풍부화(Enrichment)

추가 소스의 컨텍스트로 Panther의 로그 데이터를 보강하기

개요

Enrichment는 본질적으로 들어오는 로그의 특정 필드를 가져와 추가 정보로 확장하는 것을 의미합니다. 이는 조직 데이터(직원 기록 또는 클라우드 인프라 계정 데이터 등)를 디텍션에서 참조하거나 알러트로 전달해야 할 때 특히 유용할 수 있습니다.

Panther에서는 이 추가 enrichment 데이터를 사용자 정의 enrichment 테이블에 저장하거나 Panther가 관리하는 enrichment를 활성화할 수 있습니다. Panther의 이러한 enrichment 기능을 사용하면 배경 잡음을 줄이고 더 높은 충실도의 디텍션을 작성하며 더 유익한 알러트를 제공할 수 있습니다.

한 번 enrichment 소스가 설정되면, 당신은 저장된 데이터를 볼 수 있고 와 enriched 로그 이벤트를.

Enrichment 소스 또는 테이블은 교환 가능하게 "lookup tables"라고도 불립니다.

를 생성할 수 있습니다.

사용자 정의 enrichment를 사용하면 디텍션과 알러트에 사용자 정의 컨텍스트를 추가할 수 있습니다. Enrichment를 사용하면 디텍션을 향상시키고 알러트 소음을 줄이며 조사 속도를 높여 시간을 절약할 수 있습니다.

사용자 정의 enrichment가 유용할 수 있는 경우:

IP를 자산/사용자 이름이나 지리 위치 세부정보로 변환
IP를 유형별로 그룹화(예: 개발 대 운영)
AWS 계정 ID에 컨텍스트 추가

사용자 정의 enrichment 설정 방법을 알아보려면 사용자 정의 Enrichments.

Panther가 관리하는 enrichments

검색: 추가로 할 일

Anomali ThreatStream는 다양한 위협 피드를 정규화하고 중복 제거하며 오탐을 제거하고 위협 데이터를 enrichment한 다음 관련된 모든 위협 지표를 연관시켜 단일 고충실도 저장소로 집계합니다.

Panther가 관리하는 Anomali ThreatStream enrichment는 귀하의 Anomali 지표 데이터를 Panther로 수집된 로그 이벤트와 매칭하여 고충실도 알러트를 제공합니다.

Anomali ThreatStream는 "자체 API 키를 제공하는" 로그 풀러입니다. Anomali ThreatStream enrichment 사용 방법을 알아보려면 검색: 추가로 할 일.

Google Workspace 사용자 프로필

Panther는 다음에서 사용자 데이터를 검색하여 저장할 수 있습니다 Google Workspace 한번 이를 로그 소스로 구성하면. 그런 다음 이 데이터를 디텍션 로직과 검색 쿼리에서 참조할 수 있습니다.

Google Workspace 로그 소스를 enrichment용으로 구성하는 방법을 알아보려면 그 위에.

GreyNoise

GreyNoise 인터넷 전역의 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대규모 스캐닝을 수행하는 IP를 식별하고 라벨링하여 보안팀이 배경 잡음을 걸러내도록 도와 더 빠르고 정확한 위협 탐지를 가능하게 합니다.

GreyNoise 위협 인텔리전스 데이터로 로그를 enrichment하는 방법을 알아보려면 GreyNoise.

IPinfo

IPinfo는 지리 위치, ASN 및 프라이버시 데이터 등 IP 주소에 대한 컨텍스트 정보를 제공합니다. IPinfo 데이터를 사용하여 의심스럽거나 고위험 행위를 식별할 수 있습니다.

IPinfo 데이터세트를 활용하는 방법을 알아보려면 IPinfo.

Open Threat Exchange (OTX)

Open Threat Exchange(OTX)는 기여자들이 새로운 위협을 식별하기 위해 협업하는 AlienVault의 커뮤니티 기반 위협 인텔리전스 플랫폼입니다. Panther의 OTX enrichment는 Panther로 수집된 로그 이벤트와 OTX 펄스 데이터를 매칭하여 더 높은 충실도의 알러트를 생성합니다.

OTX는 "자체 API 키를 제공하는" 로그 풀러. OTX enrichment 사용 방법을 알아보려면 Open Threat Exchange (OTX).

MISP

MISP 경고 목록은 잠재적 오탐 또는 오류와 연관될 수 있는 잘 알려진 지표들의 모음입니다. 이 컨텍스트는 특정 위협 지표가 합법적인지 여부를 평가하는 데 유용할 수 있습니다.

MISP 경고 목록 enrichment를 활성화하는 방법을 알아보려면 MISP 경고 목록.

Okta 사용자 및 디바이스 프로필

Panther는 다음에서 사용자 및 디바이스 데이터를 검색하여 저장할 수 있습니다 Okta 한번 이를 로그 소스로 구성하면. 그런 다음 이 데이터를 디텍션 로직과 검색 쿼리에서 참조할 수 있습니다.

Okta 로그 소스를 enrichment용으로 구성하는 방법을 알아보려면 Okta 프로필.

Snowflake

Snowflake 인스턴스의 사용자 및 역할 정보와 같은 데이터로 로그를 enrichment하십시오.

