Tor 종료 노드
개요
Panther에서 보강 소스로 Tor 출구 노드를 사용할 수 있습니다. Tor Tor는 사용자의 클라이언트 IP 주소가 전 세계의 노드 중 무작위로 선택되는 인터넷 탐색을 위한 익명화 네트워크입니다. 악의적인 행위자가 자신의 위치를 숨기기 위해 사용하기도 합니다.
Tor 보강 제공자는 Tor 출구 노드의 IP 주소를 포함합니다. Panther는 이 IP 주소 목록을 매시간 자동으로 업데이트합니다. 다음을 참조하여 여기에 저장된 보강 데이터를 조회하세요및 여기에서 보강 데이터가 포함된 로그 이벤트를 조회하는 방법.
Tor 출구 노드 보강 활성화
CI/CD 워크플로를 사용하는 경우, 다음을 참조하십시오. 아래의 CI/CD 사용자 섹션 에서 추가 고려사항을 확인하세요.
Panther가 관리하는 Tor 출구 노드 보강을 활성화하려면:
Panther 콘솔의 왼쪽 탐색 바에서 탐지(Detections).
클릭합니다 Packs 탭. 검색창에 "Tor"를 검색하세요.
이 페이지에서 다음을 확인할 수 있습니다. 탐지 팩(Detection Pack) Tor 조회 테이블용으로 제공되는 팩입니다. 팩은 기본적으로 비활성화되어 있으므로 이 데이터를 사용하려면 먼저 팩을 활성화해야 합니다.
오른쪽의 Tor 조회 테이블(Tor Lookup Tables) 타일에서, 사용(Enabled) 토글을 켜짐(ON) 하여 팩을 활성화하세요.
를 클릭하세요 계속 표시되는 대화상자에서.
PAT를 사용한 CI/CD를 통해 추가 변경을 원하시면, PAT에 관해 자세한 정보를 얻으려면 Panther 담당자에게 문의하세요.
보강이 활성화되었는지 확인하려면, 왼쪽 사이드바 메뉴에서 구성 > Enrichments.
이 페이지에서는 모든 보강 소스와 각 소스의 현재 활성화/비활성화 상태 및 소스 데이터가 마지막으로 새로고침된 시간을 확인할 수 있습니다.
CI/CD 사용자를 위한 고려사항
CLI 워크플로에서 Tor 보강을 활성화하려면, 다음을 참조하세요. Panther Analysis Tool로 보강 관리하기 가이드.
다음 고려사항을 참고하세요:
CI/CD 사용자는 Tor 출구 노드 보강 테이블을 얻기 위해 탐지 팩을 사용할 필요가 없습니다. 최신 릴리스를 가져와
aws_s3_policies를 사용하고panther_analysis_tool(PAT)로 보강을 업로드할 수 있습니다.CI/CD 워크플로를 사용하는 경우, 탐지 팩을 통해 보강을 활성화하는 것은 권장하지 않습니다. 대신 일반 CI/CD 워크플로를 통해 보강을 활성화하고 관리해야 합니다.
Panther 콘솔에서 보강을 활성화한 후 PAT로 보강을 관리하기로 선택하면, 먼저 Panther 콘솔에서 탐지 팩을 비활성화해야 합니다. Panther 콘솔과 PAT를 동시에 사용하여 보강을 관리하는 것은 지원되지 않습니다.
예시
탐지에서 Python 헬퍼를 통해 Tor 출구 노드 보강을 활용할 수 있습니다. 아래 예시를 참조하세요:
Last updated
Was this helpful?