온보딩 가이드
Panther 환경 설정하기
개요
Panther에 온보딩하는 과정에는 로그 소스, 탐지(디텍션), 알림 목적지 설정과 검색 도구 익히기 및 선택적으로 인리치먼트 기능 활성화가 포함됩니다. 이 가이드는 이러한 각 작업을 완료하는 방법을 설명합니다.
온보딩 중 도움이 필요하면 Panther 지원팀에 문의하세요.
전제 조건
Panther 콘솔에 성공적으로 로그인되었습니다.
1단계: 로그 소스 온보딩
Panther 환경을 구성하는 첫 번째 단계는 분석 및 저장할 데이터를 제공하는 로그 소스를 온보딩하는 것입니다. 중요한 소스를 식별한 후 각 소스를 온보딩합니다.
1.1단계: 온보딩할 로그 소스 식별
보안 모니터링을 위해 환경에서 로그를 방출하는 시스템을 고려하세요. 허용된 수집량(인제스트 볼륨)에 가깝게 소스를 충분히 온보딩하는 것이 권장됩니다. 다음을 사용할 수 있습니다 로그 필터링 특정 소스에서 일부 로그만 Panther로 수집하려는 경우.
어디서 시작할지 아이디어가 필요하면 지원되는 로그 목록을 검토하세요. 완전히 사용자 정의 소스.
1.2단계: 각 로그 소스 온보딩
수집하려는 것으로 식별한 각 로그 소스에 대해:
소스가 이벤트 웹훅을 전송할 수 있는 경우:
다음 지침을 따라 소스를 온보딩하세요 HTTP 소스 생성 지침.
소스가 이벤트 웹훅을 전송할 수는 없지만 이벤트를 S3 버킷으로 내보낼 수 있는 경우:
다음 지침을 따라 소스를 온보딩하세요 S3 소스 생성 지침.
다음 방법 중 하나로 사용자 정의 스키마를 추론하는 지침을 따르세요:
소스가 이벤트 웹훅을 전송할 수 없고 S3 버킷으로 이벤트를 내보낼 수는 없지만 Panther가 가져올 수 있는 다른 데이터 전송 위치(예:) Google Cloud Storage 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: Azure Blob Storage:
다음 방법 중 하나로 사용자 정의 스키마를 정의하세요:
선택한 데이터 전송 방식에 대한 문서의 지침을 따라 소스를 온보딩하세요..
소스가 이벤트 웹훅을 전송할 수 없고 Panther의 어떤 데이터 전송 소스에도 이벤트를 내보낼 수 없는 경우, Panther의 데이터 파이프라인 도구 가이드를 보거나 데이터 연결에 대해 도움을 받으려면 Panther 지원팀에 문의하세요.
이 1.2단계 지침은 아래의 흐름도에도 표시되어 있습니다:
(선택 사항) 1.3단계: 클라우드 보안 스캐닝을 위한 AWS 계정 온보딩
AWS를 클라우드 공급자로 사용하는 경우, Panther의 클라우드 보안 스캐닝 기능을 사용해 클라우드 리소스 구성 상태를 모니터링할 수 있습니다.
클라우드 보안 스캐닝을 사용하려면, 다음 지침을 따라 하나 이상의 AWS 계정을 온보딩하세요.
2단계: 탐지 생성 또는 활성화
이제 데이터가 Panther로 유입되었으므로 탐지를 구성할 시간입니다. 먼저 탐지 콘텐츠를 Panther 콘솔에서 관리할지 또는 CLI 워크플로에서 관리할지 선택하세요. 그런 다음 각 소스에 대해 Panther 관리 탐지를 활성화하거나 직접 만듭니다.
탐지를 생성하거나 활성화하면 일치하는 항목에 대한 알림이 Panther 콘솔에 표시되고 Panther API를 통해 쿼리할 수 있지만, 다음 단계를 완료해 알림 목적지를 설정하기 전까지는 외부 애플리케이션으로 알림을 받지 못합니다. 다음 단계로서 알림 목적지를 설정하세요.
2.1단계: 탐지 관리를 위한 콘솔 또는 CLI 워크플로 선택
탐지 콘텐츠를 Panther 콘솔에서 관리할지 아니면 CLI 워크플로(예: Panther 분석 도구[PAT]를 사용하여 업로드하거나 CI/CD 파이프라인에서)로 관리할지 결정하세요. 탐지 콘텐츠에는 탐지 팩과 개별 탐지(룰, 스케줄드 룰 및 정책), 데이터 모델, 전역 헬퍼, 룩업 테이블, 저장된 검색 및 스케줄드 검색이 포함됩니다. 콘솔과 CLI 워크플로를 동시에 사용하여 탐지 콘텐츠를 관리하는 것은 지원되지 않습니다.
