panther-analysis 사용하기
Panther 관리형 보안 콘텐츠 활용하기
개요
panther-analysis Panther가 관리하는 디텍션, 저장된 검색(Saved Searches), 글로벌 헬퍼, 조회 테이블(Lookup Tables) 등 보안 콘텐츠의 퍼블릭 오픈 소스 리포지토리입니다. 당신은 panther-analysis를 포크하거나 클론할 수 있으며자신의 커스텀 디텍션 콘텐츠를 추가하고 Panther의 위협 인텔리전스 팀이 새 버전을 릴리스할 때 업데이트를 받을 수 있습니다.
명령줄에서 Panther 디텍션 리포지토리와 상호작용하려면 Panther 분석 도구(PAT).
Panther 디텍션에 대한 일반 정보와 모범 사례, 그리고 Panther 콘솔에서 디텍션을 관리하는 방법에 대해서는 디텍션 문서.
panther-analysis 활용 방법
다음 방법 중 하나로 panther-analysis의 복사본을 만들 수 있습니다:
퍼블릭 포크를 사용하면 당신의 디텍션 콘텐츠는 공개적으로 표시됩니다.
퍼블릭 포크는 새로운 디텍션 콘텐츠를 panther-analysis 업스트림 리포로 가져오기 위한 풀 리퀘스트를 생성하는 데 사용할 수 있습니다.
디텍션 콘텐츠를 비공개로 유지하려면 프라이빗 클론된 리포지토리를 사용하세요. 리포지토리 설정이 내부 콘텐츠에 대한 접근 권한을 제어합니다.
이 구성에서는 변경사항을 업스트림으로 가져오기 위해 풀 리퀘스트를 사용할 수 없습니다.
자신의 panther-analysis 복사본을 확보한 후에는 다음을 구성할 수 있습니다 CI/CD 워크플로 와 GitHub 동기화 설정.
panther-analysis 릴리스 최신 상태 유지
다음을 사용하는 것이 권장됩니다 Sync Panther Analysis from Upstream GitHub Action을 사용하는 것이 권장됩니다. 이 Action은 주기적으로 panther-analysis의 최신 변경사항으로 기본 브랜치에 대한 풀 리퀘스트를 엽니다.
이 Action을 구성하는 방법은 다음을 참조하세요 업스트림 panther-analysis 업데이트와 공개 포크를 동기화 상태로 유지하기 이전에 생성한 Snowflake 사용자 이름, 예를 들면 프라이빗 클론을 업스트림 panther-analysis 업데이트와 동기화 상태로 유지하기.
위에서 설명한 GitHub Action을 사용하는 것 외에도 또는 대신에 Slack GitHub 통합을 사용하여 panther-analysis가 새 릴리스를 게시할 때 Slack으로 알림을 받을 수 있습니다. 자세한 내용은 이 지식 베이스 문서를 참조하세요: Panther가 관리하는 새로운 디텍션 콘텐츠에 대한 업데이트를 어떻게 받을 수 있나요?
실험적 디텍션
Panther는 일반적으로 새 디텍션을 "실험적" 단계로 릴리스합니다. 이는 해당 디텍션이 여전히 개선 중이며 프로덕션 환경에 적합하지 않을 수 있음을 의미합니다.
실험 단계의 디텍션은:
다음을 갖습니다
상태: Experimental알러트를 생성하지 않습니다
Panther 콘솔에 표시되지 않습니다(하지만
panther-analysis리포지토리)에서 볼 수 있습니다예상되는 알러트 볼륨을 검증하기 위해 집계 성능 메트릭(로그 데이터가 아님)을 수집합니다
실험적 디텍션을 사용할 수는 있지만, 아직 튜닝 중이므로 평균보다 높은 알러트 볼륨을 초래할 수 있습니다. 디텍션이 공식적으로 릴리스되기 전에 실험적 디텍션을 사용하려면 상태 필드의 Experimental 값을 제거하고 룰을 업로드하세요.
실험 단계의 지속 기간은 디텍션마다 다르지만 일반적으로 몇 주 동안 지속됩니다. 디텍션이 실험 단계를 종료하면 해당 상태 값이 Experimental 에서 Stable에서 변경됩니다. 스테이블로 승격된 후에도 디텍션은 업데이트될 수 있으나 빈도는 줄어듭니다.
더 이상 사용되지 않는 Panther 관리 디텍션 제거
Panther는 가끔 더 이상 사용되지 않는 Panther 관리 디텍션 콘텐츠를 사용 중단(deprecate)하고 삭제합니다. 이는 panther-analysis의 새 버전에 더 이상 해당 디텍션(또는 저장된/스케줄된 검색)이 포함되지 않음을 의미합니다. 이런 일이 발생하면 제거된 콘텐츠 사용을 중단하려면 Panther 인스턴스에서 수동으로 삭제해야 합니다—리포지토리에서 콘텐츠를 삭제하는 것만으로는 충분하지 않습니다. 왜냐하면 Panther 분석 도구(PAT) 는 업로드 시 콘텐츠를 삭제하지 않기 때문입니다.
사용되지 않는 콘텐츠를 식별하고 제거하는 데 도움이 되도록 Panther는 Makefile 명령어, make remove-deprecated를 제공하며, 이는 Panther 인스턴스에서 사용 중단된 디텍션 콘텐츠를 제거합니다.
이 명령은 리포지토리의 콘텐츠를 deprecated.txt와 비교하여 작동합니다. deprecated.txt는 panther-analysis에 포함된 삭제된 항목들의 ID를 담고 있는 파일입니다. 인스턴스에서 사용 중단된 디텍션을 정리하려면 make remove-deprecated 를 적어도 한 달에 한 번 실행하는 것이 권장됩니다.
참고로 make-remove-deprecated 는 API 호스트와 토큰이 환경 변수로 설정되어 있어야 합니다. 다음의 지침을 참조하세요 환경 변수로 PAT 구성하기 를 참조하십시오.
마지막 업데이트
도움이 되었나요?