신호

룰, 예약된 룰 또는 상관 규칙에서 매치가 발생하면 신호가 생성됩니다

개요

상관 규칙은 Panther 버전 1.108부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고나 기능 요청이 있으면 Panther 지원팀에 공유해 주세요.

규칙, 스케줄된 규칙 또는 상관 규칙에서 일치가 발생하면 시그널이 생성됩니다. 정책 실패에 대해서는 시그널이 생성되지 않습니다.

시그널은 환경에서 발생하는(또는 연속적으로 발생하는) 작업 하나(또는 일련의 작업)를 나타내며, 알러트를 생성할 만큼의 가치가 있지는 않지만 알려야 할 항목입니다. 시그널은 종종 "보안 관련 이벤트"라고 불립니다.

시그널은 알러트와 다릅니다. 자세한 내용은 여기에서 시그널과 알러트의 차이점.

매우 많은 시그널(예: 시간당 1,000개 이상)을 생성하는 과도한 노이즈 규칙은 Snowflake 컴퓨팅 비용을 증가시킬 수 있습니다. 시그널을 더 비용 효율적으로 만드는 방법은 시그널을 더 효율적으로 만들기를(을) 아래에서 확인하십시오.

시그널 사용 사례

시그널은 상관 규칙의 구성 요소입니다. 상관 규칙에서는 특정 규칙, 스케줄된 규칙 및 상관 규칙에 대해 일정 기간 내에 하나 이상의 시그널이 생성되었어야(또는 Enterprise 조직 생성됨) 일치로 간주되는 등(그 외 선택적 기준과 함께) 조건을 지정합니다.
- 참조 이러한 상관 규칙 예시는 알러팅이 활성화된 규칙과 알러팅이 비활성화된 규칙을 모두 참조합니다.
또한 다음에서 시그널을 검색하려고 할 수 있습니다. panther_signals.public 데이터베이스에서 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 와 panther_monitor.

시그널만 생성하는 규칙을 만드는 방법

시그널만(알러트는 생성하지 않음) 생성하는 규칙을 만들려면 규칙을 생성하고 알러팅을 비활성화하도록 구성하세요.

Panther 콘솔에서 시그널만(알러트는 아님) 생성하는 규칙을 만들려면:

Panther 콘솔에서 규칙, 스케줄된 규칙 또는 상관 규칙을 생성하세요.
다음을 설정하세요 알러트 생성 토글을 OFF.
- 이렇게 하면 디텍션 편집기에서 알러트 필드(예: 심각도, 런북, 중복 제거 기간등)가 제거됩니다.

CLI 워크플로우에서 시그널만(알러트는 아님) 생성하는 규칙을 만들려면:

로컬에서 규칙, 스케줄된 규칙 또는 상관 규칙을 생성하세요.
다음을 추가하세요 CreateAlert 필드를 추가하고 해당 값을 true.
- 의 기본값은 CreateAlert로 설정되지 않은 경우 부울 값.

예:

AnalysisType: rule
RuleID: 'GitHub.Repo.Archived'
DisplayName: 'GitHub.Repo.Archived'
Enabled: true
CreateAlert: false
알러트컨텍스트:
  - KeyName: repo
    KeyValue:
      KeyPath: repo
event, "data", "details", "request", "path", default="<NO_REQUEST_PATH_FOUND>"
  - KeyPath: action
    request_path == "/api/v2/guardian/policies",
    Value: repo.archived

시그널을 보는 방법

디텍션의 시그널을 보는 방법

특정 디텍션의 시그널을 보려면 해당 디텍션의 검색에서 시그널 보기 버튼을 사용하세요. 또한 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.

Panther 콘솔의 왼쪽 탐색 창에서 디텍션.
시그널을 보려는 디텍션의 이름을 클릭하세요.
디텍션 상세 페이지의 오른쪽 상단 근처에서 검색에서 시그널 보기.
- 사용자를 사용할 것이며, 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 페이지가 열리며 해당 panther_signals.public 데이터베이스에 대해 미리 채워진 필터 식이 포함됩니다. 클릭하세요 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

모든 시그널을 보는 방법

다음에서 시그널을 볼 수 있습니다 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.

