디텍션
디텍션을 사용하여 데이터를 분석하고 의심스러운 동작에 대해 알러트를 트리거하세요
개요
디텍션은 실시간 또는 과거 로그 이벤트에 대해 실행되는 로직의 세그먼트로, 의심스러운 동작을 식별하고 신호그리고 선택적으로 알러트를 생성합니다. 팀은 Python으로 디텍션을 생성하여 코드로서의 디텍션을 활용하거나 Panther의 심플 디텍션 기능을 사용하여 기술 수준과 관계없이 디텍션 생성 및 관리를 공동 작업할 수 있습니다.
디텍션에는 네 가지 유형이 있습니다:
룰, 스케줄된 룰 또는 상관 룰에 매치가 있으면 신호가 생성되고—알러팅이 활성화된 경우 룰 매치가 생성됩니다. 정책은 각 매치 시 준수 실패를 생성합니다.
룰 매치는 디텍션의 이벤트 임계값 및 중복 제거 구성에 따라 알러트를 트리거할 수 있습니다. 그런 다음 알러트는 대상으로 라우팅됩니다 디텍션 및 대상에 대한 구성에 기반합니다. 아래에서 신호, 룰 매치 및 알러트의 차이점.
어떤 방식으로 진행할지 결정해야 합니다 — Panther 콘솔에서 디텍션을 관리할지 또는 CLI 워크플로를 사용할지그런 다음 시작할 수 있습니다 Panther 관리형 디텍션을 활성화하거나 직접 작성하는.
디텍션 시작하기
디텍션 관리 워크플로 선택하기
다음 방법 중 하나를 사용하여 Panther 디텍션을 생성하고 관리할 수 있습니다:
Panther 콘솔
활성화 Panther 관리형 Python 디텍션 (개별적으로 또는 선택적으로 하나 이상의 )로 빠르게 시작할 수 있으며 추가 구성은 필요하지 않습니다.
로컬에서 다음 중 하나로 디텍션을 작성하세요 — 심플 디텍션 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Python 디텍션.
CI/CD 워크플로를 사용하여 Panther 디텍션을 관리하는 방법에 대해 자세히 알아보려면 CI/CD 가이드.
CLI 워크플로에는 다음 사용이 포함됩니다 Panther 분석 도구(PAT), 소스 코드에서 Panther 디텍션을 테스트, 패키지 및 배포하기 위한 오픈 소스 유틸리티입니다.
CI/CD 워크플로로 마이그레이션
빠르게 시작하려면 Panther 관리형 디텍션 팩 을(를) Panther 콘솔에서 활성화한 다음 나중에 CI/CD 워크플로로 전환할 수 있습니다. 워크플로를 CI/CD로 이전하려면 CI/CD 워크플로로 마이그레이션.
디텍션 활성화 또는 작성
Panther로 위협을 탐지하기 시작하는 가장 빠른 방법은 이미 작성되어 있는 Panther 관리 디텍션 를 Panther 인스턴스에서 켜는 것입니다. 이러한 내장 룰 및 정책은 다양한 로그 소스에 적용 가능하며 Panther는 핵심 디텍션 로직에 대한 개선을 주기적으로 릴리스합니다. Panther 관리형 룰은 룰 필터를 사용하여 사용자 지정할 수 있으며, 또는 복제하여 복제된 버전의 디텍션 로직을 편집하여 정확한 요구에 맞출 수 있습니다.
Panther에서 규칙을 빠르게 생성하는 것도 가능합니다 — Sigma 룰 변환.
직접 디텍션을 처음부터 만들고 싶다면 다음 페이지에서 방법을 알아보세요:
Panther AI 디텍션 기능
다음 Panther AI 기능을 디텍션과 상호작용할 때 사용하세요.
AI 디텍션 빌더
AI 디텍션 빌더를 사용하면 평이한 언어로 탐지하고자 하는 것을 설명하면—새 디텍션 또는 수정된 디텍션에 대한 제안을 제공합니다.
자세한 내용은 AI 디텍션 빌더(베타).
AI 디텍션 요약
Panther 콘솔에서 디텍션 상세 페이지는 개요 탭에 AI 생성 요약을 포함합니다:
이 요약은 를 활성화하기 전에 또는 동료가 생성한 디텍션(아마도 Panther 관리 디텍션의 도움으로) 대해 더 알아볼 때 검토하는 데 도움이 될 수 있습니다. AI 디텍션 빌더).
