간단 탐지 빌더 사용하기
코드 없이 탐지를 생성하고 편집하세요
개요
Panther 콘솔의 Simple Detection 빌더를 사용하여 생성 및 편집할 수 있습니다 폴더 설정(Folder setup) 드롭다운 필드를 사용합니다. 빌더를 사용하면 코드를 작성하지 않고도 탐지를 관리할 수 있으며, 표현력, 테스트 가능성, CI/CD 통합 및 재사용성 등 코드로서의 탐지의 이점을 유지합니다.
Simple Detection 빌더는 Simple Detections 기능 세트의 일부로, 모든 수준의 기술을 가진 팀원들 간의 협업을 촉진합니다. Simple Detections CLI 워크플로우에서 YAML로 구성된그런 다음 Panther에 업로드된 항목은 콘솔의 Simple Detection 빌더에서 볼 수 있고 편집할 수 있습니다.
Simple Detection 빌더에서 생성된 규칙은 다음에서 사용할 수 있습니다 탐지 유도.
아래의 단계별 지침에서 Simple Detection 빌더를 사용하여 규칙을 생성하는 방법을 확인하세요, Simple Detection 빌더에서 규칙을 생성하는 방법.
비디오 개요
Simple Detection 빌더에 접근하는 방법
Panther 콘솔에서 Simple Detection 빌더에 접근하려면:
Panther 콘솔의 왼쪽 탐색 바에서 탐지(Detections).
를 클릭하세요 새로 만들기(Create New).
에 있는 Detection Builder 규칙 타일에서 시작(Start).
생성 페이지에서 다음을 입력하세요 이름(Name) 및 ID 탐지를 위해:
이름(Name): 규칙에 대한 설명적인 이름을 입력하세요.
ID (선택 사항): 펜 아이콘을 클릭하여 규칙의 고유한 ID를 입력하세요.
에서 다음 로그 소스에 대해(For the Following Source) 섹션에서 로그 유형(Log Types) 이 탐지가 적용될 대상을 선택합니다.
에서 탐지(Detect) 섹션에서, Rule Builder 옵션이 기본 선택된 경우 Simple Detection 빌더를 참조하세요:
이 문서에서 "Simple Detection 빌더"에 대한 언급은 Rule Builder 선택된 경우에 표시되는 빌더를 의미합니다. Simple Detection 빌더의 제한 사항예를 들어, 텍스트 편집기.
Simple Detection 빌더에서 규칙을 생성하는 방법
Panther 콘솔의 Simple Detection 빌더에서 규칙을 생성할 수 있습니다. 규칙에 대해 자세히 알아보려면 if event.get('eventType') == 'system.api_token.create':.
콘솔의 Simple Detection 빌더에서 규칙 생성하기
다음 지침을 따르세요 Simple Detection 빌더에 접근하는 방법.
오른쪽에 어디에로 이동한 후 +메뉴에서 나타나는 항목 중 하나를 선택하세요 클라우스 추가 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 클라우스 그룹 추가.
각 클라우스(단독이거나 그룹 내에 있는 경우)에 대해 논리를 정의하세요:
를 클릭하세요 키그런 다음 조건이 적용될 이벤트 키를 선택하세요.
를 클릭하세요 조건그런 다음 조건을 선택하세요.
선택한 조건 예:
입니다로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예:포함값 또는 값 목록을 제공하세요.
각 클라우스와 클라우스 그룹 사이에 올바른 결합자(또는 및 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예:)가 선택되어 있는지 확인하세요.
(선택 사항) 탐지 논리 구성이 완료되면 오른쪽 상단의 토글에서 텍스트 편집기 를 선택하여 결과를 원시 YAML로 볼 수 있습니다. 탐지(Detect) 섹션을 참조하세요.
에서 생성 알림(Create Alert) 섹션에서 생성 알림(Create Alert)
ON/OFF토글을 설정하세요. 이는 일치가 있을 때 경고(alert) 를 생성할지 아니면 오직 신호(Signal)만 생성할지를 나타냅니다. 이 토글을켜짐(ON):다음에 따라 필수 필드에서 심각도(Severity).
