Panther 분석 도구

개요

Panther Analysis Tool(PAT)는 로컬로 관리되는 디텍션 콘텐츠를 테스트, 패키지화 및 업로드하는 데 사용할 수 있는 CLI 도구입니다(다른 작업도 포함—모두 보려면 PAT 명령). 이는 디텍션 콘텐츠를 프로그래밍 방식으로 관리하는 등 개발자 중심의 Panther 워크플로우를 위해 설계되었으며 CI/CD 파이프라인과의 통합입니다. PAT는 오픈 소스입니다—그 GitHub 저장소는 여기.

대신 웹 애플리케이션 기반 워크플로우를 사용하여 Panther 콘솔에서 디텍션 콘텐츠를 관리하려면 디텍션.

PAT 시작하기

PAT을 사용하여 디텍션 콘텐츠를 테스트, 패키지화 및 업로드하려면 설치하고 구성 값을 설정하며 인증을 위한 API 토큰을 생성해야 합니다. 이러한 각 단계를 완료하는 방법은 PAT 설치, 구성 및 인증.

PAT로 디텍션 관리하기

PAT 설정을 완료한 후에는 다음과 같은 명령으로 디텍션 콘텐츠를 관리할 수 있습니다 test, validate, zip및 업로드와 같은 명령으로. PAT로 할 수 있는 모든 작업은 Panther Analysis 도구 명령.

로컬에서 사용자 정의 디텍션 콘텐츠 작성하기

사용자 정의 디텍션 콘텐츠를 Panther 인스턴스에 업로드하기 전에 로컬에서 생성해야 합니다. 로컬에서 디텍션 콘텐츠를 작성하는 것은 자신의 컴퓨터에서 이를 정의하는 파일을 만드는 것을 의미합니다.

다음 페이지에서 다양한 유형의 디텍션 콘텐츠를 로컬에서 작성하는 방법을 알아보세요:

• 디텍션

  • 로컬에서 Python 룰 및 스케줄된 룰 작성하기

    • 로컬에서 간단한 디텍션(룰) 작성하기

    • 파생 디텍션(룰) 생성하기

  • 로컬에서 상관 룰 작성하기

  • 로컬에서 정책 작성하기

• 기타 디텍션 콘텐츠

  • 로컬에서 저장된 검색 작성하기

  • 로컬에서 스케줄된 검색 작성하기

  • 로컬에서 룩업 테이블 사용하기

  • 로컬에서 데이터 모델 생성하기

  • 로컬에서 전역 헬퍼 생성하기

Panther가 관리하는 디텍션 사용자화

또한 PAT를 사용하여 Panther 관리 사용자가 커스터마이즈한 디텍션을 관리할 수 있습니다. 커스텀 디텍션을 관리하려면 공개된 panther-analysis GitHub 리포지토리를 개인으로 클론하거나 공개적으로 포크할 수 있습니다. 그런 다음 태그된 릴리스가 있을 때 업스트림 변경사항을 가져올 수 있습니다.

panther-analysis 저장소를 포크하거나 클론하는 방법은 Panther 디텍션 저장소 사용하기.

Panther가 관리하는 디텍션 업데이트 받기

panther-analysis 저장소의 최신 변경사항을 가져오려면 개인 저장소에서 다음 단계를 수행하세요:

Panther Analysis Tool 문제 해결

Panther 지식 기반을 방문하여 Panther Analysis Tool에 관한 문서 보기 자주 묻는 질문에 답하고 일반적인 오류와 문제를 해결하는 데 도움이 됩니다.