온보딩 가이드

Panther 환경 설정

개요

Panther의 온보딩에는 로그 소스, 디텍션 및 알러트 전송 대상 설정과 검색 도구 숙지 및 선택적으로 엔리치먼트 기능 활성화가 포함됩니다. 이 가이드는 이러한 각 작업을 완료하는 방법을 설명합니다.

온보딩 중 도움이 필요하면 Panther 지원 팀에 문의하세요.

전제 조건

Panther 콘솔에 성공적으로 로그인했습니다.

단계 1: 로그 소스 온보딩

Panther 환경을 구성하는 첫 번째 단계는 Panther가 분석 및 저장할 데이터를 제공하는 로그 소스를 온보딩하는 것입니다. 유용한 소스를 식별한 후 각 소스를 온보딩합니다.

단계 1.1: 온보딩할 로그 소스 식별

보안 모니터링하려는 환경의 로그를 생성하는 시스템을 고려하세요. 허용된 수집량에 근접하도록 충분한 소스를 온보딩하는 것이 권장됩니다. 다음을 사용할 수 있습니다 로그 필터링 특정 소스에서 일부 로그만 Panther로 수집하고자 하는 경우.

어디서 시작할지 아이디어가 필요하면 지원되는 로그 목록을 검토하세요. 또한 완전히 사용자 지정 소스.

단계 1.2: 각 로그 소스 온보딩

수집하려고 식별한 각 로그 소스에 대해:

로그 소스가 Panther의 지원되는 소스중 하나라면, 해당 문서 페이지의 지침을 따라 온보딩하세요.
로그 소스가 Panther의 지원되는 소스:

소스가 대용량(시간당 최소 1GB를 전송)이고/또는 해당 페이로드 크기가 HTTP 페이로드 제한을 초과하는경우 다음 단계로 건너뛰세요.

소스가 이벤트 웹훅을 전송할 수 있다면:
1. 다음 지침을 따라 소스를 온보딩하세요 HTTP 소스 생성 지침.
2. 다음을 따르세요 Panther에서 수신한 HTTP 데이터로부터 사용자 지정 스키마를 유추하는 지침.
소스가 이벤트 웹훅을 전송할 수는 없지만 이벤트를 S3 버킷으로 내보낼 수 있다면:
1. 다음 지침을 따라 소스를 온보딩하세요 S3 소스 생성 지침.
2. 다음 방법 중 하나로 사용자 지정 스키마를 유추하는 지침을 따르세요:
  - Panther에서 수신한 S3 데이터로부터
  - 이전의 S3 데이터로부터
소스가 이벤트 웹훅을 전송할 수도 없고 S3 버킷으로 이벤트를 내보낼 수도 없지만 Panther가 가져올 수 있는 다른 데이터 전송 위치(예:) Google Cloud Storage 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Azure Blob Storage:
1. 다음 방법 중 하나로 사용자 지정 스키마를 정의하세요:
2. 선택한 데이터 전송에 대한 문서 내 지침을 따라 소스를 온보딩하세요.
소스가 이벤트 웹훅을 전송할 수도 없고 Panther의 어떤 데이터 전송 소스에도 이벤트를 내보낼 수 없다면, Panther의 데이터 파이프라인 도구 가이드를 참조하거나 데이터를 Panther에 연결하는 데 도움이 필요하면 Panther 지원 팀에 문의하세요.

이 단계 1.2 지침은 아래 흐름도에도 표시되어 있습니다:

This flow chart diagram shows how to onboard a given log source depending on characteristics of the source, like whether it can emit webhook events or export events to S3.

(선택 사항) 단계 1.3: 클라우드 보안 스캐닝을 위한 AWS 계정 온보딩

AWS를 클라우드 제공업체로 사용하는 경우 Panther의 클라우드 보안 스캐닝 기능을 사용하여 클라우드 리소스 구성 상태를 모니터링할 수 있습니다.

클라우드 보안 스캐닝을 사용하려면, 다음 지침을 따라 하나 이상의 AWS 계정을 온보딩하세요.

로그 소스: 추가로 할 일

방법 알아보기 로그 소스의 상태를 모니터링하세요.
다음을 알아보세요 필드 발견.
만약 어떤 사용자 지정 스키마를 생성했다면, 크로스-로그 검색 및 디텍션을 활성화하려면 필드를 지표 필드 로 지정하세요.

단계 2: 디텍션 생성 또는 활성화

데이터가 Panther로 흘러들어오면 디텍션을 구성할 차례입니다. 먼저 디텍션 콘텐츠를 Panther 콘솔에서 관리할지 CLI 워크플로우에서 관리할지 선택합니다. 그런 다음 각 소스에 대해 Panther가 관리하는 디텍션을 활성화하거나 직접 만듭니다.

디텍션을 생성하거나 활성화하면, 일치에 대한 알러트는 Panther 콘솔에서 볼 수 있고 Panther API를 통해 쿼리할 수 있게 되지만, 알러트 전송 대상을 설정하는 다음 단계을 완료하기 전까지는 외부 애플리케이션으로 알러트를 받지 못합니다.

단계 2.1: 디텍션 관리를 위한 콘솔 또는 CLI 워크플로우 선택

디텍션 콘텐츠를 Panther 콘솔에서 관리할지 CLI 워크플로우에서 관리할지 결정하세요(예: Panther Analysis Tool [PAT]을 사용하여 업로드 수행, CI/CD 파이프라인에서). 디텍션 콘텐츠에는 디텍션 팩 및 개별 디텍션(룰, 예약 룰 및 정책), 데이터 모델, 글로벌 헬퍼, 룩업 테이블, 저장된 검색 및 예약 검색이 포함됩니다. 콘솔과 CLI 워크플로우에서 동시에 디텍션 콘텐츠를 관리하는 것은 지원되지 않습니다.

팀이 git, 커맨드라인 도구 및 CI/CD 파이프라인 사용에 익숙하다면 CLI 워크플로우를 선택할 수 있습니다. 그렇지 않으면 Panther 콘솔 사용을 권장합니다.

Panther의 심플 디텍션 기능은 궁극적으로 콘솔과 CLI 워크플로우를 통합하는 것을 목표로 합니다. 현재, 팀이 CLI 워크플로우를 사용해 디텍션 콘텐츠를 관리하는 경우, 콘솔에서 Simple Detection 빌더 으로 수행된 디텍션 변경 사항은 다음 업로드 시 덮어써질 수 있습니다(단, 인라인 필터 콘솔에서 생성된 것은 보존됩니다).

단계 2.2: 각 로그 소스에 대한 룰 및 예약 룰 생성 또는 활성화

이전 단계에서 Panther에 온보딩한 각 로그 소스에 대해 Panther가 관리하는 디텍션을 활성화하거나 직접 만드세요. 소스가 Panther의 지원되는 로그중 하나라면, 아래의 지원되는 로그 섹션을 따르세요. 그렇지 않으면 사용자 지정 로그 섹션.

을 따르세요.

지원되는 로그 지원되는 로그:
- 소스가 Panther의
- 해당 소스에 대해 Panther가 관리하는 디텍션 팩을 활성화하세요. Panther 콘솔 및 CLI 워크플로우에서 디텍션 팩을 활성화하는 방법은 아래 지침을 참조하세요.

온보딩 중(마지막 "성공!" 페이지) 해당 로그 소스에 대해 이미 디텍션 팩을 활성화했다면 다음 로그 소스로 이동하세요.

다음을 따르세요 콘솔에서 Panther가 관리하는 디텍션 팩 활성화 해당 소스에 대해 Panther가 관리하는 디텍션 팩을 활성화하는 이 지침을 따르세요

더 알아보기:

Panther가 관리하는 디텍션을 사용자 지정하는 방법을 학습하세요.
이 소스에 대해 추가의 사용자 지정 디텍션을 만드세요.

CLI 워크플로우에서 Panther가 관리하는 디텍션 팩 활성화

아직 수행하지 않았다면, 다음 지침을 따르세요 디텍션의 panther-analysis에서 매크로 소스 코드를 보려면: 를 클론하거나 포크하려면.
내부의 panther-analysis 리포지토리의 복사본에서 rules 디렉터리에서 이 소스의 디렉터리를 찾아 해당 디렉터리에 Panther가 관리하는 룰 및(있을 경우) 예약 룰이 포함되어 있는지 확인하세요.
활성화하려는 각 Panther 관리 룰 및 예약 룰에 대해, 해당 디텍션의 대응 YAML 파일에서 다음을 설정하세요:
```
Enabled: True
```
소스 디렉터리에 포함되어 있지만 활성화하고 싶지 않은 룰 또는 예약 룰이 있다면, 해당 디텍션의 대응 YAML 파일에서 다음을 설정하세요:
```
Enabled: False
```
다음 방법으로 디텍션을 수동으로 Panther에 업로드하세요 )로 룰을 작성할 수 있습니다; 예약된 룰은, 또는 CI/CD 파이프라인을 구성하여 PAT로 디텍션 콘텐츠를 업로드하세요.

더 알아보기:

이 소스에 대해 추가의 사용자 지정 디텍션을 만드세요.

사용자 지정 로그

소스가 사용자 지정 로그 소스인 경우:
- 직접 디텍션을 만드세요. Panther 콘솔과 CLI 워크플로우에서 디텍션을 만드는 방법은 아래 지침을 참조하세요. 디텍션을 생성하는 동안:
  - Panther가 관리하는 헬퍼 함수를 활용하거나 자체적으로 생성하는 것을 고려하세요.
  - Python 함수를 입력한 다음 테스트.

콘솔에서 룰 및 예약 룰 생성

로그 소스에 대해 하나 이상의 룰을 생성하세요.
- Python 룰을 생성하려면, 다음 지침을 따르세요.
- Simple Detection 빌더를 사용하려면, 다음 지침을 따르세요.
필요한 경우, 로그 소스에 대해 하나 이상의 예약 룰을 생성하려면 다음 지침을 따르세요.

필요한 경우, 로그 소스에 대해 하나 이상의 예약 룰을 작성하려면

(선택 사항) 단계 2.3: 각 클라우드 보안 스캐닝 계정에 대한 정책 생성 또는 활성화 클라우드 보안 스캐닝클라우드 보안 스캐닝을 위해 하나 이상의 AWS 계정을 온보딩했다면, Panther가 관리하는 정책을 활성화하거나 직접 생성하세요.

콘솔에서 Panther가 관리하는 정책 활성화

Panther 콘솔에서 Panther Core AWS Pack 을 활성화하세요. 이 팩은 정책 외에도 룰, 헬퍼 및 데이터 모델을 포함합니다.
- 콘솔에서 팩을 활성화하는 방법에 대한 지침은 여기를 참조하세요.

콘솔에서 정책 생성

콘솔에서 정책을 생성하려면, 다음 지침을 따르세요.

CLI 워크플로우에서 Panther가 관리하는 정책 활성화

아직 수행하지 않았다면, 다음 지침을 따르세요 디텍션의 panther-analysis에서 매크로 소스 코드를 보려면: Python 디텍션의
내부의 panther-analysis 리포지토리 복사본의 policies 디렉터리에서 관심 있는 디렉터리(즉, 모니터링하려는 AWS 리소스를 다루는 디렉터리)를 식별하세요.
관심 있는 각 디렉터리에서 활성화하려는 Panther가 관리하는 각 정책에 대해 해당 디텍션의 대응 YAML 파일에 다음을 설정하세요:
```
Enabled: True
```
관심 있는 각 디렉터리에서 디렉터리에 포함되어 있지만 활성화하고 싶지 않은 정책이 있다면 해당 디텍션의 대응 YAML 파일에 다음을 설정하세요:
```
Enabled: False
```
다음 방법으로 디텍션을 수동으로 Panther에 업로드하세요 )로 룰을 작성할 수 있습니다; 예약된 룰은, 또는 CI/CD 파이프라인을 구성하여 PAT로 디텍션 콘텐츠를 업로드하세요.

CLI 워크플로우에서 정책 생성

CLI 워크플로우에서 정책을 작성하려면, 다음 지침을 따르세요.

디텍션: 추가로 할 일

CLI 워크플로우를 사용 중이라면, CI/CD 파이프라인을 구성하여 Panther에 업로드.
port 중복 제거 창 하여 디텍션이 예상대로 일치하는지 확인하세요.
클라우드 보안 스캐닝을 위해 AWS 계정을 온보딩했다면, 실시간 모니터링.

을 설정하세요

단계 3: 알러트 전송 대상 구성 알러트 전송 대상을 설정하여 Panther 콘솔 외부의 위치에서 알러트를 받으세요. 단계 3.1: Panther 알러트를 받을 위치 식별

팀이 Panther 알러트를 받기에 가장 적합한 위치는 어디인가요? 여러 전송 대상을 구성하고 서로 다른

유형의 알러트를 다른 위치로 라우팅하는 것이 합리적일까요? 심각도 시작 아이디어가 필요하면,

알러트 전송 대상 페이지에서 지원되는 전송 대상 목록을 확인하세요. 또한 사용자 지정 전송 대상 을 생성할 수도 있습니다..

단계 3.2: 전송 대상 설정

설정하려는 각 알러트 전송 대상에 대해:

전송 대상이 Panther에서 기본적으로 지원하는 전송 대상중 하나인 경우, 해당 전송 대상에 특화된 설정 지침을 따르세요.
전송 대상이 Panther에서 기본적으로 지원하지 않는 경우:
- 전송 대상이 HTTP 원시 이벤트(HTTP Raw events) 페이로드를 포함한 HTTP JSON 요청을 받을 수 있다면, 커스텀 웹후크 전송 대상으로 사용하는 지침을 따르세요.
- 또는 일정에 따라 Panther API를 폴링하여 새 알러트를 확인하는 방식을 고려하세요. 이 옵션에 대해 자세히 알아보려면 여기를 참조하세요.

단계 3.3: 적어도 하나의 전송 대상이 시스템 오류를 수신하는지 확인

시스템 오류는 로그 소스가 비정상 상태가 되거나 알러트 전달이 실패하는 등 Panther 워크플로우의 일부가 올바르게 작동하지 않을 때 사용자에게 알립니다. 시스템 오류에 대해 자세히 알아보려면 시스템 상태 알림.

을 참조하세요. 알러트 유형 각 알러트 전송 대상을 설정할 때 아래에 표시된 대로 해당 전송 대상으로

전송되는

유형을 선택합니다. 적어도 하나의 알러트 전송 대상이 시스템 오류를 수신하도록 구성하는 것을 강력히 권장합니다. 알러트 할당 및 관리.

알러트 전송 대상: 추가로 할 일

Panther에서 알러트를 분류(트리아지)하는 방법을 학습하세요.

단계 4: 검색 도구 사용법 학습 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 도구에서 실행되었습니다.
보안 사고를 조사할 때까지 기다리기 전에 Panther의 panther_monitor.
- 검색 도구 를 편하게 사용할 수 있어야 합니다..

필터를 만들고

에서 검색을 실행하는 연습을 하세요SQL 작성이 익숙하다면, 예약된 룰.

에서 쿼리 실행 연습을 하세요

Panther의 인리치먼트 예제 쿼리는

Data Explorer SQL 검색 예제 IPinfo, 에서 확인하세요및 검색: 추가로 할 일
예약 검색을 생성하세요 그 위에 와 Okta 프로필
를 생성할 수 있습니다. (선택 사항) 단계 5: 엔리치먼트 설정

기능은 로그 이벤트에 유용한 컨텍스트를 추가하여 더 높은 정확도의 디텍션을 작성하고 더 많은 정보를 제공하는 알러트를 생성할 수 있게 합니다. 이러한 기능에는 다음이 포함됩니다：

이전빠른 시작 다음데이터 소스 및 전송

마지막 업데이트 2개월 전

도움이 되었나요?

hashtag개요

hashtag전제 조건

hashtag단계 1: 로그 소스 온보딩

hashtag단계 1.1: 온보딩할 로그 소스 식별

hashtag단계 1.2: 각 로그 소스 온보딩

hashtag(선택 사항) 단계 1.3: 클라우드 보안 스캐닝을 위한 AWS 계정 온보딩

hashtag단계 2: 디텍션 생성 또는 활성화

hashtag단계 2.1: 디텍션 관리를 위한 콘솔 또는 CLI 워크플로우 선택

hashtag단계 2.2: 각 로그 소스에 대한 룰 및 예약 룰 생성 또는 활성화

hashtag을 따르세요.

hashtag사용자 지정 로그

hashtag필요한 경우, 로그 소스에 대해 하나 이상의 예약 룰을 작성하려면

hashtag을 설정하세요

hashtag팀이 Panther 알러트를 받기에 가장 적합한 위치는 어디인가요? 여러 전송 대상을 구성하고 서로 다른

hashtag단계 3.2: 전송 대상 설정

hashtag단계 3.3: 적어도 하나의 전송 대상이 시스템 오류를 수신하는지 확인

hashtag알러트 전송 대상: 추가로 할 일

hashtag에서 쿼리 실행 연습을 하세요

개요