search
Ctrlk
Knowledge BaseRelease NotesRequest Demo

프레임워크 매핑 및 MITRE ATT&CK® 매트릭스

Panther에서 디택션을 규정 준수 프레임워크에 매핑하기

hashtag
개요

Panther는 규칙, 정책, 예약 규칙을 보고서에 매핑하여 컴플라이언스 프레임워크에 대한 커버리지를 추적할 수 있도록 지원합니다.

Panther 버전 1.37 이상에서는 디택션을 MITRE ATT&CKarrow-up-right®. 이를 통해 커버리지를 추적하고 시각화할 수 있으며, 내부적으로 격차를 식별하고 컴플라이언스를 보고하는 데 유용할 수 있습니다. 디택션에 Tactic과 Technique 조합을 할당하는 방법을 알아보려면 아래 문서를 참조하세요.

hashtag
디택션을 프레임워크에 매핑하는 방법

  1. Panther Console의 왼쪽 탐색 표시줄에서 대시보드.

  2. 다음을 클릭하세요. MITRE ATT&CK® 탭.

  3. 디택션의 이름을 클릭합니다.

  4. 다음으로 스크롤합니다 알러트 필드 설정 타일. The Set Alert Fields tile in the detection page is shown. There are various fields, like Severity, Deduplication Period, and Runbook. At the bottom is a circled Framework Mapping section, containing an Add New button.

  5. 오른쪽에 있는 프레임워크 매핑 섹션에서 새로 추가.

    • 에서 보고서 키프레임워크 이름을 입력합니다.

    • 에서 보고서 값에서 특정 프레임워크 요구사항 이름을 입력합니다.

      • 쉼표로 구분하여 여러 보고 값들을 입력할 수 있습니다.

  6. 오른쪽 상단에서 다음을 클릭합니다 업데이트.

hashtag
Panther에서 MITRE ATT&CK® 기능을 사용하는 방법

  1. Panther Console의 왼쪽 탐색 표시줄에서 대시보드.

  2. 다음을 클릭하세요. MITRE ATT&CK® 탭.

  3. 다음 중 하나를 선택합니다. Matrix 페이지 오른쪽 상단의 드롭다운 메뉴에서.

    • 여기에서 전체 대비 커버된 Technique 수와 활성 분석 수를 볼 수 있습니다. 각 Tactic은 행으로 표시되며, 각 Technique는 정사각형으로 표시됩니다.

Technique를 클릭하면 적용 가능한 디택션 또는 로그 소스를 볼 수 있습니다. 다음 사항에 유의하세요:

  • Panther가 관리하는 디택션 은 최신 버전을 사용 중인 한 적용 가능한 Tactic 및 Technique 조합에 자동으로 할당됩니다.

  • 로그 소스로서의 CrowdStrike 는 적용 가능한 Tactic 및 Technique 조합에 자동으로 할당됩니다.

  • 아직 온보딩하지 않은 로그 소스를 가진 활성 또는 비활성 디택션을 할당할 수 있습니다.

모든 커스텀 규칙, 정책 및 예약 규칙을 해당 Tactic 및 Technique에 할당해야 합니다.

hashtag
Tactic 및 Technique의 가능한 상태

  • 커버됨: 커버된 Tactic 및 Technique 조합으로 확인됨

  • 부분적으로 커버됨:

    • 하나 이상 매핑된 Panther가 관리하는 디택션 또는 비관리 디택션

    • 온보딩된 CrowdStrike를 로그 소스로 사용

  • 관련 없음: 환경과 관련이 없도록 수동으로 할당됨

  • 커버되지 않음: 적용 가능한 디택션이 없거나 수동으로 할당됨

hashtag
ATT&CK 매핑 추가 및 편집

Tactic 및 Technique에 규칙, 정책 및 예약 규칙을 할당하는 방법은 두 가지입니다. MITRE ATT&CK Matrix에서 또는 디택션 생성/편집 워크플로에서 수행할 수 있습니다.

circle-info

아래 작업을 수행하려면 다음이 필요합니다. 룰 관리 AlertModify

MITRE ATT&CK® Matrix에서:

  1. 디택션을 매핑하려는 Tactic 및 Technique를 선택합니다.

    • Matrix 아래의 구성 요소에서 이미 매핑된 디택션 목록 또는 빈 상태를 볼 수 있습니다.

  2. 화면 하단에서 새로 만들기 또는 기존 항목 매핑 을 클릭하여 디택션을 할당합니다. In the Panther Console under the matrix, there is a button labeled "Create New" and a link labeled "Map Existing".

새 디택션과 기존 디택션 모두에 대해 TacticID:TechniqueID 는 이 단계 이후 자동으로 할당됩니다.

디택션 생성 또는 편집 워크플로에서:

  1. Panther Console의 왼쪽 탐색 표시줄에서 디택션.

  2. 디택션의 이름을 클릭합니다.

  3. 다음으로 스크롤합니다 프레임워크 매핑 섹션 내의 알러트 필드 설정 타일.

    • 매핑을 추가하려면 보고서 추가. 필드를 구성합니다:

      • 보고서 키: 입력 MITRE ATT&CK.

      • 보고서 값: TacticID:TechniqueID 값을 입력합니다.

    • 매핑을 제거하려면 TacticID:TechniqueID

  4. 오른쪽 상단에서 다음을 클릭합니다 업데이트. The image shows a Report Key field that contains "MITRE ATTACK" and a Report Values field that contains the TacticID:TechniqueID value

hashtag
태그를 사용하여 매핑 규칙을 보강하기

the Tags 필드는 필요에 따라 Tactic 및 Technique에 대한 더 많은 메타데이터로 디택션을 보강하는 데 사용할 수 있습니다. 예를 들어, Tactic 및 Technique를 태그로 추가하는 것이 유용할 수 있습니다:

  1. Panther Console의 왼쪽 탐색 표시줄에서 디택션.

  2. 디택션의 이름을 클릭합니다.

  3. 다음으로 스크롤합니다 알러트 필드 설정 타일.

  4. 태그를 사용자 지정 태그 필드에 입력한 다음 Enter 키를 누릅니다.

  5. 오른쪽 상단에서 다음을 클릭합니다 업데이트.

hashtag
Tactic 및 Technique ID 식별하기

Panther Console에서 Tactic ID와 Technique ID를 찾거나 다음을 방문하여 확인할 수 있습니다. MITRE ATT&CK 웹사이트arrow-up-right.

이전데이터 리플레이(베타)다음클라우드 보안 스캐닝

마지막 업데이트

도움이 되었나요?