팀이 git, 커맨드라인 도구 및 CI/CD 파이프라인 사용에 익숙하다면 CLI 워크플로를 사용할 수 있습니다. 그렇지 않으면 Panther 콘솔 사용을 권장합니다.
2.2단계: 각 로그 소스에 대한 룰 및 스케줄드 룰 생성 또는 활성화
이전 단계에서 Panther에 온보딩한 각 로그 소스에 대해 Panther 관리 탐지를 활성화하거나 직접 만듭니다. 소스가 Panther의 지원되는 로그중 하나라면, 아래의 지원되는 로그 섹션을 따르세요그렇지 않으면 사용자 정의 로그 섹션을 따르세요.
지원되는 로그
소스가 Panther의 지원되는 로그:
해당 소스에 대해 Panther 관리 탐지 팩을 활성화하세요. Panther 콘솔과 CLI 워크플로에서 탐지 팩을 활성화하는 방법은 아래 지침을 참고하세요.
온보딩 중(마지막 '성공!' 페이지) 이미 이 로그 소스에 대해 탐지 팩을 활성화했다면 다음 로그 소스로 이동하세요.
콘솔에서 Panther 관리 탐지 팩 활성화
다음 지침을 따르세요 해당 소스에 대해 Panther 관리 탐지 팩을 활성화하는 지침은 입니다.
추가 정보:
다음을 알아보세요 Panther 관리 탐지를 커스터마이즈하는 방법.
이 소스에 대해 추가 맞춤형 탐지를 생성하세요.
CLI 워크플로에서 Panther 관리 탐지 팩 활성화
아직 수행하지 않았다면, 다음 지침을 따르세요 panther-analysis 리포지토리를 클론하거나 포크하기 위해 panther-analysis 리포지토리 의 탐지들을.
의 내부에서 panther-analysis 리포지토리 복사본의 rules 디렉토리에서이 소스에 대한 디렉토리를 찾아 해당 디렉토리에 Panther 관리 룰과(있다면) 스케줄드 룰이 포함되어 있는지 확인하세요.
활성화하려는 각 Panther 관리 룰 및 스케줄드 룰에 대해 해당 탐지의 YAML 파일에서 다음을 설정하세요:
소스 디렉토리에 있고 활성화하고 싶지 않은 룰 또는 스케줄드 룰이 있는 경우 해당 탐지의 YAML 파일에서 다음을 설정하세요:
다음을 사용하여 탐지를 수동으로 Panther에 업로드하세요 PATYAML에서: CI/CD 파이프라인을 구성하세요 PAT로 탐지 콘텐츠를 업로드하도록.
추가 정보:
이 소스에 대해 추가 맞춤형 탐지를 생성하세요.
사용자 정의 로그
콘솔에서 룰 및 스케줄드 룰 생성
로그 소스에 대해 하나 이상의 룰을 생성하세요.
필요한 경우, 로그 소스에 대해 하나 이상의 스케줄드 룰을 생성하려면 다음 지침을 따르세요.
CLI 워크플로에서 룰 및 스케줄드 룰 생성
아직 수행하지 않았다면, 다음 지침을 따르세요 panther-analysis 리포지토리를 클론하거나 포크하기 위해 panther-analysis 리포지토리 Python 탐지의
간단한(Simple) 탐지 룰을 작성하려면 다음 지침을 따르세요 다음 지침을 따르세요.
다음을 사용하여 탐지를 수동으로 Panther에 업로드하세요 PATYAML에서: CI/CD 파이프라인을 구성하세요 PAT로 탐지 콘텐츠를 업로드하도록.
필요한 경우, 로그 소스에 대해 하나 이상의 스케줄드 룰을 작성하려면
다음 지침을 따르세요 클라우드 보안 스캐닝(선택 사항) 2.3단계: 각 클라우드 보안 스캐닝 계정에 대한 정책 생성 또는 활성화
클라우드 보안 스캐닝을 위해 하나 이상의 AWS 계정을 온보딩했다면, Panther 관리 정책을 활성화하거나 직접 생성하세요.
