| 필드 이름 | 설명 | 예상 값 |
|---|---|---|
| 필드 이름 | 설명 | 예상 값 |
AnalysisType | 이 분석이 룰, scheduled_룰, policy 또는 global인지 나타냅니다 | 룰 |
활성화됨 | 이 룰이 활성화되어 있는지 여부 | 불리언 |
RuleID | 룰의 고유 식별자 | 문자열 |
LogTypes | 이 룰을 적용할 로그 목록 | 문자열 목록 |
CreatedBy | 이 디택션의 작성자입니다. Panther 사용자 UUID, 이메일 주소 또는 임의의 텍스트 값으로 설정할 수 있습니다. 자세한 내용은 다음을 참조하세요 the CreatedBy 디택션 필드. | 문자열 |
Severity | 어떤 심각도 연관된 알러트가 가져야 하는지 | 다음 문자열 중 하나: 정보, 낮음, 보통, 높음, 또는 치명적이 필드는 다음에 의해 덮어써집니다 DynamicSeverities하지만 DynamicSeverities 정의된 경우에도 필수입니다 |
CreateAlert | 룰이 다음을 생성해야 하는지 여부 룰 일치/알러트 일치 시 (기본값 true) | 불리언 |
디택션 | 이벤트 데이터에 적용할 일치 표현식 목록 | 목록 일치 표현식 |
DynamicSeverities | 대체 심각도들 사용자 지정 조건 집합에 기반한 | 다음으로 구성된 동적 심각도 구성 목록 ChangeTo Run Panther AI 조건 필드들입니다. ChangeTo 은(는) Severity 값이며 조건 의 목록입니다 일치 표현식. |
설명 | 룰에 대한 간단한 설명 | 문자열 |
GroupBy | 알러트를 중복 제거할 기준이 되는 이벤트 값 집합 | 이벤트 키 목록 |
DedupPeriodMinutes | 알러트의 유사한 이벤트가 함께 그룹화되는 기간(분) | 15,30,60,180 (3시간),720 (12시간), 또는 1440 (24시간) |
DisplayName | Panther Console과 알러트에 표시할 사용자 친화적인 이름입니다. 이 RuleID 가 설정되지 않으면 표시됩니다. | 문자열 |
OutputIds | 정적 대상 재정의입니다. 이는 이 룰의 알러트가 어떻게 라우팅될지 결정하는 데 사용되며, 심각도에 따른 기본 라우팅보다 우선합니다. | 문자열 목록 |
Reference | 이 룰이 존재하는 이유로, 보통 문서에 대한 링크입니다 | 문자열 |
Reports | 이 룰이 해당 프레임워크에서 어떤 값을 다루는지에 대한 프레임워크 또는 보고서 이름과 값의 매핑 | 문자열에서 문자열 목록으로의 맵 |
Runbook | 이 룰이 알러트를 반환할 경우 수행할 작업입니다. 설명적인 런북을 제공하는 것이 권장됩니다. 왜냐하면 Panther AI 알러트 분류 이를 고려할 것이기 때문입니다. | 문자열 |
SummaryAttributes | 알러트가 요약해야 하는 필드 목록입니다. | 문자열 목록 |
Threshold | 알러트가 전송되기 전에 이 룰을 트리거해야 하는 이벤트 수입니다. | 정수 |
Tags | 이 룰을 분류하는 데 사용되는 태그 | 문자열 목록 |
Tests | 이 룰에 대한 단위 테스트 | 맵 목록 |
인라인 필터 | 형식의 필터 목록 일치 표현식 데이터를 필터링하는 데 사용 | 목록 일치 표현식 (필터 호환 버전으로 제한됨) |
알러트Title | 대체 DisplayName 알러트를 위한 동적 제목을 만들기 위해 이벤트 값을 사용할 수 있는 | 문자열 |
알러트Context | 커스텀 키 아래 Event에 추가하여 동적 알러트 컨텍스트를 만드는 이벤트 값 | 키 이름과 키 값 쌍 목록 |