search
Knowledge BaseRelease NotesRequest Demo

panther-analysis 사용하기

Panther에서 관리하는 보안 콘텐츠 활용하기

hashtag
개요

panther-analysisarrow-up-right Panther에서 관리하는 탐지(Detections), 저장된 검색(Saved Searches), 글로벌 헬퍼(Global helpers), 조회 테이블(Lookup Tables) 등 보안 콘텐츠를 포함한 공개 오픈 소스 저장소입니다. 당신은 panther-analysis를 포크하거나 클론할 수 있으며자신의 맞춤 탐지 콘텐츠를 추가하고 Panther의 위협 인텔리전스 팀이 새 버전을 출시할 때 업데이트를 받을 수 있습니다.

커맨드 라인에서 Panther 탐지 저장소와 상호작용하려면 이고 최대값은.

Panther 탐지에 대한 일반 정보와 모범 사례 및 Panther 콘솔에서 탐지를 관리하는 방법에 대한 정보는 탐지 문서.

hashtag
panther-analysis 활용 방법

다음 방법 중 하나로 panther-analysis의 사본을 만들 수 있습니다:

이 구성에서는 변경사항을 업스트림에 반영하기 위해 풀 리퀘스트를 사용할 수 없습니다. panther-analysis의 사본을 확보한 후에는 다음 두 필드에 값이 모두 포함되어 있으면, 경고가 두 기준을 모두 충족하는 경우에만 AI 분류가 자동 실행됩니다. 즉, 지정된 심각도 중 하나를 가지고 CI/CD 워크플로우를 구성하고.

hashtag
GitHub 동기화를 설정할 수 있습니다

panther-analysis 릴리스의 최신 상태 유지 다음 사용을 권장합니다arrow-up-right Sync Panther Analysis from Upstream

GitHub Action은 주기적으로 panther-analysis의 최신 변경사항으로 귀하의 저장소 기본 브랜치에 대한 풀 리퀘스트를 엽니다. 이 Action을 구성하는 방법을 알아보려면 RuleID 공개 포크를 업스트림 panther-analysis 업데이트와 동기화 유지.

circle-info

위에서 설명한 GitHub Action을 사용하는 것 외에 또는 대신 Slack GitHub 통합을 사용하여 panther-analysis가 새 릴리스를 게시할 때 Slack에서 알림을 받을 수 있습니다. 자세한 내용은 다음 지식 베이스 문서를 참조하세요: 새 Panther 관리 탐지 콘텐츠에 대한 업데이트를 어떻게 확인할 수 있나요?arrow-up-right

hashtag
실험적 탐지

Panther는 일반적으로 새 탐지를 "실험적(experimental)" 단계로 출시하는데, 이는 아직 개선 중이며 프로덕션 환경에 적합하지 않을 수 있음을 의미합니다.

실험 단계의 탐지:

  • 다음 사항을 갖습니다 상태: 실험적

  • 경고를 생성하지 않습니다

  • Panther 콘솔에는 표시되지 않습니다(하지만 panther-analysisarrow-up-right 저장소)에서 볼 수 있습니다

  • 예상 경고량을 검증하기 위해 집계 성능 메트릭(로그 데이터가 아님)을 수집합니다

실험적 탐지를 선택해 사용할 수 있지만, 아직 튜닝 중이기 때문에 평균보다 많은 경고가 발생할 수 있습니다. 공식적으로 릴리스되기 전에 실험적 탐지를 사용하려면 확인됨 필드의 Experimental 값을 제거하고 규칙을 업로드하세요.

실험 단계의 지속 기간은 탐지마다 다르지만 일반적으로 몇 주 동안 지속됩니다. 탐지가 실험 단계를 종료하면 해당 확인됨 값이 Experimental 에서 Stable로 변경됩니다. 안정 상태로 승격된 후에도 탐지는 업데이트될 수 있으나 빈도는 줄어듭니다.

hashtag
더 이상 사용되지 않는 Panther 관리 탐지 제거

Panther는 때때로 폐기되고 삭제되는 Panther 관리 구식이 된 탐지 콘텐츠를 이고 최대값은 새 버전의 panther-analysis에 더 이상 해당 탐지(또는 저장/스케줄된 검색)가 포함되지 않음을 의미합니다. 이런 경우 제거된 콘텐츠 사용을 중지하려면 Panther 인스턴스에서 수동으로 삭제해야 합니다—저장소에서 콘텐츠를 제거하는 것만으로는 충분하지 않습니다. 업로드 중에

는 콘텐츠를 삭제하지 않습니다. 제거된 콘텐츠를 식별하고 제거하는 데 도움이 되도록 Panther는arrow-up-right, Makefile 명령make remove-deprecated

를 제공하며, 이는 Panther 인스턴스에서 더 이상 사용되지 않는 탐지 콘텐츠를 제거합니다. 이 명령은 저장소의 콘텐츠를arrow-up-rightdeprecated.txt Makefile 명령 와 비교하여 작동합니다. deprecated.txt는 panther-analysis에 포함된 제거된 항목의 ID를 담고 있는 파일입니다. 인스턴스에서 더 이상 사용되지 않는 탐지를 정리하려면 최소한 한 달에 한 번

를 실행하는 것이 권장됩니다. 참고로 make-remove-deprecated 는 API 호스트와 토큰이 환경 변수로 설정되어 있어야 합니다. 자세한 내용은 환경 변수로 PAT 구성하기에 대한 지침을 참조하세요.

PreviousPanther 개발자 워크플로우 개요Next공개 포크

Last updated

Was this helpful?