search
Knowledge BaseRelease NotesRequest Demo

커스텀 보강 사용: 1Password UUIDs

Panther의 커스텀 보강을 사용하여 1Password UUID를 친숙한 이름으로 변환하기

hashtag
개요

기본적으로 1Password 로그에는 금고(vault)나 로그인 자격증명과 같은 객체에 대한 사람이 읽을 수 있는 값이 포함되어 있지 않습니다. 대신 각 객체는 범용 고유 식별자(UUID)로 참조됩니다. Panther에서 사용자 지정 보강(enrichment)을 사용하여 UUID를 친숙한 이름으로 변환할 수 있습니다. 명령줄 인터페이스(CLI)를 사용하는 것을 권장하지만 API를 사용하는 것도 가능합니다.

다음 예에서는 CLI를 통해 1Password 항목 및 해당 UUID 목록을 추출한 다음 사용자 지정 보강을 생성하여 UUID를 사람이 읽을 수 있는 친숙한 이름으로 변환했습니다.

hashtag
사전 요구 사항

hashtag
연관된 UUID와 함께 1Password 항목 목록을 얻기

  1. CLI를 통해 1Password에 로그인합니다.

  2. 다음 함수를 사용하여 연관된 UUID를 포함한 1Password 항목 목록을 추출하고 1password_enrichment.json: op item list --format json | jq -c '.[] | {uuid:.id,title:.title,updatedAt:.updatedat}' >> 1password_enrichment.json

    또는 1Password CLI v1을 사용 중이라면 다음 명령을 사용하세요:

    • op list items | jq -c '.[] | {uuid:.uuid,title:.overview.title,updatedAt:.updatedAt}' >> 1password_enrichment.json

circle-info

나중 단계에서 이 1password_enrichment.json을 사용해 스키마를 생성해야 한다는 점에 유의하세요.

스키마 생성에 관한 자세한 내용은 사용자 정의 로그.

hashtag
Panther에서 사용자 지정 보강 생성하기

  1. Panther 콘솔에 로그인합니다. 왼쪽 탐색에서 클릭하세요 구성 > 보강(Enrichments).

  2. 오른쪽 상단에서 클릭하세요 새로 만들기.

  3. 알림 요약 보기 사용자 지정 보강(Custom Enrichment) 카드.

  4. 다음 보강 기본 정보 페이지에서, 추가하고 보강 이름선택적으로 설명과 참고(reference)를 추가합니다. The image shows the Lookup Table Basic Information form. The Lookup Name is set to "1Password Translation."

    • 이 예에서 이름은 “1Password Translation”이고 설명은 “1Password UUID를 사람이 읽을 수 있는 이름으로 변환합니다.”입니다.

    • 참고(Reference) 필드는 일반적으로 관련 내부 리소스에 대한 하이퍼링크를 저장하는 데 사용됩니다.

  5. 클릭 계속.

  6. 연관된 로그 유형(Associated Log Types) 페이지에서 로그 유형을 선택하세요 OnePassword.ItemUsage. 선택자(Selectors) 아래에 다음을 추가하세요 item_uuid. On the Associated Log Types page, the Log Type is set to OnePassword.ItemUsage and the Selectors field is set to item_uuid.

  7. 클릭 계속.

  8. 테이블 스키마(Table Schema) 페이지에서 1Password JSON 파일을 기반으로 생성한 스키마를 추가하세요. 기본 키 이름(Primary Key Name)으로 다음을 선택하세요 uuid.

  9. 클릭 계속.

  10. 데이터 가져오기(Import Data) 페이지에서 클릭하세요 파일 선택(Select file) 그런 다음 OnePasswordItems JSON 파일을 선택합니다.

  11. 클릭 설정 완료 보강 목록으로 돌아가려면.

이제 사용자 지정 보강을 생성했으므로 보강에서 제공하는 추가 컨텍스트를 기반으로 탐지를 작성할 수 있습니다. 다음 섹션에서 이러한 새 값을 사용해 탐지를 작성하는 방법을 다룹니다.

hashtag
탐지 작성

hashtag
탐지를 위한 데이터 얻기

  1. Panther 계정에 로그인한 후 왼쪽 탐색에서 클릭하세요 조사(Investigate) > 데이터 탐색기(Data Explorer).

  2. 새 쿼리를 작성하여 OnePassword 항목의 처음 10줄을 추출하세요: select * from your_company_logs.public.onepassword_itemusage limit 10

  3. 페이지 하단의 "결과(Results)" 테이블에서 클릭하세요 JSON 보기(View JSON) 레코드 중 하나 옆에 있는

  4. JSON 텍스트를 클립보드에 복사합니다.

아래 예에서는 특정 1Password 금고의 로그인 자격증명 집합에 부여된 이름을 기반으로 탐지를 작성하고 있습니다. 이 경우 1Password의 로그인 이름은 “Sensitive Password”로 표시되어 있습니다.

hashtag
탐지 작성하기

  1. Panther 계정의 왼쪽 탐색에서 클릭하세요 Build > Detections.

  2. 오른쪽 상단에서 새로 만들기.

  3. 페이지 상단에서 클릭하세요 Rule.

  4. 로그 유형 필드에서 "OnePasswordItems."를 선택합니다.

  5. 아래의 Test를 클릭하세요 새로 추가. Data Explorer에서 복사한 JSON 텍스트를 붙여넣습니다.

  6. 클릭 Enrich Test Data 그리고 제목이 다음 필드 아래에 친숙한 이름으로 나열되어 있는지 확인합니다 p_enrichment 필드: The image shows a section of the test data, including the p_enrichment field which contains the title "Sensitive Password."

  7. Python 규칙 로직 편집기에 다음을 붙여넣으세요:

    • 다음을 사용하는 경우 단순 탐지YAML 텍스트 편집기에는 다음을 붙여넣으세요:

  8. 테스트 실행(Run tests)arrow-up-right 새 탐지에서. 테스트를 완료하면 클릭하세요 저장 페이지 오른쪽 상단에.

Previous커스텀 보강 예제Next커스텀 보강 사양 참고문서

Last updated

Was this helpful?