Snowflake enrichment 설정 방법을 알아보려면 Snowflake Enrichment.

에서 확인하세요

Tor는 때때로 악의적 행위자가 자신의 위치를 숨기기 위해 사용하는 익명화 네트워크입니다. Panther가 관리하는 Tor enrichment에는 Tor Exit Node의 IP 주소가 포함되어 있습니다.

Tor Exit Nodes enrichment 사용 방법을 알아보려면 에서 확인하세요.

TrailDiscover

TrailDiscover는 자세한 설명, MITRE ATT&CK 통찰, 실제 사고 참조, 연구 링크 및 보안 영향에 관한 정보를 포함하는 CloudTrail 이벤트의 지속적으로 진화하는 저장소입니다.

TrailDiscover로 enrichment하는 방법을 알아보려면 TrailDiscover.

Panther가 관리하는 enrichment 방법

"자체 API 키 제공" 로그 풀러

이 enrichment 소스는 enrichment 소스에서 API 키를 생성한 다음 이를 Panther에 입력하도록 요구합니다:

Panther 로그 소스 풀러

이러한 enrichment 소스는 로그 소스 Panther에 설정한

추가 enrichment 소스

이러한 enrichment 소스는 Detection Packs 또는 프로그램 방식으로 업로드할 수 있습니다:

Enrichment 보기 및 관리

enrichment 세부정보 페이지를 사용하여 enrichment 데이터를 보고, 검증하고, 관리하십시오.

enrichment 세부정보 페이지에 접근하려면:

Panther 콘솔의 왼쪽 내비게이션 바에서 클릭하십시오 구성 > Enrichments.
세부 정보를 보려는 enrichment의 이름을 클릭하십시오.
- enrichment 세부정보 페이지로 이동하면 세 가지 탭 사이를 탐색할 수 있습니다: Lookup Table, 인리치된 로그 유형및 필요한 경우.

An "ipinfo_location_datalake" table is shown, with columns like "City," "Country," and "Joinkey."

다음에 대해 "Lookup Table Not Available" 메시지가 표시됩니다 IPInfo CIDR 데이터세트(데이터 레이크에 저장되지 않음).

enrichment 데이터가 포함된 로그 이벤트 보기

로그 이벤트는 관련된 디텍션을 통과하기 전에 enrichment되지만, 데이터 레이크에 저장될 때에는 enrichment되지 않습니다. 이는 데이터 레이크에서 쿼리한 로그 데이터에는 p_enrichment. (시그널 에서 쿼리된 panther_signals.public.correlation_signals그러나 포함된 enrichment 데이터를 포함합니다.)

enriched 로그 이벤트가 귀하의 디텍션에 의해 처리될 때 어떻게 보일지 아는 것이 유용할 수 있습니다. 정확한 재현을 위해, 당신은 단위 테스트로 로그 이벤트를 enrichment할 수 있습니다정확한 재현의 경우, 당신은 Data Explorer에서 조인을 수행할 수 있습니다.

또한 Search를 사용하여 특정 이벤트 값과 연결된 enrichment 데이터를 볼 수 있습니다—여기서 그 방법을 알아보세요.

단위 테스트로 로그 이벤트 enrichment

enriched 로그 이벤트가 귀하의 디텍션에 의해 처리될 때 어떻게 보일지 완벽하게 재현하려면, 단위 테스트를 생성하십시오이벤트를 추가하고, 그리고 테스트 데이터를 enrichment하십시오(그런 다음 단위 테스트를 저장할 필요는 없습니다.)

로그 및 enrichment 데이터 조인

안에 panther_monitor다음과 같이 로그 데이터와 enrichment 데이터 사이에서 조인을 수행할 수 있습니다:

with logs as 
(select * from panther_logs.public.my_logs),
lookup as (select * from panther_lookups.public.my_lookup_table) 
select logs.fieldA, lookup.fieldB 
from logs join lookup on logs.selector_field = lookup.key_field

enrichment 문제 해결

Panther 지식 기반을 방문하여 enrichment에 관한 문서를 보십시오 자주 묻는 질문에 답하고 일반적인 오류와 문제를 해결하는 데 도움이 됩니다.

이전PantherFlow 예제: Panther 감사 로그 다음맞춤 풍부화

마지막 업데이트 1개월 전

도움이 되었나요?

hashtag개요

hashtag를 생성할 수 있습니다.

hashtagPanther가 관리하는 enrichments

hashtag검색: 추가로 할 일

hashtagGoogle Workspace 사용자 프로필

hashtagGreyNoise

hashtagIPinfo

hashtagOpen Threat Exchange (OTX)

hashtagMISP

hashtagOkta 사용자 및 디바이스 프로필

hashtagSnowflake

hashtag에서 확인하세요

hashtagTrailDiscover

hashtagPanther가 관리하는 enrichment 방법

hashtag"자체 API 키 제공" 로그 풀러

hashtagPanther 로그 소스 풀러

hashtag추가 enrichment 소스

hashtagEnrichment 보기 및 관리

hashtagenrichment 데이터가 포함된 로그 이벤트 보기

hashtag단위 테스트로 로그 이벤트 enrichment

hashtag로그 및 enrichment 데이터 조인

hashtagenrichment 문제 해결

개요