# 프레임워크 매핑 및 MITRE ATT\&CK® 매트릭스

## 개요

Panther는 규칙, 정책, 예약 규칙을 보고서에 매핑하여 컴플라이언스 프레임워크에 대한 커버리지를 추적할 수 있도록 지원합니다.

Panther 버전 1.37 이상에서는 디택션을 [MITRE ATT\&CK](https://attack.mitre.org/)®. 이를 통해 커버리지를 추적하고 시각화할 수 있으며, 내부적으로 격차를 식별하고 컴플라이언스를 보고하는 데 유용할 수 있습니다. 디택션에 Tactic과 Technique 조합을 할당하는 방법을 알아보려면 [아래 문서를 참조하세요](#how-to-use-the-mitre-att-and-ck-r-feature-in-panther).

## **디택션을 프레임워크에 매핑하는 방법**

{% tabs %}
{% tab title="콘솔" %}

1. Panther Console의 왼쪽 탐색 표시줄에서 **대시보드**.
2. 다음을 클릭하세요. **MITRE ATT\&CK®** 탭.
3. 디택션의 이름을 클릭합니다.
4. 다음으로 스크롤합니다 **알러트 필드 설정** 타일.\
   ![The Set Alert Fields tile in the detection page is shown. There are various fields, like Severity, Deduplication Period, and Runbook. At the bottom is a circled Framework Mapping section, containing an Add New button.](/files/faf6831b4ad786700ce41a8079de428322387df3)
5. 오른쪽에 있는 **프레임워크 매핑** 섹션에서 **새로 추가**.
   * 에서 **보고서 키**프레임워크 이름을 입력합니다.
   * 에서 **보고서 값**에서 특정 프레임워크 요구사항 이름을 입력합니다.
     * 쉼표로 구분하여 여러 보고 값들을 입력할 수 있습니다.
6. 오른쪽 상단에서 다음을 클릭합니다 **업데이트**.
   {% endtab %}

{% tab title="CLI" %}
디택션의 YAML 파일에서(Python 및 YAML 디택션 모두에서) `Reports` 키:

```yaml
보고서:
  Report Key:
    - Report Value
```

디택션이 [Panther Analysis Tool(PAT)로 업로드되거나](/ko/panther/detections-repo/pat.md#uploading-to-panther) 대량 업로드되면 변경 사항이 Panther Console에 반영됩니다.
{% endtab %}
{% endtabs %}

## Panther에서 MITRE ATT\&CK® 기능을 사용하는 방법

1. Panther Console의 왼쪽 탐색 표시줄에서 **대시보드**.
2. 다음을 클릭하세요. **MITRE ATT\&CK®** 탭.
3. 다음 중 하나를 선택합니다. **Matrix** 페이지 오른쪽 상단의 드롭다운 메뉴에서.
   * 여기에서 전체 대비 커버된 Technique 수와 활성 분석 수를 볼 수 있습니다. 각 Tactic은 행으로 표시되며, 각 Technique는 정사각형으로 표시됩니다.

<figure><img src="/files/6434ed4ab66ce1ddb4bb087ae3b54fcf53792d51" alt="" width="563"><figcaption></figcaption></figure>

Technique를 클릭하면 적용 가능한 디택션 또는 로그 소스를 볼 수 있습니다. 다음 사항에 유의하세요:

* [Panther가 관리하는 디택션](/ko/detections/panther-managed.md) 은 최신 버전을 사용 중인 한 적용 가능한 Tactic 및 Technique 조합에 자동으로 할당됩니다.
* [로그 소스로서의 CrowdStrike](/ko/data-onboarding/supported-logs/crowdstrike.md) 는 적용 가능한 Tactic 및 Technique 조합에 자동으로 할당됩니다.
* 아직 온보딩하지 않은 로그 소스를 가진 활성 또는 비활성 디택션을 할당할 수 있습니다.

모든 커스텀 규칙, 정책 및 예약 규칙을 해당 Tactic 및 Technique에 할당해야 합니다.

