TrailDiscover
CloudTrail 이벤트를 TrailDiscover 데이터로 풍부화하기
개요
다음을 사용할 수 있습니다 TrailDiscover Panther에서 인리치먼트 소스로 사용할 수 있습니다. TrailDiscover는 상세 설명, MITRE ATT&CK 인사이트, 실제 사고 참고자료, 연구 링크 및 보안 영향에 관한 정보를 포함하는 지속적으로 진화하는 CloudTrail 이벤트 저장소입니다.
다음을 배우기 여기에 저장된 인리치먼트 데이터를 보는 방법및, 여기에 인리치먼트 데이터가 포함된 로그 이벤트를 보는 방법.
TrailDiscover 작동 방식
TrailDiscover는 로그의 eventName 키를 사용하여 TrailDiscover의 관련 정보로 CloudTrail 이벤트를 인리치합니다. 만약 Amazon Security Lake를 사용하는 경우, TrailDiscover는 api.operation 필드를 인리치하는데, 이 필드는 CloudTrail 이벤트 이름을 포함합니다.
TrailDiscover 인리치 설정
Panther 콘솔에서 TrailDiscover 인리치를 설정하는 방법
Panther 콘솔의 왼쪽 탐색 바에서 클릭 Panther 콘솔의 왼쪽 네비게이션 바에서.
Detections 을 클릭합니다 탭.
"TrailDiscover"를 검색한 후, TrailDiscover 조회 테이블 MISP Warning Lists Lookup Tables 타일에서 Enabled
켬.ON 으로 전환합니다..
팝업 확인 모달에서 구성 > 를 클릭합니다.
보강이 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서
CLI 워크플로우에서 TrailDiscover 인리치를 설정하는 방법
CLI 워크플로우에서 TrailDiscover를 설정하려면 Panther 관리형 인리치먼트에 대한 지침을 따르세요. CLIPanther 콘솔에서의 설정은 현재 사용 불가능합니다.
다음 고려사항을 참고하세요:
CI/CD 사용자는 TrailDiscover 인리치 테이블을 얻기 위해 Detection Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져올 수 있습니다
Panther 관리형 보강 소스에 대한 지침을 따르세요:Managing Lookup Tables and Enrichment Providers with the Panther Analysis Tool다음을 참고하세요:(PAT)를 사용하여 TrailDiscover 인리치 테이블을 업로드하려면TrailDiscover 테이블을 활성화하려면
Panther 관리형 보강 소스에 대한 지침을 따르세요:리포(repo)를 사용해 각 해당 YAML 구성 파일을 열고(PAT)을 사용하여 MISP 경고 목록 보강 테이블을 업로드할 수 있습니다..
CI/CD 사용자는 PAT로 TrailDiscover 테이블을 커스터마이즈하지 않는 한 Detection Packs를 통해 TrailDiscover 인리치를 활성화할 수 있습니다.
Panther 콘솔에서 TrailDiscover를 활성화한 후 PAT로 관리하기로 선택한 경우, 먼저 Panther 콘솔에서 Detection Packs를 비활성화해야 합니다. Panther 콘솔과 PAT를 동시에 사용하여 TrailDiscover를 관리하는 것은 지원되지 않습니다.
TrailDiscover 인리치 관리를 위한 자세한 내용은 Panther의 GitHub 리포지토리 내 TrailDiscover 파일들을 참조하세요.
TrailDiscover로 인리치된 예시 이벤트
아래는 TrailDiscover 데이터로 인리치된 CloudTrail 로그입니다. 이 TrailDiscover 아래는 MISP 데이터로 보강된 p_enrichment 에는 AssumeRole 이벤트에 대한 추가 정보가 포함되어 있으며, 관련 사고 링크, 연구 및 MITRE ATT&CK 전술과 기법에 대한 정보가 포함됩니다.
마지막 업데이트
도움이 되었나요?