TrailDiscover(베타)
CloudTrail 이벤트를 TrailDiscover 데이터로 보강하기
개요
다음을 사용할 수 있습니다 TrailDiscover 을(를) Panther의 보강 소스로 사용합니다. TrailDiscover는 자세한 설명, MITRE ATT&CK 통찰, 실제 사고 참조, 연구 링크 및 보안 영향에 대한 정보를 포함하는 CloudTrail 이벤트의 지속적으로 진화하는 저장소입니다.
다음을 배우십시오 여기에 저장된 보강 데이터를 조회하세요및 여기에서 보강 데이터가 포함된 로그 이벤트를 조회하는 방법.
TrailDiscover 작동 방식
TrailDiscover는 로그의 eventName 키를 사용하여 TrailDiscover의 관련 정보로 CloudTrail 이벤트를 보강합니다. 만약 Amazon Security Lake를 사용하는 경우, TrailDiscover는 api.operation 필드를 보강합니다. 이 필드는 CloudTrail 이벤트 이름을 포함합니다.
TrailDiscover 보강 설정
Panther 콘솔에서 TrailDiscover 보강을 설정하는 방법
Panther 콘솔의 왼쪽 탐색 바에서 탐지(Detections).
클릭합니다 Packs 탭.
‘TrailDiscover’를 검색한 다음, TrailDiscover 조회 테이블 타일에서, 사용(Enabled) 토글
켜짐(ON).팝업 확인 모달에서 계속.
보강이 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서 구성 > Enrichments.
이 페이지에서는 모든 보강 소스와 각 소스의 현재 활성화/비활성화 상태 및 소스 데이터가 마지막으로 새로고침된 시간을 확인할 수 있습니다.
CLI 워크플로우에서 TrailDiscover 보강을 설정하는 방법
CLI 워크플로우에서 TrailDiscover를 설정하려면 Panther 관리 보강에 대한 지침을 따르세요. Panther 분석 도구로 조회 테이블 및 보강 공급자 관리Panther 콘솔에서 설정은 현재 제공되지 않습니다.
다음 고려사항을 참고하세요:
CI/CD 사용자는 TrailDiscover 보강 테이블을 얻기 위해 Detection Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져와
aws_s3_policies를 사용하고panther_analysis_tool(PAT)를 사용하여 TrailDiscover 보강 테이블을 업로드할 수 있습니다다음 저장소를 사용하여 TrailDiscover 테이블을 활성화하려면
aws_s3_policies각 해당 YAML 구성 파일을 열고enabled: true.
로 설정했는지 확인하세요. CI/CD 사용자는 PAT로 TrailDiscover 테이블을 사용자 지정하지 않는 한 Detection Packs를 통해 TrailDiscover 보강을 활성화할 수 있습니다.
Panther 콘솔에서 활성화한 후 PAT로 TrailDiscover를 관리하기로 선택한 경우 먼저 Panther 콘솔에서 Detection Packs를 비활성화해야 합니다. Panther 콘솔과 PAT를 동시에 사용하여 TrailDiscover를 관리하는 것은 지원되지 않습니다.
TrailDiscover 보강을 관리하는 방법에 대한 자세한 정보는 Panther의 GitHub 리포지토리에 있는 TrailDiscover 파일.
TrailDiscover로 보강된 예시 이벤트
아래는 TrailDiscover 데이터로 보강된 CloudTrail 로그입니다. 내부의 TrailDiscover object p_enrichment 는 AssumeRole 이벤트에 대한 연관 사고 링크, 연구 및 MITRE ATT&CK 전술 및 기술과 같은 추가 정보를 포함합니다.
Last updated
Was this helpful?