search
Knowledge BaseRelease NotesRequest Demo

시그널

규칙, 예약 규칙 또는 상관 규칙과 일치하면 시그널이 생성됩니다

개요

circle-info

상관 규칙은 Panther 버전 1.108부터 오픈 베타이며 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원팀과 공유해 주세요.

규칙, 예약 규칙 또는 상관 규칙에서 일치가 발생하면 신호가 생성됩니다. 정책 실패로는 신호가 생성되지 않습니다.

신호는 환경에서 발생하는(또는 일련의) 작업을 나타내며 알림을 생성할 만큼(적어도 단독으로는) 가치가 있다고 보기는 어렵지만 알아두어야 하는 것입니다. 신호는 종종 "보안 관련 이벤트"라고 불립니다.

신호는 알림과 다릅니다. 에 대해 자세히 알아보려면 여기에서 신호와 알림의 차이점을 확인하세요.

circle-exclamation

시간당 1,000개 이상처럼 상당한 신호 볼륨을 생성하는 시끄러운 규칙은 Snowflake 컴퓨팅 비용을 증가시킬 수 있습니다. 신호를 더 비용 효율적으로 만드는 방법은 신호를 더 효율적으로 만들기도 함께 아래에 있습니다.

hashtag
신호 사용 사례

  • 신호는 상관 규칙의 구성 요소입니다. 상관 규칙에서는 특정 기간 내에 하나 이상의 신호가 생성되었어야(또는 에 설치해야 하며 생성됨) 일치로 인정되기 위한(기타 선택적 기준 중에서) 규칙, 예약 규칙 및 상관 규칙을 지정합니다.

  • 또한 panther_signals.public 데이터베이스에서 신호를 검색하고자 할 수 있습니다. 검색데이터 탐색기.

hashtag
신호만 생성하는 규칙을 만드는 방법

신호만(알림은 아닌) 생성하는 규칙을 만들려면 규칙을 생성하고 알림을 비활성화하도록 구성하세요.

Panther 콘솔에서 신호만(알림은 아닌) 생성하는 규칙을 만들려면:

  1. Panther 콘솔에서 규칙, 예약 규칙 또는 상관 규칙을 생성하세요.

  2. 다음 알림 생성 토글을 OFF.

    • 이렇게 하면(다음을 포함한) 탐지 편집기에서 알림 필드가 제거됩니다 경고 필드 설정, 런북, 중복 제거 기간등).

hashtag
신호를 보는 방법

hashtag
탐지에 대한 신호를 보는 방법

특정 탐지에 대한 신호를 보려면 검색에서 신호 보기 세부 정보 페이지의 버튼을 사용하세요. 또한 검색 또는 데이터 탐색기.

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.

  2. 신호를 보려는 탐지의 이름을 클릭하세요.

  3. 탐지 세부 정보 페이지의 오른쪽 상단 근처에서 검색에서 신호 보기.

    • 설정은 검색 사전 채워진 필터 표현식과 함께 페이지가 열립니다 panther_signals.public 데이터베이스. 클릭 검색.

    A "Dropbox.External.Share" detection details page is shown. A "View Signals in Search" button is circled.

hashtag
모든 신호를 보는 방법

다음에서 신호를 볼 수 있습니다 검색 또는 데이터 탐색기.

검색에서 신호 보기

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 상자를 체크하세요. > 검색.

  2. 다음 데이터베이스 필터에서, 선택하십시오 Signals.

  3. 다음 테이블 필터에서, 선택하십시오 Signals.

  4. 클릭 검색.

hashtag
신호를 더 효율적으로 만들기

탐지에서 일치가 발생할 때마다 신호가 생성됩니다. 따라서 신호를 더 효율적으로 만드는 것은 탐지 자체를 더 효율적으로 만들거나 범위를 좁히는 것을 의미합니다.

hashtag
1단계: 가장 많은 신호를 생성하는 탐지 식별

  1. 위 단계를 따라 검색에서 모든 신호 보기.

  2. 다음을 추가하십시오 p_rule_id 결과 테이블에 필드를 열로 표시하려면 Search 결과 히스토그램. Various event fields (like p_event_time and p_parse_time) and their values are shown.

  3. 클릭 열 헤더를 클릭하고 원하는 위치로 드래그하여 결과 테이블의 열 순서를 재정렬하세요. 에서 요약 차트 보기 for 규칙 ID(Rule ID).

    • 차트가 내림차순으로 정렬되어 있는지 확인하세요.

  4. 차트 상단의 규칙 ID를 기록해 두세요—이들이 가장 많은 신호를 생성하는 탐지입니다(구성된 기간 내).

hashtag
2단계: 가장 많은 신호를 생성하는 탐지 조정

1단계에서 가장 많은 신호를 생성하는 탐지를 식별한 후에는 범위를 좁혀 이를 조정할 수 있습니다. 아래는 탐지 범위를 좁히는 몇 가지 일반적인 방법입니다:

  • 신뢰된 IP를 허용 목록에 추가: 조직의 프록시 서버나 클라우드 서비스 제공업체와 같은 알려진 "정상" IP 주소를 명시적으로 제외하세요.

  • 임계값 조정: 실패한 로그인이나 데이터 전송과 같은 이벤트에 대한 빈도 및 볼륨 임계값을 조정하여 실제 위협을 놓치지 않으면서 오탐을 줄이세요.

  • 컨텍스트 활용: 시간대, 사용자 역할 또는 지리적 위치와 같은 추가 컨텍스트를 통합하여 규칙 정확도를 향상시키고 오탐을 줄이세요.

  • 다중 요소 규칙 구현: 단일 규칙에서 여러 지표나 조건을 결합하여 정확도를 높이고 오탐을 줄이세요.

Previouspypanther 명령줄 도구 사용하기Next정책

Last updated

Was this helpful?