용어집

A

알러트

• 데이터 유출, 익스플로잇 또는 악의적 행위에 대한 정보를 제공하기 위해 프로그래밍된 알람 룰과 상관관계가 있는 간결하고 사람이 읽을 수 있는 이벤트입니다.

• 규칙, 정책 또는 쿼리의 기준이 충족된 후 Panther가 트리거한 이벤트입니다. 참조 알러트 및 목적지 을 참조하세요.

알러트 목적지

• 보안 알러트가 생성된 후 전송되는 지정된 위치입니다.

• Jira, Slack 또는 PagerDuty와 같이 Panther 알러트가 전송되는 선택된 서비스입니다. 참조 대상(Destinations) 을 참조하세요.

API(애플리케이션 프로그래밍 인터페이스)

• 컴퓨터나 애플리케이션 간의 연결로, 상호 통신하고 상호작용하는 방식에 대한 특정 규칙 세트를 정의합니다.

• 환경에서 Fluentd 시작에 관해서는 Panther API 문서.

보조 함수

일명 "알러트 함수"로 불리는 이 함수들은 분석 로직, 생성된 알러트 제목, 이벤트 그룹화, 알러트 라우팅 및 Panther 디텍션의 메타데이터 재정의를 제어하는 Python 함수입니다. 이러한 함수는 다음 양쪽에 적용됩니다: 룰 와 정책설명(Description)은 테이블에 대한 내용을 위한 것이며, 참고 URL은 내부 리소스에 연결하는 데 사용할 수 있습니다. Python 디텍션 작성하기.

B

베타(기능)

Panther 기능은 일반적으로 제공되기 전에 폐쇄 베타, 오픈 베타 또는 둘 다 단계를 거칠 수 있습니다. 베타 단계의 기능은 릴리스 노트 및 문서 페이지에 해당 표기가 됩니다.

• 폐쇄 베타: 이 단계에서는 테스트 및 피드백을 위해 기능이 일부 고객에게만 활성화됩니다. 접근을 요청하면 추가 고객에게 폐쇄 베타 기능이 활성화될 수 있습니다.

• 오픈 베타: 이 단계에서는 기능이 모든 고객에게 활성화되지만 여전히 개발 중입니다. 이 기간 동안 피드백과 버그 리포트는 매우 환영됩니다.

C

CI/CD(지속적 통합/지속적 배포)

• 지속적 통합은 작업이 지속적으로 중앙 위치로 병합되며 일반적으로 안전을 위한 자동화된 테스트를 포함합니다. 지속적 배포 또는 전달은 작업이 지속적으로 프로덕션에 배포된다는 것을 의미합니다.

• Panther의 CI/CD 온보딩 가이드 CI/CD 워크플로로 디텍션을 관리하는 방법에 대한 정보는 참조하십시오.

CLI(명령줄 인터페이스)

• 명령줄, 셸, 가상 터미널 또는 유사한 인터페이스에서 상호작용하는 도구를 가리키는 용어입니다.

• Panther의 문맥에서 CLI는 다음과 같은 도구를 가리킵니다: panther_analysis_tool 와 pantherlogPanther에서 배포하고 고객이 자체 머신에서 로컬로 실행하는 도구입니다.

클라우드 네이티브

클라우드 네이티브 기술은 조직이 퍼블릭, 프라이빗 및 하이브리드 클라우드와 같은 현대적이고 동적 환경에서 확장 가능한 애플리케이션을 구축하고 실행할 수 있도록 합니다. 컨테이너, 서비스 메시, 마이크로서비스, 불변 인프라스트럭처 및 선언적 API가 이러한 접근 방식을 예시합니다.

출처: CNCF

클라우드 계정

Panther 문맥에서 Panther와 연결하여 사용하는 AWS 계정입니다. 클라우드 보안 스캐닝Panther 콘솔의 클라우드 계정 섹션에서 액세스할 수 있습니다.

클라우드 리소스

Panther 문맥에서 클라우드 리소스는 EC2 인스턴스, S3 버킷, IAM 사용자와 같은 AWS 계정 내의 엔터티입니다. 클라우드 리소스는 Panther와 연결한 AWS 계정과 연관됩니다. Panther 콘솔의 클라우드 리소스 섹션에서 액세스할 수 있습니다.

크론

• 특정 날짜와 시간에 하나 이상의 명령을 실행하는 시간 기반 스케줄러입니다.

• Panther의 문맥에서 크론 표현식은 정의된 간격을 설정할 때 사용됩니다. 스케줄된 룰 이전에 생성한 Snowflake 사용자 이름, 예를 들면 스케줄된 검색.

