간단한 디텍션 빌더 사용하기
코드 없이 디텍션 생성 및 편집하기
개요
Panther 콘솔의 Simple Detection 빌더를 사용하여 생성 및 편집할 수 있습니다 룰 드롭다운 필드를 사용합니다. 빌더는 코드를 작성하지 않고도 디텍션을 관리할 수 있게 해주지만, 표현력, 테스트 가능성, CI/CD 통합 및 재사용성 등 detections-as-code의 이점을 유지합니다.
Simple Detection 빌더는 심플 디텍션 기능 세트의 일부로, 모든 수준의 기술 역량을 가진 팀원 간의 협업을 촉진합니다. Simple Detections CLI 워크플로에서 YAML로 구성된그런 다음 Panther에 업로드된 항목은 콘솔의 Simple Detection 빌더에서 볼 수 있고 편집할 수 있습니다.
Simple Detection 빌더에서 생성한 룰은 다음에서 사용할 수 있습니다 디텍션 파생.
아래의 Simple Detection 빌더를 사용하여 룰을 생성하는 방법에 대한 단계별 지침을 참조하세요, Simple Detection 빌더에서 룰을 생성하는 방법.
팀이 디텍션 콘텐츠 관리를 위해 CLI 워크플로를 사용하는 경우, 콘솔의 Simple Detection 빌더를 사용하여 디텍션에 가한 변경 사항은 다음 업로드 시 덮어써집니다(단, 인라인 필터 콘솔에서 생성된 것은 보존됩니다).
콘솔에서 Simple Detection 빌더를 사용해 디텍션을 생성하거나 편집하는 경우, 생성된 YAML 표현을 복사하여 로컬 디텍션 파일에 포함시켜 다음 업로드 시 변경사항이 덮어써지지 않도록 하세요.
비디오 개요
Simple Detection 빌더에 접근하는 방법
Panther 콘솔에서 Simple Detection 빌더에 접근하려면:
Panther 콘솔의 왼쪽 탐색 창에서 디텍션.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
페이지에서 Detection Builder 룰 타일에서 에 대해 자세히 알아보세요.
생성 페이지에서 다음 항목을 채우세요 이름 와 ID 디텍션을 위해:
이름: 룰에 대한 설명적인 이름을 입력합니다.
ID (선택 사항): 펜 아이콘을 클릭하고 룰에 대한 고유 ID를 입력합니다.
일반 구성 다음 소스에 대해 섹션에서, 로그 유형 이 디텍션이 적용될
일반 구성 디텍트 섹션에서, 여기서 Rule Builder 옵션이 사전 선택되어 있는 경우, Simple Detection 빌더를 참조하세요:
이 문서에서 “Simple Detection 빌더”에 대한 언급은 Rule Builder 가 선택된 상태에서 표시되는 빌더를 의미합니다. Simple Detection 빌더의 한계예를 들어, 는 텍스트 편집기.
Simple Detection 빌더에서 룰을 생성하는 방법
Panther 콘솔의 Simple Detection 빌더에서 룰을 생성할 수 있습니다. 룰에 대해 더 알아보려면 룰 및 스케줄된 룰.
팀이 디텍션 콘텐츠 관리를 위해 CLI 워크플로를 사용하는 경우, 콘솔의 Simple Detection 빌더를 사용하여 디텍션에 가한 변경 사항은 다음 업로드 시 덮어써집니다(단, 인라인 필터 콘솔에서 생성된 것은 보존됩니다).
콘솔에서 Simple Detection 빌더를 사용해 디텍션을 생성하거나 편집하는 경우, 생성된 YAML 표현을 복사하여 로컬 디텍션 파일에 포함시켜 다음 업로드 시 변경사항이 덮어써지지 않도록 하세요.
콘솔에서 Simple Detection 빌더로 룰 생성하기
다음 지침을 따르세요 Simple Detection 빌더에 접근하는 방법.
의 오른쪽에 어디에인 경우 JSON 로그를 업로드했다면 클릭하세요 +메뉴에서 나타나는 항목 중 하나를 선택합니다 절 추가 이전에 생성한 Snowflake 사용자 이름, 예를 들면 절 그룹 추가.
각 절(단독이거나 그룹 내)에 대해 논리를 정의합니다:
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 키그런 다음 조건이 적용될 이벤트 키를 선택합니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 조건그런 다음 조건을 선택합니다.
선택된 조건 에 입력값(예:
정의되어이전에 생성한 Snowflake 사용자 이름, 예를 들면포함)이 필요한 경우 값 또는 값 목록을 제공합니다.
각 절 및 절 그룹 사이에서 올바른 결합자(또는 와 이전에 생성한 Snowflake 사용자 이름, 예를 들면 이전에 생성한 Snowflake 사용자 이름, 예를 들면)가 선택되어 있는지 확인합니다.
(선택 사항) 디텍션 논리 구성이 완료되면, 텍스트 편집기 의 오른쪽 상단 토글에서 원시 YAML 결과를 볼 수 있습니다. 디텍트 섹션의 명령을 실행하세요.
일반 구성 알러트 생성 섹션에서, 알러트 생성
ON/OFF토글을 설정합니다. 이는 일치 항목이 있을 때 알러트 가 생성될지, 아니면 단지 Signal만 생성될지를 나타냅니다. 이 토글을켜기:에서 필수 필드에서, 심각도.
에서 알러트 심각도에 대해 더 알아보세요 알러트 심각도 표.
에서 선택적 필드에서 동적 알러트 필드를 설정하세요:
제목의 오른쪽에: 로 변경에서 더하기( + )를 클릭한 다음, 이벤트 값을 동적으로 대체할 위치에는 중괄호를 사용하여 문자열을 입력합니다.
설명: 룰에 대한 추가 컨텍스트를 입력하세요.
런북: 이 룰과 관련된 절차와 운영을 입력하세요.
자세한 내용은 알러트 런북.
참조: 이 룰과 관련된 더 많은 정보에 대한 외부 링크를 입력하세요.
대상 오버라이드대상: 이 디텍션에 대한 알러트를 심각도에 관계없이 수신할 대상을 선택합니다. 대상은 룰 함수에서 동적으로 설정할 수도 있습니다. 보려면 라우팅 순서 우선순위 를 참조하세요.
중복 제거 기간중복 제거 기간: 이벤트를 중복 제거할 기간을 선택하세요. 자세한 내용은 알러트 중복 제거.
이벤트 임계값중복 제거 이벤트 임계값: 값을 입력하세요. 자세한 내용은 알러트 중복 제거.
요약 속성: 이 디텍션으로 트리거된 알러트에 표시할 속성을 입력하세요.
중첩 필드를 요약 속성으로 사용하려면 Summary Attribute 필드에서 Snowflake 점 표기법을 사용하여 JSON 객체의 경로를 탐색하세요:
<column>:<level1_element>.<level2_element>.<level3_element>그런 다음 알러트 요약은 알러트 내에서 참조된 객체에 대해 생성됩니다. Snowflake에서 반구조화된 데이터를 탐색하는 방법에 대해 자세히 알아보세요.알러트 요약에 대한 자세한 정보는 알러트 할당 및 관리.
태그: 룰을 한눈에 이해하는 데 도움이 되는 사용자 정의 태그를 입력하세요(예:
HIPAA.)프레임워크 매핑:
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 추가 보고서를 입력하려면.
다음 필드에 대해 값을 제공하십시오:
보고서 키: 보고서와 관련된 키를 입력하세요.
보고서 값: 해당 보고서의 값을 입력하세요.
에서 테스트의 유닛 테스트 섹션에서, 클릭하여 새로 추가 에서 테스트 생성 에서 룰에 대한
오른쪽 상단에서 배포.
Simple Detection 빌더의 한계
콘솔의 Simple Detection 빌더는 특정 YAML 표현식을 렌더링할 수 없습니다. 만약 당신이 로컬에서 Simple Detections를 작성하고 업로드하면 아래 표현식 중 어느 것을 사용하더라도 그것들은 콘솔의 Simple Detection 빌더에서 보이지 않으며—원시 YAML로 표시됩니다.
다음은 Simple Detection 빌더의 제한 사항입니다:
Simple Detection 빌더에서는 룰(스케줄된 룰이나 정책은 아님)만 생성 및/또는 렌더링할 수 있습니다.
사용자를 사용할 것이며,
OnlyOne와는 선택적결합자(combinators) 은 Simple Detection 빌더에서 렌더링할 수 없습니다.Simple Detection 빌더는 다음
모든와Any조합자들을 렌더링할 수 있습니다.
일반 구성 알러트 컨텍스트 필드에서는 JSON 유형의 이벤트 필드를 사용할 수 없습니다.
특정
조건값들은 Simple Detection 빌더에서 렌더링될 수 없습니다. 다음 조건들은 지원되지 않습니다:ExistsDoesNotExistIsNullIsNotNullIsIPAddressIsIPv4AddressIsIPv6AddressAnyElementAllElementsOnlyOneElementNoElement
마지막 업데이트
도움이 되었나요?