검색에서 시그널 보기

Panther 콘솔의 왼쪽 탐색 창에서 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 > 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.
일반 구성 데이터베이스 필터SNS 주제 시그널.
일반 구성 테이블 필터SNS 주제 시그널.
- 선택적으로 추가 값이 타임스탬프인 를 만들어 검색 결과를 좁힐 수 있습니다.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

데이터 익스플로러에서 시그널 보기

Panther 콘솔의 왼쪽 탐색 창에서 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 > panther_monitor.
관심 있는 열을 선택하는 SQL 쿼리를 작성하세요. 대상 테이블은 panther_signals.public.correlation_signals 을(를) 사용하여 쿼리할 수 있습니다.
- 예를 들어:
  SELECT tag FROM panther_signals.public.correlation_signals LIMIT 10;
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 검색 실행.

시그널을 더 효율적으로 만들기

디텍션에서 일치가 발생할 때마다 시그널이 생성됩니다. 따라서 시그널을 더 효율적으로 만든다는 것은 디텍션 자체를 더 효율적으로 만들거나 그 범위를 좁히는 것을 의미합니다.

1단계: 가장 많은 시그널을 생성하는 디텍션 식별

위 단계를 따라 검색에서 모든 시그널 보기.
다음을 추가하세요 p_rule_id 결과 테이블에 검색의 결과 테이블을 사용자 지정하여.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 를 표시하거나 숨길 수 있다는 추가 이점이 있습니다. 에서 요약 차트 보기 for 룰 ID(Rule ID).
- 차트가 내림차순으로 정렬되어 있는지 확인하세요.
차트 상단의 룰 ID를 기록해 두세요. 이들은(구성된 기간 내에) 가장 많은 시그널을 생성하는 디텍션입니다.

2단계: 가장 많은 시그널을 생성하는 디텍션 조정

1단계에서 가장 많은 시그널을 생성하는 디텍션을 식별한 후에는 범위를 좁혀서 조정할 수 있습니다. 아래는 디텍션 범위를 좁히기 위한 일반적인 접근법입니다:

허용 목록에 신뢰할 수 있는 IP 추가: 조직의 프록시 서버나 클라우드 서비스 제공업체와 같은 알려진 "정상" IP 주소를 명시적으로 제외하세요.
임계값 조정: 실패한 로그인 또는 데이터 전송과 같은 이벤트에 대한 빈도 및 볼륨 임계값을 조정하여 실제 위협을 놓치지 않으면서 오탐을 줄이세요.
컨텍스트 활용: 시간대, 사용자 역할 또는 지리적 위치와 같은 추가 컨텍스트를 통합하여 룰 정확도를 향상하고 오탐을 줄이세요.
다중 요소 룰 구현: 단일 룰에서 여러 지표나 조건을 결합하여 정밀도를 높이고 오탐을 줄이세요.

이전상관 규칙 참조 다음정책

마지막 업데이트 1년 전

도움이 되었나요?

hashtag시그널 사용 사례

hashtag시그널만 생성하는 규칙을 만드는 방법

hashtag시그널을 보는 방법

hashtag디텍션의 시그널을 보는 방법

hashtag모든 시그널을 보는 방법

hashtag시그널을 더 효율적으로 만들기

hashtag1단계: 가장 많은 시그널을 생성하는 디텍션 식별

hashtag2단계: 가장 많은 시그널을 생성하는 디텍션 조정

시그널 사용 사례

시그널만 생성하는 규칙을 만드는 방법

시그널을 보는 방법

디텍션의 시그널을 보는 방법

모든 시그널을 보는 방법

시그널을 더 효율적으로 만들기

1단계: 가장 많은 시그널을 생성하는 디텍션 식별

2단계: 가장 많은 시그널을 생성하는 디텍션 조정