사용자 지정 강화 예제

다음은 디택션에 사용자 지정 enrichment를 사용하는 예시입니다.

1Password UUID를 사람이 읽을 수 있는 이름으로 변환하는 예시

1Password의 범용 고유 식별자(UUID) 값을 사람이 읽을 수 있는 이름으로 변환하기 위해 사용자 지정 enrichment를 사용하는 방법에 대한 가이드를 참조하세요: 사용자 지정 Enrichment 사용: 1Password UUID.

Panther Console을 통한 CIDR 매칭 사용 예시

예시 시나리오: 예를 들어, 회사 IP 공간(VPN 및 호스팅된 시스템 등)에서 발생한 트래픽 로그를 공용 IP 공간에서 발생한 다른 로그와 다르게 고려하는 디텍션을 작성하고 싶다고 해봅시다.

회사에서 허용한 CIDR 블록 목록이 들어 있는 페이지에서 파일을 드래그 앤 드롭하거나 파일(예: 4.5.0.0/16):

CIDR 목록으로 사용자 지정 enrichment 설정

1. 다음을 따르세요 파일 업로드를 통해 사용자 지정 enrichment를 설정하는 지침 그리고 기본 정보를 구성합니다.

   • 이 예시에서 Enrichment의 이름은 Company CIDR Blocks.

2. 연결된 로그 유형 페이지에서 로그 유형과 선택자를 선택합니다.

   • 이 예시에서는 AWS.VPCFlow 로그를 사용하고 소스 IP(srcAddr) 및 대상(dstAddr) 키를 연결했습니다.

3. Enrichment에 대한 스키마를 연결합니다. 목록에서 기존 스키마를 선택하거나 새 스키마를 생성.

   • 참고: CIDR 블록을 보관할 기본 키 열에는 스키마에서 CIDR 검증이 적용되어 있어야 하며, 이는 이 enrichment가 IP 주소에 대해 CIDR 블록 매칭을 수행함을 나타냅니다. 로그 스키마 참조를 확인하세요.

     복사

     # 유효한 ip6 CIDR 범위를 허용합니다
     # 예: 2001:0db8:85a3:0000:0000:0000:0000:0000/64
     - name: address
       type: string
       validate:
         cidr: "ipv6" 
         
     # 유효한 ipv4 IP 주소를 허용합니다. 예: 100.100.100.100/00
     - name: address
       type: string
       validate:
         cidr: "ipv4"  

4. 파일을 끌어다 놓거나 클릭하세요 파일 선택 하여 가져올 CIDR 블록 목록 파일을 선택합니다. 파일은 페이지에서 파일을 드래그 앤 드롭하거나 또는 를 클릭하여 가져올 인리치먼트 데이터 파일을 선택하세요. 파일 형식은 형식이어야 합니다. 지원되는 최대 파일 크기는 5MB입니다.

5. 파일을 성공적으로 가져온 후 Data Explorer에서 보기 를 클릭하여 해당 테이블 데이터를 쿼리하거나 를 참조하세요. 를 클릭하여 사용자 지정 Enrichments 목록으로 돌아갑니다.

디텍션 작성

VPC 트래픽이 회사의 허용 CIDR 블록에 속하지 않는 소스 IP 주소에서 발생하면 알러트를 받고 싶을 수 있습니다. 다음은 이 경우 알러트를 보내는 룰의 예시입니다:

참고: 이 예시에서 Enrichment 스키마에 적용된 CIDR 검증 은 시스템이 VPC 흐름 로그의 IP 주소를 조회의 CIDR 블록과 일치시킬 수 있게 합니다.

Panther Analysis Tool를 사용한 지리적 위치용 IP 사용 예시

직원이 어느 지리적 위치에서 접속하는지 알고 싶다고 해봅시다(예: geonames.org 같은 정보를 사용). 이 시나리오에서 회사는 CIDR을 GeoId에 매핑하는 정적 파일을 가지고 있으며, 다음 example_cidr_lookup_content.csv.

다음과 비슷한 YAML 스키마를 사용할 수 있습니다: