Panther 분석 도구로 보강 제공자 관리하기
PAT를 사용하여 커스텀 및 Panther 관리 보강 구성하기
개요
강화 소스(조회 테이블이라고도 함)는 들어오는 로그에 더 많은 컨텍스트를 추가할 수 있게 해줍니다. 다음에 대해 스키마와 매핑을 관리할 수 있습니다 사용자 지정 보강 및 특정 Panther 관리형 보강은 통해 관리할 수 있습니다 Panther 분석 도구(PAT).
이 가이드는 다음 내용을 안내합니다:
사용자 지정 보강 소스에 대한 사용자 지정 스키마를 생성하고 업로드하는 방법
pantherlog도구.수정하기
선택기와datamodel보강 소스의 YAML 구성 파일에서.로그 유형 및 선택기는 수동으로 설정될 수 있습니다 또는 지표 필드에 의해 자동으로 매핑됩니다.
PAT을 통해 보강 소스의 YAML 구성 파일을 업로드하기.
Panther 콘솔에서 보강을 테스트하기.
이 가이드는 다음에 적용됩니다 사용자 지정 보강 와 이러한 Panther 관리형 보강 소스.
"자신의 API 키 사용" 로그 풀러 와 Panther 로그 소스 풀러 는 PAT을 사용하는 CLI 워크플로에서 활성화할 수 없습니다.
사용자 지정 보강 vs Panther 관리형 보강
사용자 지정 보강 은 여러분이 관리합니다. 스키마를 생성하고 업로드한 다음 보강 테이블의 YAML 구성 파일을 업로드해야 합니다.
Panther 관리형 보강 제공자 는 Panther에서 관리합니다. 그들의 스키마는 Panther가 정의하며, 필요에 따라 수정할 수 있는 YAML 구성 파일은 다음에서 찾을 수 있습니다 panther-analysis 리포지토리 GitHub에 있습니다.
PAT로 사용자 지정 및 Panther 관리형 보강을 관리하는 방법
전제 조건
YAML 구성 파일입니다. YAML 구성 파일은 직접 생성해야 합니다.
데이터 샘플(새 스키마를 만들어야 하는 경우) 또는 Panther에서 생성된 기존 YAML 스키마.
1단계: 스키마 생성 및 업로드
사용자 지정 보강은 사용자가 생성하고 Panther에 업로드한 스키마와 연결되어야 합니다. 이미 Panther에 생성해 둔 스키마를 사용자 지정 보강에 연결하려는 경우 이 단계를 건너뛸 수 있습니다.
샘플 로그 데이터를 사용하여 스키마를 생성하세요.
다음을 사용할 수 있습니다
pantherlog샘플 데이터 집합에서 스키마를 유추하려면 pantherlog를 사용할 수 있습니다. 샘플 JSON 로그 파일에서 스키마를 생성하려면infer명령을 사용하세요:유추된 스키마를 검토하고 Panther에 업로드하기 전에 필요한 수정을 수행해야 합니다. 이 프로세스에 대한 자세한 내용은 pantherlog 문서.
스키마 업로드.
스키마를 생성한 후 다음을 따라 Panther에 업로드할 수 있습니다 를 클릭하세요 지침 단계를 완료했습니다.
2단계: YAML 구성 파일 생성
사용자 지정 보강의 경우 YAML 구성 파일을 처음부터 생성해야 합니다. 이 파일에 포함되어야 하는 키를 보려면 조회 테이블 사양 참조 를 참조하세요.
3단계: PAT을 통해 사용자 지정 보강 업로드
사용자 지정 보강 구성 파일을 생성한 후 PAT을 사용하여 Panther에 업로드할 수 있습니다 업로드 명령:
다음과 함께 API 토큰 및 호스트를 제공해야 합니다 --api-token 와 --api-host업로드가 발생하려면 각각 필요합니다. 다른 옵션으로는 필터링, 최소 테스트 수 등이 있습니다.
YAML 구성 파일을 업로드하기 전에 해당 스키마를 업로드했는지 확인하세요.
단계 4: 사용자 정의 보강 테스트
사용자 정의 보강이 올바르게 설정되었는지 테스트하는 여러 방법이 있습니다.
방법 1: Panther 콘솔 또는 CLI에서 테스트 데이터 보강
Panther 콘솔의 탐지 편집기에서 클릭하여 테스트 데이터 강화(Enrich Test Data) 사용자 정의 보강이 올바르게 작동하는지 확인하세요. 이를 통해 단위 테스트 내에서 테스트 데이터를 입력하고 보강 프로세스의 출력을 확인할 수 있습니다.
다음을 위해 테스트 데이터 강화(Enrich Test Data) 작동하려면 단위 테스트에는 p_log_type 올바른 로그 유형을 식별하는 항목이 있어야 합니다. 이는 Panther의 보강 로직의 기초가 됩니다.
PAT의 기능을 사용하여 사용자 정의 보강이 제대로 작동하는지 확인하세요.
enrich-test-data명령을 사용하세요. Mappingsenrich-test-data여기.
방법 2: 를 확인 panther_signals PantherFlow 쿼리를 입력하세요.
변경 사항이 적용되었는지 확인하려면 panther_signals.public.correlation_signals 데이터베이스/테이블에서 p_enrichment 필드를 확인하세요. 해당 필드에 예상되는 사용자 정의 보강 세부정보가 포함되어 있는지 확인합니다.
방법 3: SQL 쿼리 사용
또한 LEFT JOIN 을 사용하여 이벤트 로그와 보강 테이블 간에 SQL 조인을 수행할 수 있습니다. 쿼리에서 선택자가 정의되어 있는지 확인하세요. 이를 통해 로그의 데이터가 사용자 정의 보강의 데이터와 올바르게 매칭되는지 검증할 수 있습니다.
예를 들어, 이 쿼리는 사용자 정의 선택자(구성 파일 YAML에 정의한 선택자와 동일해야 함)를 사용하여 이벤트 데이터를 사용자 정의 보강과 매칭하려고 시도합니다:
전제 조건
YAML 구성 파일입니다. 다음을 사용할 수 있습니다: panther-analysis에 있는 Panther 제공 구성 파일.
1단계: 필요에 따라 YAML 구성 파일 수정
Panther 관리 보강을 사용하도록 설정하는 경우, 다음 구성 파일을 수정할 수 있습니다: Panther는 요구에 맞게.
보강을 위해 Panther에서 제공한 YAML 구성 파일을 수정할 때는 항상
AssociatedLogTypes키의 내용만 수정하여선택기을(를) 사용자 정의해야 합니다.아이콘.간격(intervals)과 같은 다른 매개변수의 변경은 문제를 일으킬 수 있습니다.
예제
참고: 이 로그 유형(Cloudflare.Firewall)과 선택자(ClientIP)가 수동으로 이렇게 설정되지 않았더라도, Cloudflare.Firewall 와 p_any_ip_addresses 는 각각 로그 유형과 선택자로 추가될 것입니다. 이는 지표 필드에 의한.
자동 매핑 때문입니다. ClientIP 이유는 cidr 가 지정되어 있기 때문입니다. Cloudflare.Firewall 스키마에서 지표(indicator) 필드로 지정되어 있으며 Tor 조회 테이블의 기본 키인 cidr는 자체 데이터 스키마에서 cidr 지표로 지정되어 있습니다. Tor.ExitNode.
이 예에서, tor_exit_nodes enrichment는 새로운 항목을 포함하도록 업데이트되고 있습니다 문자열의 단일 리스트
참고: 와 Selector.
의 값은
PrimaryKey정의되어 있더라도cidr.아래 예시는 하나를 보여줍니다
AssociatedLogTypes기본적으로 포함됩니다.
목록 항목을 추가해보겠습니다 AssociatedLogTypes 이는 을(를) 지원하도록 추가합니다 ip_address 필드를 Cloudflare.Firewall schema:
다음 옵션은
선택기부모 필드이거나 중첩된 필드의 JSON 경로일 수 있습니다.
2단계: PAT를 통해 enrichment 업로드
enrichment 구성 파일을 수정한 후 PAT를 사용하여 Panther에 업로드할 수 있습니다 업로드 명령:
다음과 함께 API 토큰 및 호스트를 제공해야 합니다 --api-token 와 --api-host업로드가 발생하려면 각각 필요합니다. 다른 옵션으로는 필터링, 최소 테스트 수 등이 있습니다.
3단계: enrichment 테스트
enrichment가 올바르게 설정되었는지 테스트하는 방법은 여러 가지가 있습니다.
방법 1: Panther 콘솔 또는 CLI에서 테스트 데이터 보강
Panther 콘솔의 탐지 편집기에서 클릭하여 테스트 데이터 강화(Enrich Test Data) enrichment가 올바르게 작동하는지 확인하기 위해. 이를 통해 테스트 데이터를 입력하고 단위 테스트 내에서 enrichment 프로세스의 출력을 확인할 수 있습니다.
다음을 위해 테스트 데이터 강화(Enrich Test Data) 작동하려면 단위 테스트에는 p_log_type 올바른 로그 유형을 식별하는 항목이 있어야 합니다. 이는 Panther의 보강 로직의 기초가 됩니다.
PAT의 를 사용하여 enrichment가 제대로 작동하는지 확인하세요
enrich-test-data명령을 사용하세요. Mappingsenrich-test-data여기.
방법 2: 를 확인 panther_signals PantherFlow 쿼리를 입력하세요.
변경 사항이 적용되었는지 확인하려면 panther_signals.public.correlation_signals 데이터베이스/테이블에서 p_enrichment 필드. 필드에 기대하는 enrichment 세부 정보가 포함되어 있는지 확인하세요.
방법 3: SQL 쿼리 사용
또한 LEFT JOIN 이벤트 로그와 SQL의 enrichment 테이블 간의 연결을 확인하세요. 쿼리에 셀렉터가 정의되어 있는지 확인하세요. 이를 통해 로그의 데이터가 enrichment 테이블의 데이터와 올바르게 매칭되는지 검증할 수 있습니다.
예를 들어, 이 쿼리는 사용자 지정 셀렉터(enrichment 구성에서 정의한 셀렉터와 동일해야 함)를 사용하여 이벤트 데이터를 enrichment 데이터와 매칭하려고 시도합니다:
Last updated
Was this helpful?