데이터 재재생(베타)
규칙을 활성화하기 전에 실제 데이터에 대한 규칙의 결과를 미리보기하세요
개요
Panther의 Data Replay를 사용하면 규칙을 과거 로그 데이터에 대해 테스트하여 규칙을 활성화하기 전에 결과를 미리 확인할 수 있습니다.
탐지를 작성하거나 업데이트할 때 Data Replay를 사용하여 탐지를 배포하기 전에 어떤 유형의 경고를 받을 가능성이 있는지 시뮬레이션하세요. 재생을 통해 생성된 경고는 규칙의 대상으로 전송되거나 메인 화면에 표시되지 않습니다. 을(를) 폴링하여 일정에 따라 경고를 수신할 수 있습니다. 경고를 가져오고 조작하기 위한 사용 가능한 API 작업은 대시보드.
Data Replay는 Panther 콘솔에서 사용할 수 있습니다. CLI 워크플로우에서는 Panther Analysis Tool의 benchmark 명령을 사용하여 규칙 성능을 평가할 수 있습니다.
제한사항
Data Replay를 시작하기 전에 다음 제한사항을 확인하세요:
시간 범위는 구성 가능하지만 최근 15일 이내여야 합니다.
시간 범위는 24시간 이전이어야 합니다.
지원되는 최대 재생 크기는 20GB입니다.
재생은 1시간 이내에 완료되어야 합니다.
다음에 대한 액세스가 DynamoDB 캐시 오염된 프로덕션 데이터를 방지하기 위해 차단됩니다.
규칙 내의 네트워크 호출은 차단됩니다.
보강(Enrichment) 지원되지 않습니다.
재생 시작
규칙의 중복 제거 기간과 이벤트 임계값은 Data Replay 동안 고려됩니다. 규칙에 규칙 필터, 적용됩니다.
Panther 콘솔의 왼쪽 탐색 바에서 탐지(Detections).
Data Replay에 사용할 탐지의 이름을 클릭하세요.
아래로 스크롤하여 Data Replay 타일에서, : 해당 보고서에 대한 값을 입력하세요. 섹션을 참조하세요.
에서 로그 유형(Log Types) 필드 내에서 해당 탐지에 대해 재생할 로그 유형을 선택하세요.
오른쪽의 Data Replay 섹션에서 선택하세요 시간 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 데이터(GB)재생을 실행할 데이터 집합을 제한하는 방법에 따라:
시간: 지정한 기간 동안 수집된 데이터에 대해 재생을 실행하려면 이 옵션을 선택하세요.
클릭합니다 시작 날짜 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 종료 날짜 필드를 클릭하여 날짜 모달을 엽니다. 사용 가능한 범위에서 미리 설정된 일수 범위를 선택하거나 사용자 지정 날짜를 선택할 수 있습니다:
데이터(GB): 지정된 크기(기가바이트)로 데이터 집합에 대해 재생을 실행하려면 이 옵션을 선택하세요.
드롭다운에서 옵션 중 하나를 선택하세요. 데이터 드롭다운.
데이터 집합이 가장 최근의
n기가바이트 수를 보장하지는 않습니다.
를 클릭하세요 재생 생성.
예상 실행 시간 및 데이터 크기가 표시됩니다.
참고: 규칙에 변경 사항을 적용한 경우 재생을 시작하기 전에 변경 사항을 저장해야 합니다.
재생이 진행되는 동안 처리된 추정량 및 일치한 이벤트를 포함한 진행 상황이 실시간으로 표시됩니다. 이 페이지에서 나가더라도 재생이 취소되지는 않습니다.
일치한 이벤트 비율이 높은 경우 재생을 중단하고 탐지를 조정할 것을 권장합니다.
재생 결과 보기
재생이 완료되면 해당 탐지 페이지에 총 경고 수, 총 규칙 오류, 처리된 데이터량 및 총 일치 이벤트를 포함한 경고 요약이 표시됩니다. 모든 경고는 해당 시간 범위 동안 규칙이 활성화되었을 경우 나타났을 모습으로 표시됩니다.
이 페이지에서 경고를 필터링하고 각 경고와 연관된 이벤트를 볼 수 있습니다.
자세한 정보를 보려면 경고를 클릭하세요. 경고 페이지에서 세부정보 탭을 클릭하면 규칙이 활성화되어 있었다면 경고가 전송되었을 대상들을 확인할 수 있습니다. 이 페이지에는 재생의 시작 시간, 종료 시간 및 지속 시간도 포함됩니다.
참고: 데이터를 재생하는 동안에는 경고가 대상으로 전송되지 않습니다.
Last updated
Was this helpful?