PyPanther 탐지(베타)

개요

PyPanther 프레임워크에서 탐지는 완전히 Python으로 정의되어 구성요소 재사용과 간단한 규칙 재정의를 가능하게 합니다. PyPanther 탐지의 기반은 오픈 소스 pypanther Python 라이브러리.

이 페이지에서 PyPanther의 핵심 기능과 v1 탐지 형식과의 차이점을 확인한 다음—시작하세요 PyPanther 탐지 생성하기 CLI 워크플로우에서 또는 Panther 콘솔에서.

주요 기능

• 규칙을 가져오고 작성하고 수정하고 테스트하고 업로드하는 완전한 Python 네이티브 환경—포크나 panther-analysis.

  Copy

  # Panther가 관리하는 BoxNewLogin 규칙을 임포트합니다
  from pypanther.rules.box import BoxNewLogin

• 다음을 통해 Panther가 관리하는 규칙에 사용자 구성(custom configuration)을 적용할 수 있는 기능: overrides, 함수 로직, 속성 값, 클래스 변수 또는 헬퍼 함수 등이 그러합니다. 이 경우 관련 규칙들이 상속하는 기본 규칙을 만드는 것이 유용합니다.및 상속.

  Copy

  from pypanther import Severity
  
  # 여러 속성 재정의를 설정합니다
  BoxNewLogin.override(
      default_severity=Severity.MEDIUM,
      tags=['Initial Access'],
      default_runbook="이 로그인이 실제로 해당 사용자에 의한 것인지 Slack에서 사용자에게 문의하세요.",
  )
  
  # Alice의 모든 로그인은 제외하도록 간단한 필터를 추가합니다
  BoxNewLogin.extend(
      exclude_filters=[lambda e: e.deep_get('created_by', 'name') == 'Alice'],
  )

• Panther 배포 패키지에 포함할 규칙 집합을 선택적으로 고를 수 있는 기능.

  Copy

  from pypanther import register
  
  # 테스트 및 업로드할 단일 규칙을 등록합니다
  register(BoxNewLogin)

PyPanther 탐지 vs. v1 탐지

PyPanther 탐지는 다음 영역에서 v1 탐지와 다릅니다:

• 파일 구조: CLI 워크플로우에서 작업할 때, v1 프레임워크 의 규칙은 규칙 로직을 정의하는 Python 파일과 동적 경보 함수 를 설정하는 YAML 파일, 총 두 파일이 필요합니다. PyPanther 규칙은 모든 함수, 속성 및 헬퍼를 포함하는 단일 Python 클래스로 완전히 작성됩니다.

• Panther가 관리하는 탐지를 가져오는 프로세스: v1 탐지에서는 주기적으로 panther-analysis 을(를) 업스트림 변경사항과 동기화해야 합니다. PyPanther 탐지에서는 Git 동기화가 필요하지 않습니다—최신 Panther 관리 콘텐츠는 항상 pypanther Python 라이브러리.

• Packs: Panther가 관리하는 v1 탐지는 탐지 팩(Detection Packs)에 번들로 제공됩니다. PyPanther 탐지에서는 get_panther_rules() (또는 직접 임포트)를 사용하여 Panther 인스턴스에 포함할 탐지를 선택할 수 있습니다 register().

동일한 탐지인 Box.New.Login 은 아래 두 버전 모두에 정의되어 있습니다:

PyPanther 탐지의 제한사항

PyPanther 탐지에는 다음과 같은 제한사항이 있습니다:

• 새로운 사용자 정의 조회 테이블(Lookup Tables).

  • 다음이 정의되어 있더라도 을(를) 정의하는 것은 불가능하지만, 기존 사용자 정의 조회 테이블의 데이터를 참조하는 것과 Panther가 관리하는 Enrichment Providers.

• 을(를) 참조하는 것은 가능합니다 정책(Policies), 예약 규칙을 실행할 때 정의된 간격을 설정하는 데 사용됩니다., 다음에 대한 지원 없음:, 간단한 규칙(Simple Rules).

  • 상관 규칙(Correlation Rules)

• PyPanther 프레임워크에서는 규칙(또는 “실시간 규칙”)만 지원됩니다. 데이터 재생(Data Replay) CLI 또는 콘솔 워크플로우에서

• 을(를) 사용하는 것은 불가능합니다. 자체적인.

  • 다음이 정의되어 있더라도 데이터 모델 을(를) 정의하는 것은 불가능하지만 요일 pypanther Panther가 관리하는 데이터 모델을 참조하는 것은 가능합니다라이브러리 , 다음을 사용하여.

• event.udm()

• 저장소에서 라이브러리 버전 고정(pinning) 및 사용자 지정 종속성 선언은 지원되지 않습니다. pypantherPyPanther 탐지와 함께 사용하는 CLI 도구인 에는 CLI 워크플로우로 테스트하기 가 제공하는 모든.

  • 명령어가 포함되어 있지 않습니다. pypanther 사용 가능한 명령 목록은.

• pypanther CLI 도구 사용하기 업로드 다음 업로드 명령어에 기능상의 추가 제한이 있습니다. 자세한 내용은.

• 제한사항 섹션을 참조하세요 Panther 콘솔에서 PyPanther 탐지를 관리할 때 추가 제한이 있습니다. 자세한 내용은.

PyPanther 탐지 사용 시작하기

환경에서 Fluentd 시작에 대한 정보는 콘솔 제한사항 섹션을 참조하세요pypanther-starter-kit 저장소 에는 PyPanther 탐지 예제가 포함되어 있으며, 빠르게 시작할 수 있도록 복제(clone)할 수 있습니다. 저장소의 설정 지침을 따라 시작하세요—README에.

CLI 워크플로우에서 Panther가 관리하는 PyPanther 탐지를 수정하고 직접 생성하는 방법에 대해 자세히 알아보려면 PyPanther 탐지 생성 또는 Panther 콘솔에서는 Panther 콘솔에서 PyPanther 탐지 관리하기.

pypanther에 기여하기

설정은 pypanther Panther가 관리하는 데이터 모델을 참조하는 것은 가능합니다 는 오픈 소스이며 기여를 환영합니다. 기여 지침은 다음을 확인하세요 CONTRIBUTING.md 에서 기여 가이드라인을 확인하세요.