심플 디텍션
심플 디텍션은 기술 수준과 관계없이 사용자가 Panther에서 디텍션을 쉽게 생성하고 관리할 수 있게 하는 Panther 기능의 집합을 말합니다. 이러한 기능에는 다음이 포함됩니다:
심플 디텍션 빌더콘솔에서 코드 없이 룰을 생성 및 편집하기 위해 심플 디텍션 빌더를 사용할 수 있습니다.
CLI 워크플로에서 작성된 심플 디텍션CLI 워크플로(이 경우 YAML)에서 심플 디텍션을 작성한 후 Panther에 업로드하면 콘솔의 심플 디텍션 빌더에 해당 내용이 표시됩니다.
이들 기능을 통해 다양한 YAML 경험을 가진 팀 구성원들이 디텍션을 이해하고 공동 작업할 수 있습니다.
팀이 디텍션 콘텐츠 관리를 위해 CLI 워크플로를 사용하는 경우, 콘솔에서 심플 디텍션 빌더를 사용하여 디텍션에 가한 변경 사항은 다음 업로드 시 덮어써집니다(단, 콘솔에서 생성된 인라인 필터 는 보존됩니다).
콘솔에서 심플 디텍션 빌더를 사용해 디텍션을 생성하거나 편집한 경우, 결과 YAML 표현을 복사하여 로컬 디텍션 파일에 포함시켜 다음 업로드 시 변경 사항이 덮어써지지 않도록 하세요.
디텍션에서 데이터 작업하기
스키마 정의
Panther의 스키마는 데이터에 포함된 필드 유형에 대한 유용한 정보를 제공하여 디텍션을 작성할 때 데이터와 상호작용하는 방법을 이해하기 쉽게 합니다.
스키마 정의는 다음에서 찾을 수 있습니다:
Panther 콘솔
Panther 콘솔에 로그인하고 다음으로 이동하세요 데이터 > 스키마.
데이터 익스플로러에서 샘플 추출하기
데이터 익스플로러는 Python 코드를 작성할 때 데이터, 데이터 위치 및 데이터 유형을 이해하고 조사하기 쉽게 합니다. 여기에는 Panther가 로그 소스에서 파싱한 모든 데이터가 포함되며 데이터는 테이블에 저장됩니다.
관심 있는 로그 유형의 관련 테이블을 검색하여 로그 이벤트를 탐색하고 찾으세요.
다음을 수행할 수 있습니다 예제 테이블 데이터 미리보기 SQL을 작성하지 않고도. 해당 로그 소스에 대한 샘플 SQL 쿼리를 생성하려면 테이블 유형 옆의 눈 아이콘을 클릭하세요:
쿼리가 결과를 생성하면 결과 테이블에서 예제 로그 이벤트를 볼 수 있습니다. 이를 CSV 파일로 다운로드할 수 있습니다.
디텍션 작성 중에 사용될 로그 이벤트를 복사하려면 단위 테스트 를 클릭하세요 S3 버킷에 구성 후에.
신호 대 알러트
이 섹션은 이전에 신호와 알러트가 "룰 매치"와 어떻게 다른지 설명했습니다. Panther는 2025년 말에 값으로 설정하십시오., CloudFormation 스택 업데이트를 실행하십시오.및 Panther가 Snowflake로 구성되면 일곱 개의 데이터베이스가 있어야 합니다: 에 쓰기를 중단할 예정입니다. 이러한 위치에 기록되는 데이터는 이미 동시에 새로운 위치에 기록되고 있으며, 과거 데이터가 손실되지 않습니다. 변경 사항에 대해 자세히 알아보려면 이 지식 베이스 문서를 참조하세요.
A 신호 가 생성됩니다. 이는 룰, 스케줄된 룰 또는 상관 룰에 설정된 구성에 관계없이 적용됩니다.
룰, 스케줄된 룰 또는 상관 룰에 알러팅이 활성화되어 있는 경우(예: 콘솔에서 알러트 생성 이 다음으로 설정되어 있거나
켜기CLI 워크플로에서CreateAlert이 다음으로 설정되어 있거나부울 값로 설정된 경우), 알러트 가 생성됩니다(디텍션의 이벤트 임계값 및 중복 제거 구성에 따라). 디텍션에 대해 알러팅이 비활성화되어 있으면 알러트는 생성되지 않습니다.
룰, 정책의 경우 준수 실패가 생성됩니다(신호가 아니라). 정책은 알러팅을 비활성화하도록 구성할 수 없습니다.
디텍션 기능
심플 디텍션
Panther의 심플 디텍션 기능에는 콘솔 내의 심플 디텍션 빌더 및 CLI 워크플로의 심플 디텍션.
이 포함됩니다. 이들 기능을 통해 다양한 기술 수준의 팀원이 디텍션 관리를 공동으로 수행할 수 있습니다.
Panther 관리형 디텍션
Panther는 Panther가 핵심 로직을 작성하고 주기적으로 업데이트하는 여러 Panther 관리형 디텍션을 제공합니다. Panther 관리형 디텍션을 사용하면 직접 작성해야 하는 노력을 절약할 수 있으며, Panther가 새 버전을 릴리스함에 따라 핵심 디텍션 로직에 대한 개선을 지속적으로 받을 수 있는 이점이 있습니다. 자세한 내용은 Panther 관리형 디텍션 사용하기.
선택적으로 하나 이상의
Panther 팩은 Panther 콘솔을 통해 디텍션을 논리적으로 그룹화하고 업데이트합니다. 디텍션 팩은 디텍션, 쿼리, 전역 헬퍼, 데이터 모델 또는 조회 테이블(Lookup Tables) 등 여러 Panther 기능을 원하는 수만큼 그룹화할 수 있습니다. 팩은 다음 오픈 소스 저장소에서 정의됩니다: panther-labs/panther-analysis. 자세한 내용은 선택적으로 하나 이상의.
인라인 필터
인라인 필터는 디텍션의 룰 함수가 실행되기 전에 평가되는 조건문입니다. 인라인 필터를 적용하여 Panther 관리형 룰을 포함한 디텍션을 쉽게 튜닝할 수 있습니다. Panther 관리형 것. 필터는 룰 함수(코드로 작성됨)가 실행되기 위해서 부울 값 (즉 이벤트와 매치)를 반환해야 합니다. 디텍션의 로그 유형에 따라 필터링할 필드 를 선택할 수 있습니다. 그 다음 연산자 를 지정하고, 해당되는 경우 값을 입력합니다. 자세한 내용은 인라인 필터로 디텍션 수정하기.
파생
Panther에서는 단일 베이스 디텍션에서 하나 이상의 파생 디텍션을 생성할 수 있습니다. 파생 디텍션은 변경 불가능한 베이스 디텍션의 핵심 디텍션 로직과 각 파생 디텍션마다 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다.
자세한 내용은 파생 디텍션.
테스트
Panther의 디텍션 테스트는 디텍션이 예상대로 동작하고 올바르게 배포되었을 때 알러트를 생성하는지 확인합니다. 테스트 입력은 코드가 발전하면서 신뢰성을 높이고 회귀를 방지하기 위해 알러트가 생성되는지를 판단하는 데 사용됩니다. 자세한 내용은 테스트.
데이터 리플레이
데이터 리플레이(베타)를 사용하면 룰을 활성화하기 전에 과거 로그 데이터에 대해 룰을 테스트하여 룰의 결과를 미리 볼 수 있습니다. 데이터 리플레이는 디텍션을 배포하기 전에 어떤 종류의 알러트를 받을지 시뮬레이션할 수 있습니다. 자세한 내용은 데이터 리플레이.
캐싱
Panther는 이벤트를 하나씩 검사하고 호출 간에 결과를 캐시하는 방법을 제공합니다. 상태 저장 검사(stateful checks)를 수용하기 위해 Panther 룰은 내장 헬퍼 함수를 사용하여 값을 캐시할 수 있습니다. 자세한 내용은 캐싱.
데이터 모델
Panther의 데이터 모델은 모든 로그 유형에 걸쳐 통합된 필드 집합을 구성하는 방법을 제공합니다. 데이터 모델을 사용하면 여러 로그 유형에서 특정 필드를 한 번에 모니터링할 수 있어 번거롭고 복잡한 개별 로그 모니터링을 피할 수 있습니다. 자세한 내용은 데이터 모델.
글로벌 헬퍼 함수
Panther는 반복되는 코드를 헬퍼 함수로 추출하는 일반적인 프로그래밍 패턴을 지원합니다. 이는 전역 분석 유형을 통해 제공됩니다. 디텍션에서 전역 헬퍼 함수를 가져오려면 분석 함수 본문 상단에 특정 명령을 삽입한 다음 다른 Python 라이브러리처럼 전역 함수를 호출하면 됩니다. 자세한 내용은 글로벌 헬퍼 함수.
프레임워크 매핑
Panther는 룰, 정책 및 스케줄된 룰을 준수 프레임워크(예: MITRE ATT&CK®)에 매핑하여 해당 프레임워크에 대한 커버리지를 추적하는 기능을 지원합니다. 보고서는 Panther 콘솔의 Detections > All Detections 내비게이션 섹션에서 디텍션에 매핑될 수 있습니다. 자세한 내용은 프레임워크 매핑 및 MITRE ATT&CK® 매트릭스.
마지막 업데이트
도움이 되었나요?