신호

룰, 예약된 룰 또는 상관관계 룰과 일치할 때 신호가 생성됩니다

개요

상관 룰은 Panther 버전 1.108부터 오픈 베타로 제공되며, 모든 고객이 이용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀에 공유해 주세요.

룰, 스케줄된 룰 또는 상관 룰에서 일치가 발생하면 시그널이 생성됩니다. 정책 실패에 대해서는 시그널이 생성되지 않습니다.

시그널은 환경에서 발생하는 동작(또는 동작의 그룹이나 연속)을 나타내며, 알아두고 싶지만, 적어도 그 자체만으로는 알러트를 생성할 가치가 없는 것을 의미합니다. 시그널은 종종 "보안 관련 이벤트"라고도 불립니다.

시그널은 알러트와 다릅니다. 다음에 대해 더 알아보세요. 여기에서 시그널과 알러트의 차이.

상당한 시그널 볼륨(즉, 시간당 1,000개 초과)을 생성하는 시끄러운 룰은 Snowflake 컴퓨트 비용을 증가시킬 수 있습니다. 아래에서 시그널을 더 비용 효율적으로 만드는 방법을 알아보세요. 시그널을 더 효율적으로 만들기, 아래에서.

시그널 사용 사례

시그널은 다음의 구성 요소입니다. 상관 룰. 상관 룰에서는 하나 이상의 시그널이 생성되었어야 하거나(또는 not 생성되었어야 하며), 특정 시간 범위 내에 생성되었어야 하는(그 밖의 선택적 기준도 포함) 특정 룰, 스케줄된 룰, 상관 룰을 지정하여 일치 여부를 판단합니다.
- 자세한 내용은 이 상관 룰 예제들에는 알러팅이 활성화된 룰과 비활성화된 룰이 모두 참조되어 있습니다.
또한 다음에서 시그널을 검색해 볼 수 있습니다. panther_signals.public 데이터베이스에서 검색 Run Panther AI Data Explorer.

시그널만 생성하는 룰을 만드는 방법

시그널만 생성하고 알러트는 생성하지 않는 룰을 만들려면 룰을 생성한 뒤 알러팅을 비활성화하도록 구성하세요.

Panther Console에서 시그널만 생성하는(알러트는 생성하지 않는) 룰을 만들려면:

Panther Console에서 룰, 스케줄된 룰 또는 상관 룰을 생성합니다.
- 자세한 내용은 Console에서 Python 룰을 생성하는 이 지침및 Console에서 Simple Detection을 생성하는 이 지침.
- 자세한 내용은 Console에서 스케줄된 룰을 생성하는 이 지침.
- 자세한 내용은 Console에서 상관 룰을 생성하는 이 지침.
다음을 설정합니다. 알러트 생성 토글을 OFF.
- 이렇게 하면 디택션 편집기에서 알러트 필드가 제거됩니다(예: 심각도, 런북, 중복 제거 기간등).

시그널만 생성하는(알러트는 생성하지 않는) CLI 워크플로용 룰을 만들려면:

로컬에서 룰, 스케줄된 룰 또는 상관 룰을 생성합니다.
- 자세한 내용은 CLI 워크플로에서 Python 룰을 생성하는 이 지침및 CLI 워크플로에서 YAML 디택션을 생성하는 이 지침.
- 자세한 내용은 CLI 워크플로에서 스케줄된 룰을 생성하는 이 지침.
- 자세한 내용은 CLI 워크플로에서 상관 룰을 생성하는 이 지침.
다음을 추가합니다. CreateAlert 필드에 값을 false.
- 에 대한 기본값은, 설정되지 않은 경우 CreateAlert입니다. true.

