# Tor 종료 노드

## 개요

Tor Exit Nodes를 Panther의 인리치먼트 소스로 사용할 수 있습니다. [Tor](https://www.torproject.org/) 는 사용자의 클라이언트 IP 주소가 전 세계 노드 중 무작위로 선택되는 인터넷 브라우징용 익명화 네트워크입니다. 악의적 행위자가 자신의 위치를 숨기기 위해 사용하는 경우도 있습니다.

Tor 인리치먼트 제공자는 Tor Exit Node의 IP 주소를 포함합니다. Panther는 이 IP 주소 목록을 매시간 자동으로 업데이트합니다. 방법을 알아보세요 [여기에서 저장된 증가 데이터를 보는 방법](https://docs.panther.com/ko/enrichment/..#viewing-and-managing-enrichments) 및 방법 [여기에서 인리치먼트 데이터가 포함된 로그 이벤트 보기](https://docs.panther.com/ko/enrichment/..#viewing-log-events-with-enrichment-data).

## Tor Exit Nodes 인리치먼트 활성화

CI/CD 워크플로를 사용 중인 경우, 다음을 참조하세요 [아래의 CI/CD 사용자 섹션 ](#undefined)추가 고려사항에 대해 알아보려면.

Panther가 관리하는 Tor Exit Node 인리치먼트를 활성화하려면:

1. Panther 콘솔의 왼쪽 탐색 창에서 **디텍션**.
2. 을 클릭하세요 **Packs** 탭. 검색창에 "Tor"를 검색하세요.
   * 이 페이지에서 다음을 볼 수 있습니다 [디텍션 팩](https://docs.panther.com/ko/detections/panther-managed/packs) Tor Lookup Tables에 사용 가능한 항목입니다. 팩은 기본적으로 비활성화되어 있으므로 이 데이터를 사용하려면 먼저 팩을 활성화해야 합니다.\
     ![The "Tor Lookup Tables" tile is displayed on the Packs page in the Panther Console.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-5a3a9d2e6f7e1cecc224a15730a67c386af434b8%2FScreen%20Shot%202022-10-05%20at%201.37.08%20PM.png?alt=media)
3. 콘솔의 오른쪽에서 **Tor Lookup Tables** 타일에서 **사용** 토글을 **켜기** 팩을 활성화하려면.
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **계속** 표시되는 대화상자에서.\
   ![The image shows a popup dialog labeled "Enable detection pack?". There is a blue "Continue" button at the bottom.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-4f7501310d9061a82144fc22f44bd5e25de6d04f%2Fimage.png?alt=media)
   * CI/CD를 통해 추가 변경을 수행하려면 [)로 룰을 작성할 수 있습니다; 예약된 룰은](https://docs.panther.com/ko/panther/detections-repo/pat)추가 정보를 원하시면 Panther 담당자에게 문의하세요.
5. 인리치먼트가 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서 클릭하세요 **구성** > **Enrichments.**
   * 이 페이지에서 모든 보강 소스와 각 소스가 현재 활성화되어 있는지 또는 비활성화되어 있는지, 그리고 소스 데이터가 마지막으로 새로 고쳐진 시점을 확인할 수 있습니다.

### CI/CD 사용자를 위한 고려사항

CLI 워크플로에서 Tor 인리치먼트를 활성화하려면, 다음을 참조하세요 [Panther Analysis Tool로 인리치먼트 관리](https://docs.panther.com/ko/panther/detections-repo/pat/managing-enrichment) 가이드.

다음 고려사항에 유의하세요:

* CI/CD 사용자는 Tor Exit Node 인리치먼트 테이블을 얻기 위해 Detection Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져오면 `panther-analysis` 를 사용하고 `panther_analysis_tool` (PAT)를 사용하여 인리치먼트를 업로드할 수 있습니다.
* CI/CD 워크플로를 사용하는 경우 Detection Packs를 통해 인리치먼트를 활성화하는 것은 권장하지 않으며, 대신 일반 CI/CD 워크플로를 통해 인리치먼트를 활성화하고 관리해야 합니다.
  * Panther 콘솔에서 인리치먼트를 활성화한 후 PAT로 관리를 전환하려는 경우 먼저 Panther 콘솔에서 Detection Packs를 비활성화해야 합니다. 인리치먼트 관리를 위해 Panther 콘솔과 PAT를 동시에 사용하는 것은 지원되지 않습니다.

## 예시

탐지에서 Python 헬퍼를 통해 Tor Exit Nodes 인리치먼트를 활용할 수 있습니다. 아래 예시를 참조하세요:

```python
import panther_tor_helpers as p_tor_h

def rule(event): 
    # 활동이 Tor Exit Nodes에서 발생한 경우 알러트
    return p_tor_h.TorExitNodes(event).has_exit_nodes()
    
def alert_context(event): 
    # Tor 프로젝트의 exit node 데이터베이스 URL을 포함하여 알러트에 유용한 컨텍스트 추가
    return p_tor_h.TorExitNodes(event).context('sourceIP')

```