search
Knowledge BaseRelease NotesRequest Demo

프레임워크 매핑 및 MITRE ATT&CK® 매트릭스

Panther에서 탐지를 규정 준수 프레임워크에 매핑하기

hashtag
개요

Panther는 규칙, 정책 및 예약된 규칙을 보고서에 매핑하여 규정 준수 프레임워크에 대한 커버리지를 추적하는 기능을 지원합니다.

Panther 버전 1.37 이상에서는 감지를 다음에 매핑할 수 있습니다 MITRE ATT&CKarrow-up-right®. 이는 커버리지를 추적하고 시각화하는 데 도움이 될 수 있으며, 격차를 식별하고 내부적으로 준수를 보고하는 데 유용할 수 있습니다. 감지에 전술(Tactic) 및 기법(Technique) 조합을 할당하는 방법을 알아보려면, 아래 문서를 참조하세요.

hashtag
감지를 프레임워크에 매핑하는 방법

  1. Panther 콘솔의 왼쪽 탐색 바에서 대시보드.

  2. 클릭합니다 MITRE ATT&CK® 탭.

  3. 감지 이름을 클릭하세요.

  4. 아래로 스크롤하여 경보 필드 설정 타일. The Set Alert Fields tile in the detection page is shown. There are various fields, like Severity, Deduplication Period, and Runbook. At the bottom is a circled Framework Mapping section, containing an Add New button.

  5. 오른쪽에 있는 HIPAA 단위 테스트(Unit Test) 프레임워크 매핑(Framework Mapping).

    • 내에서 다음 필드에 값을 제공하세요:에 프레임워크 이름을 입력하세요.

    • 내에서 : 보고서와 관련된 키를 입력하세요.에 특정 프레임워크 요구 사항 이름을 입력하세요.

      • 쉼표로 구분하여 여러 보고서 값을 입력할 수 있습니다.

  6. 테스트를 생성(create a test) 업데이트.

hashtag
Panther에서 MITRE ATT&CK® 기능을 사용하는 방법

  1. Panther 콘솔의 왼쪽 탐색 바에서 대시보드.

  2. 클릭합니다 MITRE ATT&CK® 탭.

  3. 페이지 오른쪽 상단의 매트릭스 드롭다운 메뉴에서 옵션을 선택하세요.

    • 여기에서 전체 중 커버된 기법 수와 활성 분석 수를 볼 수 있습니다. 각 전술은 행으로 표시되며, 각 기법은 사각형으로 표시됩니다.

기법을 클릭하면 해당되는 감지 또는 로그 소스를 볼 수 있습니다. 다음 사항을 참고하세요:

  • Panther가 관리하는 감지 는 최신 버전을 사용하고 있는 한 해당 전술 및 기법 조합에 자동으로 할당됩니다.

  • 로그 소스로서의 CrowdStrike 는 해당 전술 및 기법 조합에 자동으로 할당됩니다.

  • 아직 온보딩하지 않은 로그 소스를 가진 활성화되거나 비활성화된 감지를 할당할 수 있습니다.

사용자 정의 규칙, 정책 및 예약된 규칙은 각각의 전술 및 기법에 직접 할당해야 합니다.

hashtag
전술 및 기법의 가능한 상태

  • 커버됨: 해당 전술 및 기법 조합으로 귀하가 확인한 상태

  • 부분적으로 커버됨:

    • 하나 이상의 매핑된 Panther 관리 감지 또는 관리되지 않는 감지

    • 로그 소스로 CrowdStrike가 온보딩됨

  • 관련 없음: 귀하의 환경에서 관련이 없다고 수동으로 지정됨

  • 커버되지 않음: 적용 가능한 감지 없음 또는 수동으로 지정됨

hashtag
ATT&CK 매핑 추가 및 편집

규칙, 정책 및 예약된 규칙을 전술 및 기법에 할당하는 방법은 두 가지가 있습니다: MITRE ATT&CK 매트릭스에서 또는 감지 생성/편집 워크플로우에서.

circle-info

아래 작업을 수행하려면 다음 권한이 필요합니다, 규칙 관리 권한을 가져야 합니다.

MITRE ATT&CK® 매트릭스에서:

  1. 감지를 매핑하려는 전술 및 기법을 선택하세요.

    • 매트릭스 아래 구성 요소에는 이미 매핑된 감지 목록 또는 빈 상태가 표시됩니다.

  2. 화면 하단에서 새로 만들기(Create New) 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 기존 매핑 을 클릭하여 감지를 할당하세요. In the Panther Console under the matrix, there is a button labeled "Create New" and a link labeled "Map Existing".

새로운 감지와 기존 감지 모두에 대해 TacticID:TechniqueID 가 이 단계 후 자동으로 할당됩니다.

감지 생성 또는 편집 워크플로우에서:

  1. Panther 콘솔의 왼쪽 탐색 바에서 탐지(Detections).

  2. 감지 이름을 클릭하세요.

  3. 아래로 스크롤하여 HIPAA 섹션, 내에서 경보 필드 설정 타일.

    • 매핑을 추가하려면, 클릭하세요 보고서 추가. 필드를 구성하세요:

      • 다음 필드에 값을 제공하세요:: 입력하세요 MITRE ATT&CK.

      • : 보고서와 관련된 키를 입력하세요.: TacticID:TechniqueID 값을 입력하세요.

    • 매핑을 제거하려면, 키 옆의 휴지통 아이콘을 클릭하고 그 아래에 있는 TacticID:TechniqueID

  4. 테스트를 생성(create a test) 업데이트. The image shows a Report Key field that contains "MITRE ATTACK" and a Report Values field that contains the TacticID:TechniqueID value

hashtag
필드는 전술 및 기법에 대한 추가 메타데이터로 감지를 풍부하게 하는 데 사용할 수 있습니다. 예를 들어 전술 및 기법을 태그로 추가하면 유용할 수 있습니다:

와 같이 반환할 수 있습니다(스타일 취향에 따라). 태그 태그를

  1. Panther 콘솔의 왼쪽 탐색 바에서 탐지(Detections).

  2. 감지 이름을 클릭하세요.

  3. 아래로 스크롤하여 경보 필드 설정 타일.

  4. 필드에 입력한 다음 Enter 키를 누르세요. 경고 할당 및 관리(Assigning and Managing Alerts) 전술 및 기법 ID 식별

  5. 테스트를 생성(create a test) 업데이트.

hashtag
전술 ID와 기법 ID는 Panther 콘솔에서 찾거나

MITRE ATT&CK 웹사이트를 방문하여 확인할 수 있습니다 MITRE ATT&CK 웹사이트arrow-up-right.

Previous데이터 재재생(베타)Next클라우드 보안 스캐닝

Last updated

Was this helpful?