### Tactic 및 Technique의 가능한 상태

* **커버됨**: 커버된 Tactic 및 Technique 조합으로 확인됨
* **부분적으로 커버됨**:
  * 하나 이상 매핑된 Panther가 관리하는 디택션 또는 비관리 디택션
  * 온보딩된 CrowdStrike를 로그 소스로 사용
* **관련 없음**: 환경과 관련이 없도록 수동으로 할당됨
* **커버되지 않음**: 적용 가능한 디택션이 없거나 수동으로 할당됨

### **ATT\&CK 매핑 추가 및 편집**

{% tabs %}
{% tab title="콘솔" %}
Tactic 및 Technique에 규칙, 정책 및 예약 규칙을 할당하는 방법은 두 가지입니다. MITRE ATT\&CK Matrix에서 또는 디택션 생성/편집 워크플로에서 수행할 수 있습니다.

{% hint style="info" %}
아래 작업을 수행하려면 다음이 필요합니다. **룰 관리** AlertModify
{% endhint %}

**MITRE ATT\&CK® Matrix에서:**

1. 디택션을 매핑하려는 Tactic 및 Technique를 선택합니다.
   * Matrix 아래의 구성 요소에서 이미 매핑된 디택션 목록 또는 빈 상태를 볼 수 있습니다.
2. 화면 하단에서 **새로 만들기** 또는 **기존 항목 매핑** 을 클릭하여 디택션을 할당합니다.\
   ![In the Panther Console under the matrix, there is a button labeled "Create New" and a link labeled "Map Existing".](/files/fd83abc2c266b445d47220055ba29b456c9080e8)

새 디택션과 기존 디택션 모두에 대해 `TacticID:TechniqueID` 는 이 단계 이후 자동으로 할당됩니다.

**디택션 생성 또는 편집 워크플로에서:**

1. Panther Console의 왼쪽 탐색 표시줄에서 **디택션**.
2. 디택션의 이름을 클릭합니다.
3. 다음으로 스크롤합니다 **프레임워크 매핑** 섹션 내의 **알러트 필드 설정** 타일.
   * 매핑을 추가하려면 **보고서 추가**. 필드를 구성합니다:
     * **보고서 키**: 입력 `MITRE ATT&CK`.
     * **보고서 값**: TacticID:TechniqueID 값을 입력합니다.
   * 매핑을 제거하려면 `TacticID:TechniqueID`
4. 오른쪽 상단에서 다음을 클릭합니다 **업데이트**.\
   ![The image shows a Report Key field that contains "MITRE ATTACK" and a Report Values field that contains the TacticID:TechniqueID value](/files/fe5f159d9df55f5910592eec1d160a80f756d40a)
   {% endtab %}

{% tab title="CLI" %}
디택션의 YAML 파일에서(Python 및 YAML 디택션 모두에서) `Reports` 옆의 휴지통 아이콘을 클릭하고, 그 아래의 `MITRE ATT&CK` 키를 클릭합니다. 그런 다음 Tactic 및 Technique ID를 추가합니다.

```yaml
보고서:
  MITRE ATT&CK:
    - TA0006:T1110
```

디택션이 [Panther Analysis Tool(PAT)로 업로드되거나](/ko/panther/detections-repo/pat.md#uploading-to-panther) 또는 대량 업로드되면 변경 사항이 Panther Console의 Matrix에 반영됩니다.
{% endtab %}
{% endtabs %}

### **태그를 사용하여 매핑 규칙을 보강하기**

the **Tags** 필드는 필요에 따라 Tactic 및 Technique에 대한 더 많은 메타데이터로 디택션을 보강하는 데 사용할 수 있습니다. 예를 들어, Tactic 및 Technique를 태그로 추가하는 것이 유용할 수 있습니다:

1. Panther Console의 왼쪽 탐색 표시줄에서 **디택션**.
2. 디택션의 이름을 클릭합니다.
3. 다음으로 스크롤합니다 **알러트 필드 설정** 타일.
4. 태그를 **사용자 지정 태그** 필드에 입력한 다음 Enter 키를 누릅니다.
5. 오른쪽 상단에서 다음을 클릭합니다 **업데이트**.

### **Tactic 및 Technique ID 식별하기**

Panther Console에서 Tactic ID와 Technique ID를 찾거나 다음을 방문하여 확인할 수 있습니다. [MITRE ATT\&CK 웹사이트](https://attack.mitre.org/tactics/enterprise/).

<figure><img src="/files/950a806e5c60a229d9d79a79e2527e1d7feb80ff" alt="" width="563"><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/detections/report-mapping.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.