알림 심각도에 대해 자세히 알아보려면 알림 심각도 표.
다음에 따라 선택적 필드(Optional Fields)에서 동적 알림 필드를 설정하세요:
제목오른쪽에 로 변경에서 더하기( + )를 클릭한 다음+문자열을 입력하고 이벤트 값을 동적으로 대체하려는 위치에 중괄호를 사용하세요.
설명(Description): 규칙에 대한 추가 컨텍스트를 입력하세요.
런북(Runbook): 이 규칙과 관련된 절차 및 운영 방법을 입력하세요.
자세한 내용은 Alert Runbooks.
참조(Reference): 이 규칙과 관련된 추가 정보로 연결되는 외부 링크를 입력하세요.
runbook: 이 탐지에 대해 심각도와 관계없이 알림을 받을 대상으로 목적지를 선택하세요. 목적지는 규칙 함수에서 동적으로 설정할 수도 있습니다. 자세한 내용은 Routing Order Precedence 를 참조하세요.
중복 제거 기간(Deduplication Period): 이벤트를 중복 제거할 기간을 선택하세요. 자세한 내용은 알림 중복 제거.
이벤트 임계값(Events Threshold): 중복 제거 이벤트 임계값을 입력하세요. 자세한 내용은 알림 중복 제거.
를 참조하세요.요약 속성(Summary Attributes)
: 이 탐지로 인해 트리거된 경고에 표시하고자 하는 속성을 입력하세요.
중첩 필드를 요약 속성으로 사용하려면, Summary Attribute 필드에서 Snowflake 점 표기법을 사용하여 JSON 객체의 경로를 탐색하세요:<column>:<level1_element>.<level2_element>.<level3_element> 그런 다음 해당 객체에 대해 경고 요약이 생성됩니다.Semi-structured 데이터 탐색에 대해 더 알아보려면 Snowflake에서 여기를 참조하세요. Alert Summaries에 대한 자세한 내용은.
태그사용자 지정 태그(Custom Tags)
: 규칙을 한눈에 이해하는 데 도움이 되는 사용자 지정 태그를 입력하세요(예:.)HIPAA:
를 클릭하세요 프레임워크 매핑(Framework Mapping) 새로 추가(Add New)
를 클릭하여 보고서를 입력하세요.
다음 필드에 값을 제공하세요:보고서 키(Report Key)
: 보고서와 관련된 키를 입력하세요.보고서 값(Report Values)
다음에 따라 : 해당 보고서에 대한 값을 입력하세요.규칙의 테스트(Test) 단위 테스트(Unit Test) 프레임워크 매핑(Framework Mapping) 섹션에서 를 클릭하여 에서.
테스트를 생성(create a test) 배포.
Simple Detection 빌더의 제한 사항
콘솔의 Simple Detection 빌더는 특정 YAML 표현식을 렌더링할 수 없습니다. 만약 당신이 로컬에서 Simple Detections을 작성하고 업로드하는 경우 아래 표현식 중 어느 것을 사용하더라도, 콘솔의 Simple Detection 빌더에서는 표시되지 않으며 원시 YAML로 표시됩니다.
아래는 Simple Detection 빌더의 제한 사항입니다:
스케줄된 규칙이나 정책이 아닌 규칙만 Simple Detection 빌더에서 생성 및/또는 렌더링될 수 있습니다.
와 같이 반환할 수 있습니다(스타일 취향에 따라).
OnlyOne및None결합자 는 Simple Detection 빌더에서 렌더링될 수 없습니다.Simple Detection 빌더는 다음 결합자를 렌더링할 수 있습니다
All및임의결합자입니다.
에서 알림 컨텍스트 필드의 경우 JSON 유형의 이벤트 필드는 사용할 수 없습니다.
특정
조건값은 Simple Detection 빌더에서 렌더링될 수 없습니다. 다음 조건은 지원되지 않습니다:존재함존재하지 않음널임널이 아님IP 주소인지 여부IPv4 주소인지 여부IPv6 주소인지 여부AnyElementAllElementsOnlyOneElementNoElement
Last updated
Was this helpful?