파생 디택션
Panther에서 하나의 기본 디택션으로부터 하나 이상의 파생 디택션 생성하기
개요
Panther에서는 단일 Base 디택션에서 하나 이상의 Derived 디택션을 생성할 수 있습니다. Derived 디택션은 변경할 수 없는 Base 디택션의 핵심 로직과, 덮어쓸 수 있는 메타데이터 및 알러트 필드 값을 상속합니다.
디택션 파생은 다음으로 생성된 룰에 사용할 수 있습니다 간단한 디택션 또는 Python 탐지.
Derived 디택션의 사용 사례
파생은 다음과 같은 경우 특히 유용할 수 있습니다:
서로 다른 메타데이터를 가진 동일한 룰의 여러 복사본을 유지하는 경우
CLI 워크플로우에서 다음을 사용하고 사용자 지정합니다 Panther에서 관리하는 룰, 그리고 Panther가 업데이트를 출시할 때 병합 충돌을 해결해야 하는 일을 피하고 싶은 경우
전체 예시는 다음에서 확인하세요 병합 충돌을 피하기 위해 Derived 디택션 사용
사고 대응 중에 다음 결정을 내리는 데 도움이 되는 텔레메트리를 수집하기 위해 하나의 디택션의 여러 변형을 배포할 수 있는 기능을 원합니다
팀의 한 구성원(예: 위협 연구 책임자)은 다른 구성원(예: SOC 분석가)이 수정할 수 있는 Base 디택션 집합을 만들고 싶어 합니다
Base 디택션 및 Derived 디택션
Base 디택션은 사용자 지정 또는 Panther 관리형 룰이며, 여기서 Derived 디택션이 생성되었습니다.
Derived 디택션은 Base 디택션에서 생성되며 다음을 수행합니다:
Base 디택션의 핵심 디택션 로직을 상속합니다
핵심 디택션 로직은 Base 디택션의
룰()함수(Python 디택션의 경우) 또는디택션필드(Simple 디택션의 경우)에서 정의됩니다.Derived 디택션은 자체 디택션 로직을 지정할 수 없습니다. 예를 들어 CLI 워크플로우에서 Derived 디택션에
디택션키가 포함되어 있으면 해당 내용은 무시됩니다.
Base 디택션의 메타데이터/알러트 필드 값을 상속하지만 일부 필드는 덮어쓸 수 있습니다
다음을 참조하세요 디택션 파생의 제한 사항 오늘날 덮어쓸 수 있는 필드의 전체 목록은 다음에서 확인하세요.
Derived 디택션에서 수행한 재정의는 Base 디택션에서 상속한 필드 값을 완전히 대체합니다. 예를 들어 Base 디택션과 Derived 디택션이 모두 인라인 필터 를 정의하는 경우(
InlineFilters키(CLI 워크플로우에서) 또는 이벤트만 포함하도록 필터링 필드(콘솔에서)를 사용하면 Derived 디택션의 인라인 필터만 적용됩니다.재정의는 한 방향으로만 수행할 수 있습니다. 즉, Derived 디택션에서 수행한 재정의는 Base 디택션 값에 영향을 주지 않습니다. 예를 들어 Base 디택션이
Enabled: False이고 해당 Derived 디택션이Enabled: True이면 Derived 디택션만 활성화됩니다.
Base 디택션이 업데이트될 때 발생하는 일
Base 디택션의 핵심 로직이 업데이트되면 변경 사항은 관련된 모든 Derived 디택션에 전파됩니다.
Base 디택션의 메타데이터가 업데이트될 때, 관련 Derived 디택션이 이미 업데이트된 필드의 값(들)을 덮어쓴 경우에는 변경 사항이 없습니다. 관련 Derived 디택션이 업데이트된 필드의 값(들)을 덮어쓰지 않은 경우에는 메타데이터 업데이트가 Derived 디택션으로 전파됩니다.
중복 알러트를 방지하려면 Base 디택션을 비활성화하세요
대부분의 경우 Base 디택션과 Derived 디택션은 동일한 들어오는 로그 집합에서 실행됩니다(하지만 인라인 필터 를 사용하여 서로 다른 이벤트를 대상으로 할 수는 있습니다). 이 시나리오에서는 디택션이 핵심 로직을 공유하므로 둘 다 활성화되어 있으면 중복 알러트를 생성합니다.
이를 방지하려면 Base 디택션을 비활성화하세요. 비활성화된 Base 디택션이 업데이트되면 해당 변경 사항은 계속해서 Derived 디택션으로 전파됩니다 위에서 설명한 대로.
CLI 워크플로우에서 Base 디택션을 자동으로 비활성화하기
CLI 워크플로우에서는 Base 디택션을 자동으로 비활성화하는 두 가지 방법이 있습니다:
옵션 1(권장)다음 설정을 귀하의
.panther_settings.yml파일에 추가하세요:옵션 2: 다음을 사용하세요.
--auto-disable-base과 Panther Analysis Toolupload명령.이 옵션을 따를 때는
--auto-disable-base이후의 모든 upload 호출에 사용해야 합니다. 이를 생략하면 Base 디택션이 다시 활성화됩니다.
Base 디택션 중 하나 이상이 이미 활성화된 상태로 Panther 인스턴스에 업로드되었고, 이후 위의 방법 중 하나를 사용하여 Base 디택션을 자동으로 비활성화하는 경우, --filter enabled: true 을/를 PAT upload 명령에 포함하지 않도록 하세요. 그렇게 하면 Base 디택션은 upload 전에 비활성화됩니다(즉, enabled: true 필터가 적용될 때). 이는 새로 비활성화된 Base 디택션이 Panther 인스턴스에 다시 업로드되지 않음을 의미합니다(그대로 유지되거나 활성화된 상태로 남음).
Derived 디택션을 만드는 방법
Panther Console에서 Derived 디택션 만들기
Panther Console의 왼쪽 탐색 모음에서 Detections.
새 Derived 디택션의 Base 디택션이 될 디택션을 찾아 이름을 클릭합니다.
오른쪽 상단에서 다음을 클릭하세요.
....다음을 클릭하세요. Derive:
다음 항목에서 기본 정보 페이지에서 선택적으로 이름 및 ID 필드를 Derived 디택션에 맞게 편집합니다.
이름이 Base 디택션의 이름과 구별되도록 하세요.
다음을 클릭하세요. 계속.
아래로 스크롤하여 필터 및 알러트 필드 설정 섹션으로 이동한 다음, 인라인 필터와 알러트 필드에 원하는 재정의를 설정합니다:
오른쪽 상단에서 다음을 클릭하세요. 배포.
해당 디택션에는
DERIVED레이블이 표시됩니다:
CLI 워크플로에서 Derived 디택션 만들기
사용하는 디렉터리에서 Panther Analysis Tool (PAT), Derived 디택션용 새 YAML 파일을 만듭니다.
이 YAML 파일에 Derived 디택션에 필요한 다음 필드를 추가합니다:
BaseDetection: 현재 Panther 인스턴스에 존재하거나 PAT를 사용하여 업로드할 로컬 디렉터리에 있는 임의의 룰의 룰 ID를 입력합니다.다음
BaseDetection키는 이 Derived 디택션과 Base 디택션을 연결하는 링크이며, 상속을 적용해야 함을 나타내는 요소입니다.
RuleID: 앞서BaseDetection키에 대해 제공한 ID와 다른 값을 입력합니다.AnalysisType: 이것이룰,예약된_룰, 또는정책.현재는 룰만 지원됩니다.
재정의하려는 메타데이터 필드와 해당 필드의 새 값을 추가하세요.
다음을 참조하세요. 제한 사항 사용 가능한 재정의 필드 목록은 섹션을 참조하세요.
다음을 사용할 수 있습니다 여기에 설명된 동적 알러트 필드.
다음을 사용하여 디택션을 업로드하세요
panther_analysis_tool upload명령을 사용하세요.권장되는 방법은 Base 디택션을 자동으로 비활성화.
CLI 워크플로 예시
아래는 Python Base 디택션의 예입니다 (panther-analysis 리포지토리의 표준 디택션), 그리고 그 아래에는 해당 파생 디택션이 있습니다.
모든 파생 디택션을 보는 방법
Panther 인스턴스에서 모든 파생 디택션을 보려면:
Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. Detections.
다음을 클릭하세요. 필터 아이콘.
다음에서 디택션 유형 드롭다운 필드에서 다음을 선택합니다 파생 룰.
다음을 클릭하세요. 필터 적용.
디택션 파생의 제한 사항
파생은 한 단계만 가능하며, 즉 파생 디택션은 에서 파생될 수 없습니다.
Console 워크플로에서는 파생 디택션이 생성될 때 테스트가 상속되지만, 그 이후 기본 디택션의 테스트가 업데이트될 때는 상속되지 않습니다.
Python 기본 디택션에서 메타데이터 필드의 값이 Python 함수를 사용해 설정된 경우, 그 값은 파생 디택션에 제공된 동등한 정적 재정의 값보다 우선합니다. 예를 들어, Python
severity()함수가 기본 디택션에 있으면, 그 값은 파생 디택션의심각도YAML 키(CLI 워크플로에서) 또는 심각도 필드(Console에서)에 제공된 재정의 값보다 우선합니다.메타데이터 값을 설정하는 Python 함수("알러트 함수"라고 함)의 전체 목록과, YAML/Console에서 해당 함수가 재정의하는 필드를 Python 디택션의 알러트 함수 표에서 확인하세요.
그것 은 특정 Python 알러트 함수에서 설정한 값을 덮어쓰는 것이 가능합니다. 이를 사용하여 동적 알러트 키 를 파생 디택션에서 사용할 수 있습니다. 예를 들어, Python Base Detection의
severity()함수 값을 파생 디택션에서DynamicSeverities필드.DynamicSeverities를 사용하여 재정의할 수 있습니다.severity()알러트Context를 사용하여 재정의할 수 있습니다.알러트_context()
Console 워크플로에서 파생 디택션을 생성하고 기본 디택션이 Python 디택션인 경우, 알러트 필드를 동적으로 설정할 수 없습니다—이들은 정적으로만 설정할 수 있습니다.
그것 은 기본 디택션이 Simple 디택션인 경우, Console 워크플로에서 알러트 필드를 동적으로 설정할 수 있습니다.
그것 은 CLI 워크플로(사용)에서 알러트 필드를 동적으로 설정할 수 있습니다
알러트Title,DynamicSeverities,알러트Context, 그리고GroupBy—기본 디택션이 Python 디택션이든 YAML 디택션이든 상관없이.
현재는 아래 필드만 덮어쓸 수 있습니다. 이들은 YAML 필드 이름이며 CLI 워크플로에 적용됩니다. Console에 대응하는 필드가 있는 경우, 해당 Console 필드도 덮어쓸 수 있습니다.
Enabled심각도설명CreateAlertDedupPeriodMinutesInlineFiltersDisplayName기본 위험 점수만 사용출력 ID참고Runbook요약 속성임계값Tags보고서DynamicSeverities알러트Title알러트ContextGroupByTests
마지막 업데이트
도움이 되었나요?