search
Knowledge BaseRelease NotesRequest Demo

데이터 재생(베타)

룰을 활성화하기 전에 실제 데이터에 대해 룰의 결과를 미리보기하세요

hashtag
개요

circle-info

Data Replay는 현재 오픈 베타이며 모든 고객이 이용할 수 있습니다. 버그 리포트와 기능 요청은 계정 팀에 공유해 주세요.

Panther의 Data Replay를 사용하면 룰을 과거 로그 데이터에 대해 테스트하여 룰을 활성화하기 전에 결과를 미리 볼 수 있습니다.

디텍션을 작성하거나 업데이트할 때 Data Replay를 사용하여 디텍션을 배포하기 전에 어떤 종류의 알러트를 받을지 시뮬레이션하세요. 리플레이를 통해 생성된 알러트는 룰의 대상지로 전달되거나 메인 Alerts & Errors 대시보드에 표시되지 않습니다.

Data Replay는 Panther 콘솔에서 이용할 수 있습니다. CLI 워크플로우에서는 Panther Analysis Tool의 benchmark 명령을 사용하여 룰 성능을 평가할 수 있습니다.

hashtag
제한 사항

Data Replay를 시작하기 전에 다음 제한 사항을 참고하세요:

  • 시간 범위는 구성 가능하지만 최근 15일 이내여야 합니다.

  • 시간 범위는 현재 시점보다 24시간 이상 이전이어야 합니다.

  • 지원되는 최대 리플레이 크기는 20GB입니다.

  • 리플레이는 한 시간 이내에 완료되어야 합니다.

  • 에 대한 접근 DynamoDB 캐시 는 운영 데이터 오염을 방지하기 위해 차단됩니다.

  • 룰 내에서의 네트워크 호출은 차단됩니다.

  • 인리치먼트 은 지원되지 않습니다.

hashtag
리플레이 시작

룰의 중복 제거 기간과 이벤트 임계값은 Data Replay 동안 고려됩니다. 룰에 룰 필터이(가) 있는 경우 적용됩니다.

  1. Panther 콘솔의 왼쪽 탐색 창에서 디텍션.

  2. Data Replay에 사용할 디텍션의 이름을 클릭하세요.

  3. 아래로 스크롤하여 Data Replay 타일에서, 테스트 섹션의 명령을 실행하세요. The Data Replay section of the Panther console shows a Log Types field, with OneLogin.Events selected, as well as a field that has two tabbed options: Data(GB) and Time. Data(GB) is currently selected, with a value of 20GB. At the bottom is a blue "Create Replay" button.

  4. 일반 구성 로그 유형 필드 내에서 디텍션에 대해 리플레이할 로그 유형을 선택하세요.

  5. 콘솔의 오른쪽에서 Data Replay 섹션에서 시간 이전에 생성한 Snowflake 사용자 이름, 예를 들면 데이터(GB)는 리플레이를 실행할 데이터 세트를 제한하는 방법에 따라 다음과 같이 사용됩니다:

    • 시간: 이 옵션을 선택하면 지정된 기간 동안 수집된 데이터에 대해 리플레이를 실행합니다.

      • 을 클릭하세요 시작 날짜 이전에 생성한 Snowflake 사용자 이름, 예를 들면 종료 날짜 필드를 열어 날짜 모달을 엽니다. 사용 가능한 범위에서 미리 설정된 날짜 범위를 선택하거나 사용자 지정 날짜를 선택할 수 있습니다:

      The date modal displays a calendar view, and fields at the bottom for "From Time" and "To Time."

    • 데이터(GB): 이 옵션을 선택하면 지정된 크기(기가바이트 단위)의 데이터 세트에 대해 리플레이를 실행합니다.

      • 드롭다운에서 옵션 중 하나를 선택하세요. 데이터 드롭다운.

      • 데이터 세트가 최신 n 기가바이트 수를 보장하지는 않습니다.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 리플레이 생성.

    • 예상 실행 시간과 데이터 크기가 표시됩니다.

    • 참고: 룰에 변경사항을 적용한 경우 리플레이를 시작하기 전에 변경사항을 저장해야 합니다.

리플레이가 진행되는 동안 처리된 예상 볼륨과 매치된 이벤트를 포함한 진행 상황이 실시간으로 표시됩니다. 리플레이를 취소하지 않고 언제든지 이 페이지를 나갈 수 있습니다.

매치된 이벤트 비율이 높은 경우 리플레이를 중지하고 디텍션을 튜닝할 것을 권장합니다.

The Panther Console displays a message that says the Replay is processing.

hashtag
리플레이 결과 보기

리플레이가 완료되면 디텍션 페이지에서 총 알러트 수, 총 룰 오류 수, 처리된 볼륨 및 총 매치된 이벤트를 포함한 알러트 요약을 볼 수 있습니다. 모든 알러트는 해당 시간 범위 동안 룰이 활성화되었다면 표시되었을 방식으로 나타납니다.

이 페이지에서 알러트를 필터링하고 각 알러트와 연결된 이벤트를 볼 수 있습니다.

The Replay Test Summary shows the number of alerts, rule errors, estimated volume processed, and total matched events.

자세한 정보를 보려면 알러트를 클릭하세요. 알러트 페이지에서 Details 탭을 클릭하면 룰이 활성화되어 있었다면 알러트가 전송되었을 대상지를 확인할 수 있습니다. 이 페이지에는 리플레이의 시작 시간, 종료 시간 및 기간도 포함됩니다.

참고: 데이터를 리플레이하는 동안에는 알러트가 대상지로 전송되지 않습니다.

The alert's Details page shows more information, including the destination where you would expect the alert to be sent.
이전테스트다음프레임워크 매핑 및 MITRE ATT&CK® 매트릭스

마지막 업데이트

도움이 되었나요?