예시: 문자열 배열 vs. 문자열 기본 키 유형
수신 로그 이벤트가 특정 사용자와 연결될 때 추가 개인 정보로 보강되도록, 사용자 데이터를 사용자 정의 보강 테이블에 저장하고 싶다고 합시다. 사용자의 이메일 주소로 일치시키고 싶으므로, 이메일 필드가 보강 테이블의 기본 키이자 로그 이벤트의 선택기가 됩니다.
보강 테이블의 기본 키 열을 string 유형으로 할지 string array 유형으로 할지 결정하고 있습니다.
먼저, 로그 소스에서 수신할 것으로 예상되는 아래 두 이벤트를 검토해 보세요:
```json
# 수신 로그 이벤트 1
{
"actor_email": "janedoeemailone@mail.com",
"action": "LOGIN"
}
# 수신 로그 이벤트 2
{
"actor_email": "janedoeemailtwo@mail.com",
"action": "EXPORT_FILE"
}
```
두 이메일 주소(`janedoeemailone@mail.com` 및 `janedoeemailtwo@mail.com`)는 같은 사용자, `Jane Doe`.
에 속합니다. Panther가 이러한 이벤트를 수신하면, 보강 테이블을 사용해 각각을 Jane의 전체 이름과 역할로 보강하고 싶을 것입니다. 보강 후에는 이 이벤트들이 다음과 같이 보일 것입니다:
# 보강 후 로그 이벤트 1
{
"actor_email": "janedoeemailone@mail.com",
"action": "LOGIN",
"p_enrichment": {
"<lookup_table_name>": {
"actor_email": {
"full_name": "Jane Doe",
"p_match": "janedoeemailone@mail.com",
"role": "ADMIN"
}
}
}
}
# 강화 후 두 번째 로그 이벤트
{
"actor_email": "janedoeemailtwo@mail.com",
"action": "EXPORT_FILE",
"p_enrichment": {
"<lookup_table_name>": {
"actor_email": {
"full_name": "Jane Doe",
"p_match": "janedoeemailtwo@mail.com",
"role": "ADMIN"
}
}
}
}
다음 중 하나를 사용하여 사용자 지정 강화를 정의함으로써 이 강화를 수행할 수 있습니다:
* (권장) 문자열 배열 형식의 기본 키 열
* 문자열 형식의 기본 키 열
문자열 배열 형식의 기본 키 열이 있는 강화 테이블을 사용하면 Jane의 여러 이메일 주소를 하나의 기본 키 항목에 포함하여 하나의 데이터 행과 연결할 수 있습니다. 이는 다음과 같이 보일 수 있습니다:
또는 문자열 형식의 기본 키 열이 있는 강화 테이블을 정의할 수 있습니다. 하지만 이벤트와 강화 테이블 간의 일치는 사용자의 이메일 주소를 기준으로 이루어지고, Jane의 경우에서 보이듯 사용자는 여러 이메일 주소를 가질 수 있으므로 각 이메일마다 강화 테이블 행을 복제해야 합니다. 이는 다음과 같이 보일 수 있습니다:
두 옵션 모두 동일한 결과를 제공하지만(즉, 로그 이벤트가 동일한 방식으로 강화됨), 편의성과 유지 관리 오류 가능성 감소 측면에서 문자열 배열 기본 키로 강화를 정의하는 것이 권장됩니다.
## 사용자 정의 보강 구성 방법
다음 사항을 충족한 후 [사전 요구 사항](#prerequisites-for-configuring-a-custom-enrichment)을 충족하면 다음 방법 중 하나를 사용하여 사용자 지정 강화를 생성하고 구성할 수 있습니다. Panther Console에서는 이제 각 방법이 강화 온보딩 페이지의 전용 타일로 제공되어 빠르고 직접적으로 접근할 수 있습니다:
* [옵션 1: 예약된 검색으로 사용자 지정 강화 데이터 가져오기](#option-1-import-custom-enrichment-data-with-a-scheduled-search)
* **타일: "예약된 쿼리로 데이터 가져오기"**
* 반복 일정에 따라 자동 업데이트되는 데이터 웨어하우스에서 직접 데이터를 가져오는 데 가장 적합합니다.
