파생 탐지(베타)

개요

Panther에서는 하나의 기본(Base) 탐지로부터 하나 이상의 파생(Derived) 탐지를 생성할 수 있습니다. 파생 탐지는 기본 탐지의 핵심 로직(변경 불가능)을 상속하고, 메타데이터와 알림 필드 값은 덮어쓸 수 있습니다.

탐지 파생은 다음으로 생성된 규칙에 대해 사용할 수 있습니다 간단한 탐지(Simple Detections) 또는 파이썬 탐지.

파생 탐지의 사용 사례

파생은 특히 다음과 같은 경우에 유용할 수 있습니다:

• 메타데이터가 서로 다른 동일한 규칙의 여러 복사본을 관리하는 경우

• CLI 워크플로에서 를 사용하고 커스터마이즈하며 Panther 관리 규칙Panther가 업데이트를 릴리스할 때 병합 충돌을 해결해야 하는 상황을 피하고자 할 때

  • 전체 예시는 다음에서 확인하세요 병합 충돌을 피하기 위해 파생 탐지 사용하기

• 사건 대응 중에 한 탐지의 여러 변형을 배포해 다음 결정을 알리는 텔레메트리를 수집하고 싶을 때

• 팀의 한 구성원(예: 위협 연구 책임자)이 다른 구성원(예: SOC 분석가)이 수정할 수 있는 기본 탐지 세트를 만들고 싶을 때

기본 탐지(Base Detections)와 파생 탐지(Derived Detections)

기본 탐지는 모든 커스텀 또는 Panther 관리 파생 탐지가 생성된 규칙입니다.

파생 탐지는 기본 탐지에서 생성되며 다음을 수행합니다:

• 기본 탐지의 핵심 탐지 로직을 상속합니다

  • 핵심 탐지 로직은 기본 탐지의 rule() 함수(파이썬 탐지의 경우) 또는 Detection 필드(간단한(Simple) 탐지의 경우)에 정의됩니다.

  • 파생 탐지는 자체 탐지 로직을 지정할 수 없습니다—예를 들어 CLI 워크플로에서 파생 탐지에 Detection 키가 포함된 경우 해당 내용은 무시됩니다.

• 기본 탐지의 메타데이터/알림 필드 값을 상속하지만 특정 필드는 덮어쓸 수 있습니다

  • 참조 탐지 파생의 제한 사항 오늘 덮어쓸 수 있는 필드의 전체 목록은 를 참조하세요.

  • 파생 탐지에서 수행한 오버라이드는 기본 탐지로부터 상속한 필드 값을 완전히 대체합니다. 예를 들어, 기본 탐지와 파생 탐지 모두에 인라인 필터 (에 InlineFilters CLI 워크플로의 키 또는 이벤트만 포함하도록 필터 콘솔의 필드)이 정의된 경우, 오직 파생 탐지의 인라인 필터만 적용됩니다.

  • 오버라이드는 한 방향으로만 이루어집니다. 즉, 파생 탐지에서 한 오버라이드는 기본 탐지의 값을 변경하지 않습니다. 예를 들어, 기본 탐지에 사용 안 함: False 이 있고 그 파생 탐지에 사용 안 함: True이 있으면 파생 탐지만 활성화됩니다.

기본 탐지가 업데이트되면 어떤 일이 발생하나요

기본 탐지의 핵심 로직이 업데이트되면 해당 변경 사항은 연결된 모든 파생 탐지에 전파됩니다.

기본 탐지의 메타데이터가 업데이트될 때, 연결된 파생 탐지가 이미 해당 필드의 값을 덮어썼다면 변경 사항이 없습니다. 연결된 파생 탐지가 해당 필드 값을 덮어쓰지 않았다면 메타데이터 업데이트가 파생 탐지에 전파됩니다.

중복 경고를 피하려면 기본 탐지를 비활성화하세요

대부분의 경우 기본 탐지와 파생 탐지는 동일한 수신 로그 집합에서 실행됩니다(다른 이벤트를 대상으로 하려면 인라인 필터(Inline Filters) 를 사용하는 것이 가능하긴 합니다). 이 시나리오에서는 탐지들이 핵심 로직을 공유하므로 둘 다 활성화되어 있으면 중복 경고가 생성됩니다.

이를 피하려면 기본 탐지를 비활성화하세요. 비활성화된 기본 탐지가 업데이트되더라도 그 변경 사항은 여전히 파생 탐지로 전파됩니다 위에 설명된 대로.

