Tor 종료 노드

개요

Tor Exit Nodes를 Panther의 인리치먼트 소스로 사용할 수 있습니다. Tor 는 사용자의 클라이언트 IP 주소가 전 세계 노드 중 무작위로 선택되는 인터넷 브라우징용 익명화 네트워크입니다. 악의적 행위자가 자신의 위치를 숨기기 위해 사용하는 경우도 있습니다.

Tor 인리치먼트 제공자는 Tor Exit Node의 IP 주소를 포함합니다. Panther는 이 IP 주소 목록을 매시간 자동으로 업데이트합니다. 방법을 알아보세요 여기에서 저장된 증가 데이터를 보는 방법 및 방법 여기에서 인리치먼트 데이터가 포함된 로그 이벤트 보기.

Tor Exit Nodes 인리치먼트 활성화

CI/CD 워크플로를 사용 중인 경우, 다음을 참조하세요 아래의 CI/CD 사용자 섹션 추가 고려사항에 대해 알아보려면.

Panther가 관리하는 Tor Exit Node 인리치먼트를 활성화하려면:

1. Panther 콘솔의 왼쪽 탐색 창에서 디텍션.

2. 을 클릭하세요 Packs 탭. 검색창에 "Tor"를 검색하세요.

   • 이 페이지에서 다음을 볼 수 있습니다 디텍션 팩 Tor Lookup Tables에 사용 가능한 항목입니다. 팩은 기본적으로 비활성화되어 있으므로 이 데이터를 사용하려면 먼저 팩을 활성화해야 합니다.

3. 콘솔의 오른쪽에서 Tor Lookup Tables 타일에서 사용 토글을 켜기 팩을 활성화하려면.

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 계속 표시되는 대화상자에서.

   • CI/CD를 통해 추가 변경을 수행하려면 )로 룰을 작성할 수 있습니다; 예약된 룰은추가 정보를 원하시면 Panther 담당자에게 문의하세요.

5. 인리치먼트가 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서 클릭하세요 구성 > Enrichments.

   • 이 페이지에서 모든 보강 소스와 각 소스가 현재 활성화되어 있는지 또는 비활성화되어 있는지, 그리고 소스 데이터가 마지막으로 새로 고쳐진 시점을 확인할 수 있습니다.

CI/CD 사용자를 위한 고려사항

CLI 워크플로에서 Tor 인리치먼트를 활성화하려면, 다음을 참조하세요 Panther Analysis Tool로 인리치먼트 관리 가이드.

다음 고려사항에 유의하세요:

• CI/CD 사용자는 Tor Exit Node 인리치먼트 테이블을 얻기 위해 Detection Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져오면 panther-analysis 를 사용하고 panther_analysis_tool (PAT)를 사용하여 인리치먼트를 업로드할 수 있습니다.

• CI/CD 워크플로를 사용하는 경우 Detection Packs를 통해 인리치먼트를 활성화하는 것은 권장하지 않으며, 대신 일반 CI/CD 워크플로를 통해 인리치먼트를 활성화하고 관리해야 합니다.

  • Panther 콘솔에서 인리치먼트를 활성화한 후 PAT로 관리를 전환하려는 경우 먼저 Panther 콘솔에서 Detection Packs를 비활성화해야 합니다. 인리치먼트 관리를 위해 Panther 콘솔과 PAT를 동시에 사용하는 것은 지원되지 않습니다.

예시

탐지에서 Python 헬퍼를 통해 Tor Exit Nodes 인리치먼트를 활용할 수 있습니다. 아래 예시를 참조하세요: