Anomali ThreatStream

개요

다음 도구를 사용할 수 있습니다 검색: 추가로 할 일 Panther에서 인리치먼트 소스로 사용됩니다. ThreatStream은 위협 데이터를 정규화하고 중복을 제거하며 false positive를 제거하고 데이터를 풍부하게 하여 여러 위협 피드를 단일 고충실도 저장소로 집계한 다음 관련된 모든 위협 인디케이터를 연관시킵니다.

방법 알아보기 여기에서 저장된 증가 데이터를 보는 방법 및 방법 여기에서 인리치먼트 데이터가 포함된 로그 이벤트 보기.

Panther에서 Anomali ThreatStream 인리치먼트 제공자가 작동하는 방식

기본적으로 Anomali ThreatStream은 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다(하지만 비활성화하는 것이원하는 경우 가능). Panther는 모든 로그 유형의 각 수신 로그 이벤트를 디텍션 엔진을 통과하기 전에 Anomali 인리치먼트 데이터와 매칭하려고 시도합니다.

Panther가 매치를 식별하면 수신 이벤트와 Anomali 항목 간에 매치가 발생하면 Anomali 데이터가 최상위 p_enrichment 키 아래에 일치하는 로그 이벤트에 추가되며 디텍션 로직과 검색에서 참조할 수 있습니다.

Anomali에 동일한 인디케이터에 대해 여러 항목이 포함된 경우, 활성 Anomali 항목이 하나만 있으면 Panther는 해당 항목을 사용합니다. 여러 활성 Anomali 항목이 있는 경우 Panther는 신뢰도 점수가 가장 높은 활성 항목을 사용합니다.

인리치먼트 소스를 사용한 디텍션 작성에 대한 자세한 내용은 인리치먼트 데이터를 사용한 디텍션 작성.

로그 이벤트와 Anomali 간의 매치가 이루어지는 방법

매치가 발견되면 로그 이벤트는 Anomali 인리치먼트 데이터(아래 p_enrichment)로 인리치됩니다. 매치는 다음 간에 발생합니다:

• 각 연결된 로그 유형에 구성된 Selector 필드의 값들 중 어느 하나.

  • 각 로그 유형에 대해 기본 Selector는 해당 지표 필드 (다음으로 표시됨 p_any_*), 비록 선택자는 구성 가능합니다.

• 의 값은 match Panther의 Anomali 테이블 항목에서의 키입니다.

  • match 은 Anomali 테이블의 기본 키이며 Panther에 의해 사전 설정됩니다.

  • 다음의 예를 참조하세요 match 에서 아래의 Anomali 테이블 항목 예.

Anomali ThreatStream 인리치먼트 설정

1단계: Anomali에서 API 키 생성

• 다음을 따르세요 Anomali 문서 에서 API 키를 생성하여 읽기 전용 액세스를 부여하고 Panther에서 사용합니다.

2단계: Anomali에 Panther IP 주소를 허용 목록에 추가

2.1단계: Panther 게이트웨이 공용 IP 주소 찾기

1. Panther 콘솔 오른쪽 상단에서 클릭하십시오 > 일반.

2. 페이지 하단의 푸터에서 다음을 찾으십시오 게이트웨이 공용 IP.

   • 다음 단계에서 사용할 것이므로 이 값을 안전한 위치에 보관하십시오.

2.2단계: Anomali에 IP를 허용 목록에 추가

• 다음을 따르세요 Anomali 문서 Panther 게이트웨이 IP 주소를 Anomali IP 허용 목록에 추가하려면 다음을 사용하십시오.

3단계: Panther에서 Anomali ThreatStream 인리치먼트 제공자 생성

Panther에서 Anomali ThreatStream 인리치먼트 제공자를 활성화하려면:

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > Enrichments.

2. 을 클릭하세요 사용자 정의 인리치먼트 Panther 콘솔 또는 PAT를 통해 S3 버킷에서 데이터 동기화를 설정할 수 있습니다:

3. 오른쪽 상단에서 새로 만들기.

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Anomali.

5. 일반 구성 인리치먼트 설정 폼에서 다음 필드에 대한 값을 제공하십시오:

   • 이름: 통합에 대한 설명 이름을 입력하십시오.

   • Anomali 하위 도메인: Anomali 하위 도메인을 입력하십시오.

   • 사용자 이름: Anomali 사용자 이름을 입력하십시오.

   • API 토큰: 에서 생성한 API 토큰을 입력하십시오 1단계.

   • ThreatStream 인디케이터 쿼리: Panther가 인리치먼트를 구성하기 위해 사용할 인디케이터 쿼리를 제공하십시오.

     • 이 필드의 플레이스홀더 텍스트는 예제 쿼리를 보여줍니다: feed_id=42 and status="active"

     • 쿼리를 Panther에 제공하기 전에 Anomali ThreatStream 인터페이스에서 쿼리를 테스트하는 것이 권장됩니다.

   • 새로고침 기간(분): Panther가 Anomali ThreatStream 인리치먼트 제공자 데이터를 새로 고치는 빈도를 결정하는 새로 고침 기간을 설정하십시오. 기본값 및 최소 새로 고침 기간은 60분입니다.

6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

7. 다음 페이지에서 클릭하십시오 저장.

   • 새 Anomali ThreatStream 구성은 다음에서 볼 수 있습니다 구성 > 엔리치먼트 프로바이더 페이지를 참조하세요.

로그 유형에 대한 Anomali ThreatStream 인리치먼트 활성화, 비활성화 또는 수정

Anomali ThreatStream은 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.

특정 로그 유형에 대해 Anomali를 비활성화(또는 나중에 활성화)하거나 Selector를 변경하려면:

1. Panther 콘솔의 왼쪽 탐색 바에서 구성 > Enrichments.

2. 내부의 Enrichments 목록에서 수정하려는 Anomali ThreatStream 소스를 찾아 이름을 클릭하십시오.

3. 제공자 세부 페이지에서, 인리치된 로그 유형 헤더 오른쪽에 있는 편집을 클릭.

   • 이 인리치먼트를 새 로그 유형에 대해 활성화하려면 클릭하십시오 로그 유형 추가.

     • 채워진 새 행에서, 를 선택하고 로그 유형 그리고, 셀렉터 필드에 하나 이상의 이벤트 필드를 선택하십시오.

   • 이 인리치먼트를 로그 유형에 대해 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하십시오.

   • 로그 유형에 대한 선택기를 변경하려면, 셀렉터 필드로 들어가 이벤트 필드의 선택을 추가하거나 제거하십시오.

4. 오른쪽 상단의 인리치된 로그 유형 타일에서 "Resource": "<secret ARN>".

Anomali ThreatStream 인리치먼트 테이블 항목 예

아래는 쿼리 feed_id=336: