사용자 정의 보강 예제

다음은 탐지에 사용자 정의 보강을 사용하는 예시입니다.

1Password UUID를 사람이 읽을 수 있는 이름으로 변환하는 예시

1Password의 범용 고유 식별자(UUID) 값을 사람이 읽을 수 있는 이름으로 변환하기 위해 사용자 정의 보강을 사용하는 방법에 대한 가이드를 참조하십시오: 사용자 정의 보강 사용: 1Password UUID.

Panther 콘솔을 통한 CIDR 일치 사용 예시

예시 시나리오: 회사 IP 범위(예: VPN 및 호스팅된 시스템)에서 발생한 트래픽 로그를 공용 IP 범위에서 발생한 다른 로그와 다르게 처리하는 탐지를 작성하려고 한다고 가정해 보겠습니다.

회사에서 허용된 CIDR 블록 목록이 .csv 파일에 나열되어 있습니다(예: 4.5.0.0/16):

CIDR 목록으로 사용자 정의 보강을 설정합니다

1. 다음을 따르세요 파일 업로드를 통한 사용자 정의 보강 설정 지침 그리고 기본 정보를 구성합니다.

   • 이 예제에서 보강의 이름은 회사 CIDR 블록.

2. 연관된 로그 유형 페이지에서 로그 유형과 선택기를 선택하십시오.

   • 이 예에서는 AWS.VPCFlow 로그를 사용하고 출발지 IP(srcAddr) 및 목적지(dstAddr) 키를 연관시켰습니다.

3. 보강에 대한 스키마를 연관시킵니다: 목록에서 기존 스키마를 선택하거나 새 스키마 생성.

   • 참고: CIDR 블록을 보유할 기본 키 열에는 CIDR 유효성 검사가 스키마에 적용되어야 하며, 이는 이 보강이 IP 주소에 대해 CIDR 블록 일치를 수행함을 나타냅니다. 로그 스키마 참조를 참조하십시오.

     Copy

     # 유효한 ip6 CIDR 범위를 허용합니다
     # 예: 2001:0db8:85a3:0000:0000:0000:0000:0000/64
     - name: address
       유형: 문자열
       validate:
         cidr: "ipv6" 
         
     # 유효한 ipv4 IP 주소를 허용합니다. 예: 100.100.100.100/00
     - name: address
       유형: 문자열
       validate:
         cidr: "ipv4"  

4. 파일을 끌어다 놓거나 클릭 파일 선택 하여 가져올 CIDR 블록 목록 파일을 선택하십시오. 파일은 .csv 또는 .json 형식이어야 합니다. 지원되는 최대 파일 크기는 5MB입니다.

5. 파일을 성공적으로 가져온 후, 클릭하십시오 데이터 탐색기에서 보기 해당 테이블 데이터를 쿼리하거나 클릭하여 설정 완료 사용자 정의 보강 목록으로 돌아갑니다.

탐지 작성

VPC 트래픽이 회사의 허용 CIDR 블록에 속하지 않는 출발지 IP 주소에서 오는 경우 경고를 받고 싶을 수 있습니다. 이 경우 경고를 보낼 규칙의 예시는 다음과 같습니다:

참고: 이 예제에서 보강 스키마에 적용된 CIDR 유효성 검사 은 시스템이 VPC 흐름 로그의 IP 주소를 조회의 CIDR 블록과 일치시킬 수 있도록 합니다.

Panther 분석 도구로 IP를 사용한 지리 위치 예시

직원들이 어느 지리적 위치에서 연결하고 있는지 알고 싶다고 가정해 보겠습니다(예: geonames.org와 같은 정보를 사용). 이 시나리오에서 회사는 CIDR을 GeoId에 매핑하는 정적 파일을 보유하고 있으며, 이는 이 example_cidr_lookup_content.csv.

다음과 유사한 YAML 스키마를 사용할 수 있습니다: