커스텀 보강 예시

다음은 디택션에 사용자 지정 인리치먼트를 사용하는 예시입니다.

1Password UUID를 사람이 읽을 수 있는 이름으로 변환하는 예시

1Password의 범용 고유 식별자(UUID) 값을 사람이 읽을 수 있는 이름으로 변환하기 위해 사용자 지정 인리치먼트를 사용하는 방법에 대한 가이드는 다음을 참조하십시오: 사용자 지정 인리치먼트 사용: 1Password UUID.

Panther 콘솔을 통한 CIDR 매칭 사용 예시

예시 시나리오: 예를 들어 회사 IP 공간(예: VPN 및 호스팅된 시스템)에서 오는 트래픽 로그를 공개 IP 공간에서 발생한 다른 로그와 다르게 처리하는 디택션을 작성하고 싶다고 가정해 보겠습니다.

회사에서 허용하는 CIDR 블록 목록이 다음 형식의 .csv 파일에 있습니다(예: 4.5.0.0/16):

CIDR 목록으로 사용자 지정 인리치먼트를 설정하십시오

1. 다음 지침을 따라 파일 업로드를 통해 사용자 지정 인리치먼트를 설정하고 기본 정보를 구성하십시오.

   • 이 예에서 인리치먼트의 이름은 회사 CIDR 블록.

2. 연관된 로그 유형 페이지에서 로그 유형과 셀렉터를 선택하십시오.

   • 이 예에서는 AWS.VPCFlow 로그를 사용하고 소스 IP(srcAddr) 및 목적지(dstAddr) 키를 연관시켰습니다.

3. 인리치먼트에 대한 스키마를 연관시키세요: 목록에서 기존 스키마를 선택하거나 새 스키마 생성.

   • 참고: CIDR 블록을 보유할 기본 키 열에는 CIDR 유효성 검사가 스키마에 적용되어야 하며 이는 이 인리치먼트가 IP 주소에 대해 CIDR 블록 매칭을 수행함을 나타냅니다. 로그 스키마 참조를 참조하십시오.

     복사

     # 유효한 ipv6 CIDR 범위를 허용합니다
     # 예: 2001:0db8:85a3:0000:0000:0000:0000:0000/64
     - name: address
       type: string
       validate:
         cidr: "ipv6" 
         
     # 유효한 ipv4 IP 주소를 허용합니다 예: 100.100.100.100/00
     - name: address
       type: string
       validate:
         cidr: "ipv4"  

4. 파일을 드래그 앤 드롭하거나 클릭하세요 파일 선택 하여 가져올 CIDR 블록 목록 파일을 선택하세요. 파일은 .csv 또는 .json 형식이어야 합니다. 지원되는 최대 파일 크기는 5MB입니다.

5. 파일을 성공적으로 가져온 후, 클릭하십시오 데이터 탐색기에서 보기 해당 테이블 데이터를 쿼리하거나 클릭하십시오 설정 완료 사용자 지정 인리치먼트 목록으로 돌아갑니다.

디택션 작성

VPC 트래픽이 회사에서 허용한 CIDR 블록의 일부가 아닌 소스 IP 주소에서 오는 경우 알러트를 받고 싶을 수 있습니다. 다음은 이 경우 알러트를 보낼 룰의 예입니다:

참고: 이 예제의 인리치먼트 스키마에 적용된 CIDR 유효성 검사 은 시스템이 VPC 플로우 로그의 IP 주소를 룩업의 CIDR 블록과 매칭할 수 있게 합니다.

Panther 분석 도구를 사용한 IP 기반 지리적 위치 예시

예를 들어 직원들이 어느 지리적 위치에서 접속하는지 알고 싶을 수 있습니다(예: geonames.org와 같은 정보를 사용). 이 시나리오에서 회사는 CIDR을 GeoId에 매핑하는 정적 파일을 보유하고 있으며, 이는 이 example_cidr_lookup_content.csv.

다음과 유사한 YAML 스키마를 사용할 수 있습니다: