Panther 분석 도구

개요

Panther Analysis Tool(PAT)는 로컬에서 관리되는 디텍션 콘텐츠를 테스트, 패키지화 및 업로드하는 데 사용할 수 있는 CLI 도구입니다(다른 작업도 포함—모두 보려면 PAT 명령). 개발자 중심의 Panther 워크플로우(예: 디텍션 콘텐츠를 프로그래밍 방식으로 관리)와 CI/CD 파이프라인과의 통합. PAT는 오픈소스입니다—그 GitHub 리포지토리를 여기에서 확인하세요.

대신 웹 애플리케이션 기반 워크플로우를 사용하여 Panther 콘솔에서 디텍션 콘텐츠를 관리하려면 디텍션.

PAT 시작하기

PAT를 사용하여 디텍션 콘텐츠를 테스트, 패키지화 및 업로드하려면 먼저 PAT를 설치하고 구성 값을 설정하며 인증을 위한 API 토큰을 생성해야 합니다. 각 단계를 완료하는 방법은 PAT 설치, 구성 및 인증.

PAT로 디텍션 관리하기

PAT 설정을 완료한 후에는 다음과 같은 명령으로 디텍션 콘텐츠를 관리할 수 있습니다 test, validate, zip및 upload. PAT로 할 수 있는 모든 작업은 Panther Analysis Tool 명령.

로컬에서 사용자 지정 디텍션 콘텐츠 작성하기

PAT를 사용해 사용자 지정 디텍션 콘텐츠를 Panther 인스턴스에 업로드하기 전에 로컬에서 콘텐츠를 생성해야 합니다. 로컬에서 디텍션 콘텐츠를 작성한다는 것은 자신의 컴퓨터에 그것을 정의하는 파일을 만드는 것을 의미합니다.

다음 페이지에서 다양한 유형의 디텍션 콘텐츠를 로컬에서 작성하는 방법을 알아보세요:

• 디텍션

  • 로컬에서 Python 룰 및 예약된 룰 작성하기

    • 로컬에서 Simple Detections(룰) 작성하기

    • Derived Detections(룰) 생성하기

  • 로컬에서 상관 룰 작성하기

  • 로컬에서 정책 작성하기

• 기타 디텍션 콘텐츠

  • 로컬에서 Saved Searches 작성하기

  • 로컬에서 Scheduled Searches 작성하기

  • 로컬에서 Lookup Tables 사용하기

  • 로컬에서 데이터 모델 생성하기

  • 로컬에서 전역 헬퍼 생성하기

Panther에서 관리하는 디텍션 맞춤화하기

또한 PAT를 사용하여 Panther에서 관리하는 맞춤화한 디텍션을 관리할 수 있습니다. 커스텀 디텍션을 관리하려면 공개 panther-analysis GitHub 리포지토리. 그런 다음 태그된 릴리스에서 업스트림 변경사항을 가져올 수 있습니다.

panther-analysis 리포지토리를 포크하거나 클론하는 방법은 Panther 디텍션 리포지토리 사용하기.

Panther에서 관리하는 디텍션 업데이트 받기

Panther Analysis의 최신 버전으로 디텍션을 업데이트하려면 pat update. 이 명령은 최신 버전의 디텍션을 로컬 복사본과 자동으로 병합합니다. 병합 충돌이 있는 디텍션은 출력되며 다음으로 해결할 수 있습니다 pat merge <id>.

• 다음 옵션과 함께 실행할 수 있습니다 --auto-accept 옵션은 각 병합 충돌에 대해 자동으로 사용자의 변경 사항 또는 Panther의 변경 사항을 선택합니다.

• 다음 옵션과 함께 실행할 수 있습니다 --write-merge-conflicts 모든 충돌을 한 번에 해결하도록 합니다(한 번에 하나씩 해결하는 대신).

• 업데이트를 받으려면, 해당 디텍션에는 BaseVersion 필드가 설정되어 있어야 합니다. 아직 없다면 다음을 사용하세요 pat migrate <id> 를 추가하려면.

Panther Analysis가 출시한 새로운 콘텐츠를 받고 싶다면 다음을 사용할 수 있습니다 pat install. 복제하기 전에 새 콘텐츠가 어떻게 보이는지 보려면 다음을 사용하세요 pat explore.

Panther Analysis Tool 문제 해결

Panther 지식 기반을 방문하여 Panther Analysis Tool에 대한 문서를 확인하세요 자주 묻는 질문에 답하고 일반적인 오류 및 문제를 해결하는 데 도움이 됩니다.