예시:

AnalysisType: 룰
RuleID: 'GitHub.Repo.Archived'
DisplayName: 'GitHub.Repo.Archived'
활성화됨: true
CreateAlert: false
AlertContext:
  - KeyName: repo
    KeyValue:
      KeyPath: repo
디택션:
  - KeyPath: action
    Condition: Equals
    Value: repo.archived

신호를 보는 방법

디택션에 대한 신호를 보는 방법

특정 디택션에 대한 신호를 보려면 검색에서 신호 보기 버튼을 해당 세부 정보 페이지에서 사용하세요. 또한 다음에서 직접 쿼리를 구성하여 신호를 볼 수도 있습니다. 검색 또는 Data Explorer.

Panther Console의 왼쪽 탐색 표시줄에서 디택션.
신호를 보려는 디택션의 이름을 클릭하세요.
디택션 세부 정보 페이지의 오른쪽 상단 근처에서 다음을 클릭하세요. 검색에서 신호 보기.
- the 검색 페이지가 사전 입력된 필터 식과 함께 열리며, 해당 식은 다음 데이터베이스용입니다. panther_signals.public 클릭하세요 검색.

모든 신호를 보는 방법

다음에서 신호를 볼 수 있습니다. 검색 또는 Data Explorer.

검색에서 신호 보기

Panther Console의 왼쪽 탐색 표시줄에서 조사 > 검색.
에서 데이터베이스 필터, 선택하세요 신호.
에서 테이블 필터, 선택하세요 신호.
- 선택적으로 추가 키/값 필터 식 을 생성하여 검색 결과 범위를 좁히세요.
을 클릭합니다 검색.

데이터 탐색기에서 신호 보기

Panther Console의 왼쪽 탐색 표시줄에서 조사 > Data Explorer.
관심 있는 열을 다음에서 선택하는 SQL 쿼리를 작성하세요. panther_signals.public.correlation_signals 테이블.
- 예를 들어:
  SELECT tag FROM panther_signals.public.correlation_signals LIMIT 10;
을 클릭합니다 검색 실행.

시그널을 더 효율적으로 만들기

디택션에서 일치 항목이 있을 때마다 신호가 생성됩니다. 따라서 신호를 더 효율적으로 만든다는 것은 디택션 자체를 더 효율적으로 만들거나 그 범위를 좁히는 것을 의미합니다.

1단계: 가장 많은 신호를 생성하는 디택션 식별

위 단계를 따라 검색에서 모든 신호 보기.
다음을 추가합니다. p_룰_id 의 지침에 따라 결과 테이블의 열로 필드를 추가하세요. 검색 결과 테이블에 열을 추가하는 방법.
을 클릭합니다 시각화 을 요약 차트 보기 대상: 룰 ID.
- 차트가 내림차순으로 정렬되어 있는지 확인하세요.
차트 상단의 룰 ID를 기록해 두세요. 이것들이 가장 많은 신호를 생성하는 디택션입니다(구성된 기간 내에서).

2단계: 가장 많은 신호를 생성하는 디택션 조정하기

1단계에서 가장 많은 신호를 생성하는 디택션을 식별한 후에는 범위를 좁혀 이를 조정할 수 있습니다. 아래는 디택션 범위를 좁히는 몇 가지 일반적인 접근 방식입니다:

신뢰할 수 있는 IP를 허용 목록에 추가: 조직의 프록시 서버나 클라우드 서비스 제공업체와 같은 알려진 "양호한" IP 주소를 명시적으로 제외합니다.
임계값 조정: 실패한 로그인이나 데이터 전송과 같은 이벤트에 대한 빈도 및 볼륨 임계값을 조정하여 실제 위협을 놓치지 않으면서 오탐을 줄입니다.
컨텍스트 활용: 시간대, 사용자 역할 또는 지리적 위치와 같은 추가 컨텍스트를 포함하여 룰 정확도를 높이고 오탐을 줄입니다.
다중 요인 룰 구현: 단일 룰에서 여러 지표 또는 조건을 결합하여 정밀도를 높이고 오탐을 줄입니다.

이전상관관계 룰 참조 다음정책

마지막 업데이트 1년 전

도움이 되었나요?