맞춤 풍부화 예시

다음은 디텍션에 커스텀 인리치먼트를 사용하는 예입니다.

1Password UUID를 사람이 읽을 수 있는 이름으로 변환하는 예

1Password의 범용 고유 식별자(UUID) 값을 사람이 읽을 수 있는 이름으로 변환하기 위해 커스텀 인리치먼트를 사용하는 방법에 대한 가이드를 참조하세요: 커스텀 인리치먼트 사용: 1Password UUIDs.

Panther 콘솔을 통한 CIDR 매칭 사용 예

예시 시나리오: 트래픽 로그를 회사 IP 영역(예: VPN 및 호스팅된 시스템)에서 오는 로그와 공용 IP 영역에서 오는 다른 로그와 다르게 고려하는 디텍션을 작성하려고 한다고 가정해보겠습니다.

회사에서 허용하는 CIDR 블록 목록을 .csv 파일(예: 4.5.0.0/16):

CIDR 목록으로 커스텀 인리치먼트를 설정하세요

1. 다음을 따르세요 파일 업로드를 통해 커스텀 인리치먼트를 설정하는 지침 그리고 기본 정보를 구성하세요.

   • 이 예에서 인리치먼트의 이름은 회사 CIDR 블록.

2. 연관된 로그 유형 페이지에서 로그 유형과 셀렉터를 선택하세요.

   • 이 예에서는 AWS.VPCFlow 로그를 사용하고 소스 IP(srcAddr)와 목적지(dstAddr) 키를 연관시켰습니다.

3. 인리치먼트에 대한 스키마를 연관시키세요: 목록에서 기존 스키마를 선택하거나 새 스키마 생성.

   • 참고: CIDR 블록을 보유할 기본 키 열에는 CIDR 스키마에서 이 인리치먼트가 IP 주소에 대해 CIDR 블록 매칭을 수행함을 나타내는 검증이 적용되어야 합니다. 로그 스키마 참조를 참조하세요.

     복사

     # 유효한 ip6 CIDR 범위를 허용합니다
     # 예: 2001:0db8:85a3:0000:0000:0000:0000:0000/64
     - name: address
       type: string
       검증:
         cidr: "ipv6" 
         
     # 예: 100.100.100.100/00와 같은 유효한 ipv4 IP 주소를 허용합니다
     - name: address
       type: string
       검증:
         cidr: "ipv4"  

4. 파일을 끌어다 놓거나 클릭하세요 파일 선택 가져올 CIDR 블록 목록 파일을 선택하세요. 파일은 .csv 이전에 생성한 Snowflake 사용자 이름, 예를 들면 .json 형식이어야 합니다. 지원되는 최대 파일 크기는 5MB입니다.

5. 파일을 성공적으로 가져온 후, 클릭하세요 데이터 익스플로러에서 보기 해당 테이블 데이터를 쿼리하거나 클릭하여 설정 완료 커스텀 인리치먼트 목록으로 돌아가세요.

디텍션 작성

VPC 트래픽 중 출발지 IP 주소가 회사의 허용 CIDR 블록에 포함되지 않은 경우 알러트를 받고 싶을 수 있습니다. 이 경우 알러트를 전송하는 룰의 예는 다음과 같습니다:

참고: CIDR 검증 이 예제에서 인리치먼트 스키마에 적용된 것은 시스템이 VPC 플로우 로그의 IP 주소를 조회의 CIDR 블록과 매칭할 수 있게 해줍니다.

Panther 분석 도구로 IP를 사용한 지리 위치 예

직원들이 어느 지리적 위치에서 연결하고 있는지 알고 싶다고 가정해보겠습니다(예: geonames.org와 같은 정보를 사용). 이 시나리오에서 회사는 CIDR을 GeoId에 매핑하는 정적 파일을 가지고 있으며, 아래의 example_cidr_lookup_content.csv.

다음과 유사한 YAML 스키마를 사용할 수 있습니다: