search
Knowledge BaseRelease NotesRequest Demo

프레임워크 매핑 및 MITRE ATT&CK® 매트릭스

Panther에서 디텍션을 컴플라이언스 프레임워크에 매핑하기

hashtag
개요

Panther는 룰, 정책 및 스케줄된 룰을 리포트에 매핑하여 컴플라이언스 프레임워크에 대한 커버리지를 추적하는 기능을 지원합니다.

Panther 버전 1.37 이상에서는 디텍션을 다음에 매핑할 수 있습니다 MITRE ATT&CKarrow-up-right®. 이는 커버리지를 추적하고 시각화하는 데 도움이 될 수 있으며, 갭을 식별하고 내부적으로 컴플라이언스를 보고하는 데 유용할 수 있습니다. 디텍션에 전술(Tactic)과 기법(Technique) 조합을 할당하는 방법을 알아보려면, 아래 문서를 참조하세요.

hashtag
디텍션을 프레임워크에 매핑하는 방법

  1. Panther 콘솔의 왼쪽 탐색 창에서 대시보드.

  2. 을 클릭하세요 MITRE ATT&CK® 탭을 클릭하세요.

  3. 디텍션 이름을 클릭하세요.

  4. 아래로 스크롤하여 알러트 필드 설정 타일을 클릭합니다. The Set Alert Fields tile in the detection page is shown. There are various fields, like Severity, Deduplication Period, and Runbook. At the bottom is a circled Framework Mapping section, containing an Add New button.

  5. 페이지 오른쪽에 있는 프레임워크 매핑 섹션에서, 클릭하여 새로 추가.

    • 안에 보고서 키에 프레임워크 이름을 입력하세요.

    • 안에 보고서 값에 특정 프레임워크 요구사항 이름을 입력하세요.

      • 쉼표로 구분하여 여러 리포트 값을 입력할 수 있습니다.

  6. 오른쪽 상단에서 업데이트.

hashtag
Panther에서 MITRE ATT&CK® 기능을 사용하는 방법

  1. Panther 콘솔의 왼쪽 탐색 창에서 대시보드.

  2. 을 클릭하세요 MITRE ATT&CK® 탭을 클릭하세요.

  3. 페이지 오른쪽 상단의 매트릭스 드롭다운 메뉴에서 옵션을 선택하세요.

    • 여기에서 전체 중 커버된 기법 수와 활성 애널리틱스 수를 볼 수 있습니다. 각 전술(Tactic)은 행으로 표시되며, 정사각형 하나가 각 기법을 나타냅니다.

기법(Technique)을 클릭하면 해당되는 디텍션 또는 로그 소스를 볼 수 있습니다. 다음을 참고하세요:

  • Panther 관리 디텍션 은 최신 버전을 사용하는 한 해당되는 전술 및 기법 조합에 자동으로 할당됩니다.

  • 로그 소스로서의 CrowdStrike 는 해당되는 전술 및 기법 조합에 자동으로 할당됩니다.

  • 아직 온보딩하지 않은 로그 소스를 가진 활성화되었거나 비활성화된 디텍션을 할당할 수 있습니다.

모든 커스텀 룰, 정책 및 스케줄된 룰을 해당 전술 및 기법에 할당해야 합니다.

hashtag
전술과 기법의 가능한 상태

  • 커버됨: 해당 전술 및 기법 조합으로 귀하가 확인한 상태

  • 부분적으로 커버됨:

    • 하나 이상 매핑된 Panther 관리 디텍션 또는 관리되지 않는 디텍션

    • 로그 소스로 온보딩된 CrowdStrike

  • 관련 없음: 귀하의 환경에 관련 없도록 수동으로 할당됨

  • 커버되지 않음: 적용 가능한 디텍션 없음 또는 수동으로 할당됨

hashtag
ATT&CK 매핑 추가 및 편집

룰, 정책 및 스케줄된 룰을 전술 및 기법에 할당하는 방법은 두 가지가 있습니다: MITRE ATT&CK 매트릭스에서 또는 디텍션 생성/편집 워크플로우에서.

circle-info

아래 작업을 수행하려면 귀하가 룰 관리 ListBucket

MITRE ATT&CK® 매트릭스에서:

  1. 디텍션을 매핑하려는 전술과 기법을 선택하세요.

    • 매트릭스 아래 구성요소에서 이미 매핑된 디텍션 목록 또는 빈 상태를 보게 됩니다.

  2. 화면 하단에서, 클릭하세요 새로 만들기 이전에 생성한 Snowflake 사용자 이름, 예를 들면 기존 매핑 하여 디텍션을 할당하세요. In the Panther Console under the matrix, there is a button labeled "Create New" and a link labeled "Map Existing".

신규 및 기존 디텍션에 대해 TacticID:TechniqueID 는 이 단계 이후 자동으로 할당됩니다.

디텍션 생성 또는 편집 워크플로우에서:

  1. Panther 콘솔의 왼쪽 탐색 창에서 디텍션.

  2. 디텍션 이름을 클릭하세요.

  3. 아래로 스크롤하여 프레임워크 매핑 섹션, 내의 알러트 필드 설정 타일을 클릭합니다.

    • 매핑을 추가하려면, 클릭하세요 리포트 추가. 필드를 구성하세요:

      • 보고서 키: 입력 MITRE ATT&CK.

      • 보고서 값: TacticID:TechniqueID 값을 입력하세요.

    • 매핑을 제거하려면, 키 옆의 휴지통 아이콘을 클릭하고, 그 아래에 있는 TacticID:TechniqueID

  4. 오른쪽 상단에서 업데이트. The image shows a Report Key field that contains "MITRE ATTACK" and a Report Values field that contains the TacticID:TechniqueID value

hashtag
필드는 전술과 기법에 대한 추가 메타데이터로 디텍션을 풍부하게 하는 데 사용할 수 있습니다. 예를 들어 전술과 기법을 태그로 추가하는 것이 유용할 수 있습니다:

사용자를 사용할 것이며, 태그 태그를

  1. Panther 콘솔의 왼쪽 탐색 창에서 디텍션.

  2. 디텍션 이름을 클릭하세요.

  3. 아래로 스크롤하여 알러트 필드 설정 타일을 클릭합니다.

  4. 필드에 입력한 후, Enter 키를 누르세요. 사용자 정의 태그 전술 및 기법 ID 확인하기

  5. 오른쪽 상단에서 업데이트.

hashtag
Panther 콘솔에서 또는 다음을 방문하여 전술 ID와 기법 ID를 찾을 수 있습니다

MITRE ATT&CK 웹사이트 MITRE ATT&CK 웹사이트arrow-up-right.

이전데이터 재생(베타)다음클라우드 보안 스캐닝

마지막 업데이트

도움이 되었나요?