보강(Enrichment)
추가 소스의 컨텍스트로 Panther의 로그 데이터를 보강하기
개요
Enrichment는 실질적으로 들어오는 로그의 특정 필드를 가져와 추가 정보로 확장하는 것을 의미합니다. 이는 조직 데이터(예: 직원 기록 또는 클라우드 인프라 계정 데이터)를 탐지에서 참조하거나 경고에 전달해야 할 때 특히 유용할 수 있습니다.
Panther에서는 이러한 추가 보강 데이터를 사용자 정의 보강 테이블에 저장하거나 Panther가 관리하는 보강을 활성화할 수 있습니다. Panther의 이러한 보강 기능을 사용하면 배경 잡음을 줄이고 더 고정밀도의 탐지를 작성하며 더 유익한 경고를 제공할 수 있습니다.
보강 소스가 설정되면 저장된 데이터를 볼 수 있습니다 및 보강된 로그 이벤트.
보강 소스나 테이블은 상호 교환적으로 "조회 테이블(lookup tables)"이라고도 불립니다.
(선택 사항) 5단계: 인리치먼트 설정
사용자 정의 보강은 탐지 및 경고에 사용자 정의 컨텍스트를 추가할 수 있게 해줍니다. 보강을 사용하면 탐지를 향상시키고 경고 노이즈를 줄이며 조사 속도를 높여 시간을 절약할 수 있습니다.
사용자 정의 보강은 다음에 유용할 수 있습니다:
IP를 자산/사용자 이름 또는 지리 위치 세부정보로 변환
IP를 유형별로 그룹화(예: 개발 대 운영)
AWS 계정 ID에 컨텍스트 추가
사용자 정의 보강을 설정하는 방법을 알아보려면 사용자 정의 보강.
Panther가 관리하는 보강
스케줄드 검색을 생성하세요
Anomali ThreatStream은 여러 위협 피드를 정규화, 중복 제거, 오탐 제거 및 보강하여 단일 고정밀 저장소로 집계한 다음 관련된 모든 위협 지표를 연관시킵니다.
Panther가 관리하는 Anomali ThreatStream 보강은 Anomali 지표 데이터를 Panther에 수집된 로그 이벤트와 대조하여 고정밀 경고를 생성합니다.
Anomali ThreatStream은 "자체 API 키를 사용"하는 로그 풀러입니다. Anomali ThreatStream 보강을 사용하는 방법을 알아보려면 스케줄드 검색을 생성하세요.
Google Workspace 사용자 프로필
Panther는 Google Workspace 을(를) 로그 소스로 구성하면 사용자 데이터를 검색하여 저장할 수 있습니다. 그런 다음 이 데이터는 탐지 논리와 검색 쿼리에서 참조될 수 있습니다.
Google Workspace 로그 소스를 보강용으로 구성하는 방법을 알아보려면 를 생성할 수 있습니다..
GreyNoise
GreyNoise 는 인터넷 전역의 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대규모 스캐닝을 수행하는 IP를 식별하고 라벨링하여 보안팀이 배경 잡음을 걸러내고 더 빠르고 정확한 위협 감지를 할 수 있게 돕습니다.
GreyNoise 위협 인텔리전스 데이터로 로그를 보강하는 방법을 알아보려면 GreyNoise.
IPinfo
IPinfo는 IP 주소에 대한 지리 위치, ASN 및 프라이버시 데이터 등 컨텍스트 정보를 제공합니다. IPinfo 데이터를 사용하여 의심스러운 또는 고위험 행위자를 식별할 수 있습니다.
IPinfo 데이터셋을 활용하는 방법을 알아보려면 IPinfo.
Open Threat Exchange (OTX)
Open Threat Exchange(OTX)는 기여자들이 신흥 위협을 식별하기 위해 협력하는 AlienVault의 커뮤니티 기반 위협 인텔리전스 플랫폼입니다. Panther의 OTX 보강은 OTX 펄스 데이터를 Panther에 수집된 로그 이벤트와 대조하여 보다 고정밀의 경고를 생성합니다.
OTX는 "자체 API 키를 사용"하는 로그 풀러. OTX 보강을 사용하는 방법을 알아보려면 Open Threat Exchange (OTX).
MISP
MISP 경고 목록은 잠재적인 오탐 또는 오류와 연관될 수 있는 잘 알려진 지표들의 모음입니다. 이 컨텍스트는 특정 위협 지표가 합법적인지 여부를 평가하는 데 유용할 수 있습니다.
MISP 경고 목록 보강을 활성화하는 방법을 알아보려면 MISP 경고 목록.
Okta 사용자 및 장치 프로필
Panther는 Okta 을(를) 로그 소스로 구성하면 사용자 데이터를 검색하여 저장할 수 있습니다. 그런 다음 이 데이터는 탐지 논리와 검색 쿼리에서 참조될 수 있습니다.
을(를) 통해 Okta에서 사용자 및 장치 데이터를 검색하여 저장할 수 있습니다. Okta 프로필.
Snowflake
Snowflake 인스턴스의 사용자 및 역할 정보와 같은 데이터를 사용하여 로그를 보강하세요.
Snowflake 보강을 설정하는 방법을 알아보려면 Snowflake 보강.
검색: 추가 정보
Tor는 때때로 악의적인 행위자가 자신의 위치를 숨기기 위해 사용하는 익명화 네트워크입니다. Panther가 관리하는 Tor 보강에는 Tor 종료 노드의 IP 주소가 포함되어 있습니다.
Tor 종료 노드 보강을 사용하는 방법을 알아보려면 검색: 추가 정보.
TrailDiscover
TrailDiscover는 상세 설명, MITRE ATT&CK 통찰, 실제 사건 참조, 연구 링크 및 보안 영향에 관한 정보를 포함한 지속적으로 진화하는 CloudTrail 이벤트 저장소입니다.
TrailDiscover로 보강하는 방법을 알아보려면 TrailDiscover.
Panther가 관리하는 보강 방식
"자체 API 키를 사용"하는 로그 풀러
이 보강 소스는 보강 소스에서 API 키를 생성한 다음 이를 Panther에 입력하도록 요구합니다:
Panther 로그 소스 풀러
이러한 보강 소스는 로그 소스 에서 보강 데이터를 가져옵니다. 해당 로그 소스는 Panther에 설정되어 있어야 합니다.
추가 보강 소스
이러한 보강 소스는 탐지 팩(Detection Packs) 또는 을 통해 추가할 수 있습니다.:
보강 보기 및 관리
보강 세부정보 페이지를 사용하여 보강 데이터를 보고, 검증하고, 관리하세요.
보강 세부정보 페이지에 액세스하려면:
Panther 콘솔의 왼쪽 탐색 표시줄에서 구성 > 보강(Enrichments).
세부정보를 보려는 보강의 이름을 클릭하세요.
보강 세부정보 페이지로 이동하며 세 개의 탭 간에 탐색할 수 있습니다: 조회 테이블, 보강된 로그 유형, 및 이 프로세스를 완료한 후 데이터 포워더는 아래와 유사하게 보입니다:.
보강 데이터가 포함된 로그 이벤트 보기
로그 이벤트는 관련 탐지를 실행하기 전에 보강되지만 데이터 레이크에 저장될 때는 보강되지 않습니다. 이는 데이터 레이크에서 쿼리된 로그 데이터에는 p_enrichment. (신호(Signals) 에서 쿼리된 panther_signals.public.correlation_signals은(는) 보강 데이터를 포함하고 있습니다.)
보강된 로그 이벤트가 탐지에 의해 처리될 때 어떻게 보일지 아는 것은 유용할 수 있습니다. 정확하게 재현하려면, 단위 테스트로 로그 이벤트를 보강하세요정확한 재현이 아닌 대략적인 재현을 원할 경우, Data Explorer에서 조인을 수행하세요.
또한 Search를 사용하여 특정 이벤트 값과 연관된 보강 데이터를 볼 수 있습니다—여기에서 수행 방법을 알아보세요.
단위 테스트로 로그 이벤트 보강하기
보강된 로그 이벤트가 탐지에 의해 처리될 때 어떻게 보일지 완벽하게 재현하려면, 단위 테스트를 생성하세요이벤트를 추가한 다음, 테스트 데이터를 보강하세요(그런 다음 단위 테스트를 저장할 필요는 없습니다.)
로그와 보강 데이터 조인하기
내에서 데이터 탐색기다음과 같은 쿼리로 로그 데이터와 보강 데이터 간의 조인을 수행할 수 있습니다:
보강 문제 해결
Panther 지식 기반을 방문하여 보강에 관한 문서를 보기 자주 묻는 질문에 답하고 일반적인 오류 및 문제 해결에 도움을 주는 문서입니다.
Last updated
Was this helpful?