search
Knowledge BaseRelease NotesRequest Demo

Panther 콘텐츠 저장소 설정하기

circle-info

이 업데이트된 panther_analysis_tool pan서 버전 1.119부터 오픈 베타로 제공되는 병합(merge) 워크플로우이며 모든 고객이 이용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원팀과 공유해 주세요.

hashtag
새로운 Panther 콘텐츠 리포지토리 생성

hashtag
사전 요구사항

  • Panther Analysis Tool(PAT)를 설치했습니다.

hashtag
1단계: Panther 리포지토리 준비

  • 빈 디렉터리에서 다음을 실행하세요 pat init.

나중에 PAT 명령을 실행할 수 있도록 리포지토리를 준비합니다.

The init command initializes an empty repository and pulls the latest content from panther-analysis to your cache.

hashtag
Step 2 (Optional): Explore content from panther-analysis

  • Run pat explore.

hashtag
Step 3: Enable content from panther-analysis

To enable content from panther-analysis, like detections, run pat 설치, 하나 이상의 콘텐츠 항목을 전달합니다. 예를 들어:

  • pat 설치 <id>

  • pat 설치 --filter LogTypes=AWS.CloudTrail

hashtag
단계 4: 새 콘텐츠가 테스트를 통과하는지 확인

  • Run pat 테스트.

hashtag
단계 5: 콘텐츠를 Panther에 업로드

  • Run pat 업로드.

hashtag
레거시 리포지토리에서 마이그레이션

circle-info

기존 Panther 콘텐츠 리포지토리가 포크되었거나 클론됨 panther-analysis, 아래 단계를 따라 새로운 관리 워크플로로 마이그레이션하세요.

hashtag
1단계: Panther 리포지토리 준비

  • Panther 콘텐츠 디렉터리에서 실행하세요 pat init.

hashtag
단계 2: 기존 콘텐츠 포맷팅

YAML 파일에 대한 특정 포맷 변경이 필요합니다(예: 디텍션 유닛 테스트와 같은 중첩된 JSON 세그먼트에서 중괄호와 대괄호 제거). 이러한 변경을 수행하려면:

  • Run pat fmt.

circle-exclamation

이 단계에서 변경 사항을 커밋하는 것이 권장됩니다. 이유는 pat fmt 가 대량의 포맷 변경을 생성하여 검토하기 번거로울 수 있기 때문입니다.

hashtag
단계 3: 기존 콘텐츠 업데이트

panther-analysis 콘텐츠를 기반으로 하는 모든 분석 항목을 를 추가하여 마이그레이션하세요 BaseVersion 필드를 가져와 가장 최근의 panther-analysis 버전과 병합합니다. 저장소가 아직 다음에서 포크된 상태라면 panther-analysis 마이그레이션 후에도 다른 PAT 명령어가 중단되지는 않겠지만, 업스트림에서 동기화하지 않는 것을 권장합니다 panther-analysis 마이그레이션 후. 이를 수행하는 모든 자동화는 제거되어야 합니다.

  • Run pat migrate.

circle-info

참고로 pat migrate 는 새로운 어떤 panther-analysis 콘텐츠를 가져오지 않습니다—기존 콘텐츠만 마이그레이션합니다.

hashtag
4단계: 검토 migration_status.md 개별 병합 충돌을 해결하고

  1. Run less migration_status.md.

  2. (선택 사항) 만약 migration_status.md 가 미해결 병합 충돌이 있음을 나타내면, 충돌이 있는 각 항목에 대해 다음을 실행하세요 pat migrate <ID> 로 해결하십시오.

    • 선택적으로 다음을 사용할 수 있습니다 --write-merge-conflicts PAT에 병합 충돌을 파일에 쓰도록 지시합니다. 이는 AI로 충돌을 해결하거나 다음을 사용할 경우 유용할 수 있습니다 --auto-accept 로 자동으로 해결합니다.

      circle-info

      이 단계는 선택 사항입니다. 다음 단계(예: 테스트 및 업로드)를 진행하기 전에 병합 충돌을 반드시 해결할 필요는 없기 때문입니다(즉, 병합 충돌을 생성하지 않은 경우).

    • YAML 파일에서 충돌을 해결하려면 PAT CLI 편집기를 사용합니다.

      • Python 파일에서 충돌을 해결하려면 PAT CLI 편집기나 선택한 코드 편집기를 사용할 수 있습니다. 예를 들어 코드 편집기로 code (VS 코드), cursor, Poland, goland (Go), pycharm), 다음 중 하나를 수행하세요:

        • 다음을 사용하세요 --editor 와 함께 pat migrate

        • 다음으로 설정하세요 EDITOR 환경 변수

circle-info

이 단계에서는 새 콘텐츠를 활성화하기 전에(이 시점에서) 커밋하는 것이 권장됩니다.

hashtag
단계 5 (선택 사항): 에서 최신 콘텐츠 탐색 panther-analysis

  • Run pat explore.

hashtag
단계 6 (선택 사항): 에서 새 콘텐츠 활성화 panther-analysis

To enable content from panther-analysis, like detections, run pat 설치, 하나 이상의 콘텐츠 항목을 전달합니다. 이전에 없었던 콘텐츠를 설치하기 위해 migrate 명령을 실행할 필요는 없습니다. 예를 들어:

  • pat 설치 <id>

  • pat 설치 --filter LogTypes=AWS.CloudTrail

hashtag
단계 7: 콘텐츠가 테스트를 통과하는지 확인

  • Run pat 테스트.

hashtag
단계 8: 콘텐츠를 Panther에 업로드

  • Run pat 업로드.

hashtag
단계 9: 사용하지 않는 panther-analysis 콘텐츠

더 이상 사용되지 않는 관리 워크플로우에서는 활성화 여부에 관계없이 panther-analysis의 모든 콘텐츠를 가져왔습니다. 업데이트된 워크플로우에서는 실제로 사용하는 콘텐츠만 유지하면 됩니다.

이 단계에서 환경에서 사용되지 않는 모든 콘텐츠를 제거할 수 있습니다. 콘텐츠를 제거할 때에는 다음을 실행하여 종속성이 제거되지 않았는지 자주 확인하세요 pat 테스트 . 디텍션 콘텐츠는 종종 전역 헬퍼와 데이터 모델에 의존합니다.

이전Panther 분석 도구로 보강 공급자 관리하기다음더 이상 사용되지 않는 관리 흐름

마지막 업데이트

도움이 되었나요?