* 예: 현재 환경에 따라 자동으로 새로 고쳐져야 하는 의심스러운 IP, 사용자 행동 패턴 또는 AWS 계정 매핑을 추적하는 경우.
* [옵션 2: ](#option-2-import-lookup-table-data-via-file-upload)[파일 업로드를 통해 사용자 지정 강화 데이터 가져오기](https://docs.panther.com/enrichment/custom#option-1-import-lookup-table-data-via-file-upload)
* **타일: "CSV 또는 JSON 파일 업로드"**
* AWS 계정 정보나 회사 서브넷과 같이 비교적 정적인 데이터에 가장 적합합니다.
* 파일 업로드를 통해 채워지는 사용자 지정 강화 테이블의 최대 크기는 6MB입니다(API 요청의 페이로드 크기 제한 때문).
* 예: AWS CloudTrail 로그에서 개발 계정과 운영 계정을 구분하기 위한 메타데이터 추가.
* [옵션 3: S3 버킷에서 사용자 지정 강화 데이터 동기화](#option-3-sync-custom-enrichment-data-from-an-s3-bucket)
* **타일: "AWS S3에서 데이터 동기화"**
* 기본 정보 → S3 연결 → 스키마 → 검증의 간소화된 4단계 마법사를 사용합니다.
* 상대적으로 자주 업데이트되는 대량의 데이터가 있을 때 가장 적합합니다. S3 버킷의 변경 사항은 Panther에 동기화됩니다.
* S3 버킷에서 동기화되는 사용자 지정 강화 테이블의 최대 크기는 10GB입니다.
* 예: 회사 직원과 관련된 그룹 및 권한 수준이 무엇인지 알고 싶다고 가정해 보겠습니다. 이 경우 회사는 그룹 및 권한 정보가 포함된 최신 Active Directory 목록 사본이 들어 있는 S3 버킷을 보유하고 있을 수 있습니다.
* [옵션 4: Google Cloud Storage(GCS) 버킷에서 사용자 지정 강화 데이터 동기화](#option-4-sync-custom-enrichment-data-from-a-google-cloud-storage-gcs-bucket)
* **타일: "Google Cloud Storage에서 데이터 동기화"**
* 상대적으로 자주 업데이트되는 대량의 데이터가 있을 때 가장 적합합니다. GCS 버킷의 변경 사항은 Panther에 동기화됩니다.
* GCS 버킷에서 동기화되는 사용자 지정 강화 테이블의 최대 크기는 10GB입니다.
* Panther 인스턴스에서 Google Cloud Storage가 활성화되어 있어야 합니다.
이 방법 중 하나를 선택한 후에는 Panther Console에서 작업하거나 [PAT](/ko/panther/detections-repo/pat.md).
{% hint style="warning" %}
사용자 지정 강화 테이블의 한 행에 대한 최대 크기는 65535바이트입니다.
{% endhint %}
### 옵션 1: 예약된 검색으로 사용자 지정 강화 데이터 가져오기
{% hint style="info" %}
예약된 검색을 사용한 사용자 지정 강화 데이터 가져오기는 Panther 버전 1.117부터 공개 베타이며, 모든 고객이 사용할 수 있습니다. 버그 신고 및 기능 요청은 Panther 지원 팀에 공유해 주세요.
{% endhint %}
사용자 지정 강화 데이터는 다음의 결과로 자동 채워질 수 있습니다. [예약된 검색](/ko/search/scheduled-searches.md). 이 방법을 사용하면 외부 스크립트나 수동 CSV 내보내기가 필요하지 않으며, 정의된 일정에 따라 자동으로 업데이트되는 강화 데이터를 유지할 수 있습니다.
{% hint style="warning" %}
**예약된 검색으로 사용자 지정 강화 데이터를 가져올 때의 제한 사항**
* CIDR 매칭은 사용할 수 없습니다.
* 예약된 검색은 최소 15분 간격으로 실행할 수 있습니다.
* 검색 시간 초과는 15분으로 고정되어 있으며 구성할 수 없습니다.
{% endhint %}