콘솔에서 Panther 관리 정책 활성화 Panther Core AWS Pack 을 Panther 콘솔에서 활성화하세요. 이 팩에는 정책뿐만 아니라 룰, 헬퍼 및 데이터 모델도 포함되어 있음을 유의하세요.
콘솔에서 정책 생성
콘솔에서 정책을 생성하려면, 다음 지침을 따르세요.
CLI 워크플로에서 Panther 관리 정책 활성화
아직 수행하지 않았다면, 다음 지침을 따르세요 panther-analysis 리포지토리를 클론하거나 포크하기 위해 panther-analysis 리포지토리 Python 탐지의
의 내부에서 panther-analysis 리포지토리 복사본의 policies 디렉토리에서관심 있는 디렉토리(모니터링하려는 AWS 리소스를 다루는 디렉토리)를 식별하세요.
각 관심 디렉토리에서 활성화하려는 Panther 관리 정책마다 해당 탐지의 YAML 파일에서 다음을 설정하세요:
각 관심 디렉토리에서 활성화하고 싶지 않은 정책이 있는 경우 해당 탐지의 YAML 파일에서 다음을 설정하세요:
다음을 사용하여 탐지를 수동으로 Panther에 업로드하세요 PATYAML에서: CI/CD 파이프라인을 구성하세요 PAT로 탐지 콘텐츠를 업로드하도록.
CLI 워크플로에서 정책 생성
CLI 워크플로에서 정책을 작성하려면, 다음 지침을 따르세요.
을 설정하세요
3단계: 알림 목적지 구성 다음 항목을 설정하세요 알림 목적지
Panther 콘솔 외부의 위치에서 알림을 받기 위해.
3.1단계: Panther 알림을 받을 위치 식별 팀이 Panther 알림을 받기에 가장 좋은 장소는 어디인가요? 여러 목적지를 구성하고 서로 다른 심각도
의 알림을 다른 위치로 라우팅하는 것이 타당한가요? 시작할 아이디어가 필요하면, 알림 목적지 페이지의 지원되는 목적지 목록을 확인하세요. 또한.
사용자 정의 목적지
를 생성할 수도 있습니다.
3.2단계: 목적지 설정 설정하려는 각 알림 목적지에 대해:목적지가 Panther에서 기본으로 지원하는
목적지 중 하나인 경우, 해당 목적지별 설정 지침을 따르세요.
목적지가 Panther에서 기본으로 지원되지 않는 경우:
POST목적지가JSON페이로드를 포함한 HTTP 요청을 수신할 수 있다면, 사용자 정의 웹훅 목적지를 사용하기 위한.
이 옵션에 대해 자세히 알아보려면 여기에서 확인하세요
3.3단계: 최소 하나의 목적지가 시스템 오류를 수신하는지 확인 시스템 오류는 로그 소스의 상태가 불량해지거나 알림 전송에 실패하는 등 Panther 워크플로의 일부가 올바르게 동작하지 않을 때 사용자에게 알립니다. 시스템 오류에 대해 더 알아보려면.
시스템 상태 알림 경고 유형(Alert Types) 을 참조하세요.
알림 목적지: 추가 정보
Panther에서 알림을 분류하는 방법을 알아보려면 을 확인하세요.
4단계: 검색 도구 사용 방법 학습 검색 보안 사고를 조사할 때가 되면 Panther의
예제 쿼리는
Panther의 보강(Enrichment) 데이터 익스플로러 SQL 검색 예제
에서 확인하세요. IPinfo, 검색: 추가 정보, 및 스케줄드 검색을 생성하세요
그 위에 를 생성할 수 있습니다. 및 Okta 프로필
(선택 사항) 5단계: 인리치먼트 설정 인리치먼트 기능은 로그 이벤트에 유용한 컨텍스트를 추가하여 더 높은 정확도의 탐지를 작성하고 더 유익한 알림을 생성할 수 있게 해줍니다. 이러한 기능에는 다음이 포함됩니다:
Tor Exit Nodes와 같은 Panther 관리 인리치먼트, 예를 들어, 여러 가지가 있습니다: Anomali ThreatStream, 로그 소스 풀러(예: Google Workspace 프로필) 및 자체 데이터를 포함하는 사용자 정의 인리치먼트 등이 있습니다. 각각의 기능에 대해 활성화할지 여부를 결정하고 활성화하기로 하면 해당 페이지의 설정 지침을 따르세요.
Last updated
Was this helpful?