 항목을 클릭하십시오 "Action": "kms:Verify", 탭을 클릭하십시오.
클릭 새로 만들기 "Resource": "*"
팩 소스 관리
클릭 저장.
팩 소스 추가 방법 대상 리포지토리의 소유자/조직 또는 kmsKey 탐지 팩 소스:
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
다음 항목을 클릭하십시오 "Action": "kms:Verify", 탭을 클릭하십시오.
클릭 ... 오른쪽 상단에 있습니다. 편집을 클릭하고각 입력 필드에 대한 필드 이름을 입력하십시오.
팩 소스의
클릭 저장.
필드를 수정하려면:
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.
다음 항목을 클릭하십시오 팩 탭을 클릭하십시오.
다음 항목을 클릭하십시오 "Action": "kms:Verify", 탭을 클릭하십시오.
클릭 ... 오른쪽 상단에 있습니다. 삭제.
을 클릭하십시오. 팩 소스를 클릭합니다.
설정은 는 적어도 하나의 팩 매니페스트 파일을 포함하고 있어야 합니다 ( 이 페이지에서 필드를 편집하십시오.
팩 소스 삭제 방법 팩 소스를 삭제하면 해당 소스에서 유래한 팩들과 그 안의 모든 탐지가 삭제됩니다. 명령을 사용하세요.
Github 리포지토리에 초안 릴리스를 자동으로 생성하려면 먼저 GITHUB_TOKEN 환경 변수를 대상 리포지토리에 접근할 적절한 권한을 가진 개인 액세스 토큰으로 설정하십시오. 그런 다음 publish 명령을 사용하세요.
를 사용하십시오. 참고: panther_analysis_tool publish
Last updated
Was this helpful?