CLI 워크플로에서 기본 탐지를 자동으로 비활성화하기

CLI 워크플로에서는 기본 탐지를 자동으로 비활성화하는 두 가지 방법이 있습니다:

• 옵션 1 (권장): 다음 설정을 .panther_settings.yml 파일에 추가하세요:

• 옵션 2: 사용 --auto-disable-base 를 첫 번째 단계에서 수집한 Panther 분석 도구 업로드 명령.

  • 이 옵션을 따를 때는 이후의 모든 업로드 호출에 대해 --auto-disable-base 를 사용해야 한다는 점에 유의하세요. 생략하면 기본 탐지가 다시 활성화됩니다.

파생 탐지를 생성하는 방법

모든 파생 탐지를 보는 방법

Panther 인스턴스에서 모든 파생 탐지를 보려면:

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.

2. 클릭 필터 보관

3. 다음 탐지 유형 드롭다운 필드에서 파생 규칙(Derived Rule).

4. 클릭 필터 적용.

탐지 파생의 제한 사항

• 파생은 다음에 대해 사용할 수 없습니다 예약 규칙을 실행할 때 정의된 간격을 설정하는 데 사용됩니다. 또는 정책(Policies).

• 파생은 한 단계만 가능합니다. 즉, 파생 탐지는 로부터 파생될 수 없습니다.

• 콘솔 워크플로에서는 파생 탐지가 생성될 때 테스트가 상속되지만 이후 기본 탐지의 테스트가 업데이트되면 해당 업데이트는 상속되지 않습니다.

• 파이썬 기본 탐지에서 메타데이터 필드의 값이 파이썬 함수로 설정된 경우, 해당 값은 파생 탐지에서 제공된 동일한 정적 오버라이드 값보다 우선합니다. 예를 들어, 파이썬 DynamicSeverities 함수가 기본 탐지에 존재하면 그 값이 CLI 워크플로의 파생 탐지에 제공된 오버라이드 값보다 우선합니다. 경고 필드 설정 YAML 키( CLI 워크플로) 또는 경고 필드 설정 필드(콘솔)의 오버라이드보다 우선합니다.

  • 메타데이터 값을 설정하는 파이썬 함수(“알림 함수”라고 함) 목록 및 이들이 YAML/콘솔에서 어떤 필드를 오버라이드하는지의 전체 목록은 파이썬 탐지의 알림 함수 아래 탭을 참조하여 JSON, XML 및 텍스트 로그용 스키마 작성 방법을 알아보십시오.

  • 다음이 정의되어 있더라도 일부 파이썬 알림 함수가 설정한 값을 동적 경보 키 로 파생 탐지에서 덮어쓰는 것이 가능합니다. 예를 들어, 파생 탐지에서 파이썬 기본 탐지의 DynamicSeverities 함수 값을 경고 유형 필드에 붙여넣으세요.

    • 경고 유형 overrides DynamicSeverities

    • AlertTitle overrides title()

    • AlertContext overrides Panther 콘솔에서 테스트하기

    • GroupBy overrides Python에서의 중복 제거 문자열 우선순위:

• 콘솔 워크플로에서 파생 탐지를 생성하고 기본 탐지가 파이썬 탐지인 경우, 알림 필드를 동적으로 설정할 수 없으며 정적으로만 설정할 수 있습니다.

  • 다음이 정의되어 있더라도 기본 탐지가 간단한(Simple) 탐지인 경우 콘솔 워크플로에서 알림 필드를 동적으로 설정하는 것이 가능합니다.

  • 다음이 정의되어 있더라도 CLI 워크플로에서는 기본 탐지가 파이썬이든 YAML이든 상관없이(사용하여) 알림 필드를 동적으로 설정할 수 있습니다. AlertTitle, 경고 유형, AlertContext및 GroupBy)

• 현재 아래 필드만 덮어쓸 수 있습니다. 이들은 CLI 워크플로에 적용되는 YAML 필드 이름이며, 콘솔에 동등한 필드가 있는 경우 해당 콘솔 필드도 덮어쓸 수 있습니다.

  • 활성화됨

  • 경고 필드 설정

  • 설명

  • CreateAlert

  • DedupPeriodMinutes

  • InlineFilters

  • DisplayName

  • OnlyUseBaseRiskScore

  • OutputIds

  • 참조

  • 런북

  • SummaryAttributes

  • Threshold

  • 태그

  • Reports

  • 경고 유형

  • AlertTitle

  • AlertContext

  • GroupBy

  • Tests