커스텀 웹후크

• 웹 콜백이라고도 하며; 특정 이벤트가 발생할 때 한 시스템이 다른 시스템으로 데이터를 전달할 수 있게 하는 경량의 API입니다.

• Panther의 커스텀 웹훅 목적지 웹훅을 수용하는 선택된 타사 플랫폼으로 알러트를 전달할 수 있습니다.

• Panther의 HTTP 소스 커스텀 웹훅 URL을 통해 로그 이벤트를 수집할 수 있습니다.

D

panther_monitor

panther_monitor 정규화된 데이터를 보고, 룰 매치를 선택하고, SQL 쿼리를 수행하며, 데이터 전반의 표준 필드를 검색하고, 쿼리를 로드하거나 예약하고, CSV 파일로 공유 가능한 결과를 다운로드할 수 있는 Panther 도구입니다.

중복 제거

Panther에서 중복 제거 는 동일한 행위를 가진 여러 지표가 있을 수 있는 경우 동일한 행위에 대해 중복 알러트를 받지 않도록 의심스러운 이벤트를 하나의 알러트로 그룹화하는 프로세스를 의미합니다. 디텍션을 트리거한 모든 이벤트는 지정된 중복 제거 기간 내에 동일한 디텍션 및 후속 중복 제거 문자열을 트리거한 다른 이벤트들과 함께 그룹화됩니다. 이는 두 가지 측면으로 제어됩니다:

• 에서 반환된 중복 제거 문자열 중복 제거 function

• 디텍션에 구성된 중복 제거 기간

코드형 디텍션(Detection-as-Code, DaC)

Detection-as-Code는 버전 관리 시스템(VCS)과 같은 소프트웨어 엔지니어링 모범 사례를 디텍션 관리에 적용하고, 디텍션 변경에 대해 테스트와 수동 검토를 요구하며, 이러한 테스트와 표준을 자동으로 적용(CI)하고 변경을 자동으로 배포(CD)하는 현대적이고 유연하며 구조화된 디텍션 작성 접근 방식입니다.

디텍션 팩

Panther의 선택적으로 하나 이상의 디텍션을 논리적으로 그룹화하고 Panther 콘솔을 통해 디텍션 업데이트를 가능하게 합니다. Panther에서 제공하는 팩은 이 오픈 소스 저장소에 정의되어 있습니다: panther-labs/panther-analysis.

E

EDR(엔드포인트 디텍션 및 대응)

엔드포인트 데이터를 지속적으로 모니터링하고 룰 기반 자동화된 대응을 트리거하는 사이버 보안 솔루션입니다.

인리치먼트

Panther의 엔리치먼트 기능은 조사 워크플로우를 가속화하고 디텍션을 향상시키며 알러트 노이즈를 줄이기 위해 디텍션과 알러트에 중요한 컨텍스트를 추가합니다. Panther는 다음과 같은 엔리치먼트 기능을 제공합니다: 커스텀 룩업 테이블, 아이덴티티 프로바이더 프로필및 엔리치먼트 프로바이더.

G

글로벌 헬퍼

• “헬퍼” 함수는 더 큰 함수나 프로그램의 계산 중 한 부분을 수행합니다. 이를 통해 한 곳에 정의된 로직을 여러 번 재사용할 수 있으며 코드의 논리적 분리로 이해와 테스트가 용이해집니다.

• Panther에서 전역 헬퍼 다른 유형의 Panther 디텍션(정책, 룰, 데이터 모델 등)에서 사용할 수 있는 파이썬 코드를 포함합니다. 이러한 전역 헬퍼는 확장하여 작성하는 모든 디텍션에서 사용할 수 있는 공통 프로그래밍 패턴의 라이브러리 역할을 합니다.

GreyNoise

• 인터넷을 스캔하고 보안 도구를 노이즈로 포화시키는 IP에 대한 데이터를 수집, 분석 및 라벨링하는 회사입니다.

I

IOC(침해 지표)

보안 침해 또는 위협을 나타낼 가능성이 높은 수집된 데이터입니다.

L

로그 정규화

로그 정규화는 업로드된 로그를 파싱하고 도메인 및 IP와 같은 IOC(침해 지표) 필드를 정규화하여 모든 로그 유형에 걸친 효율적이고 효과적인 분석, 검색 및 상관관계를 지원합니다.

룩업 테이블

Panther의 룩업 테이블 디텍션과 알러트가 처리하고 포함하는 이벤트에 중요한 컨텍스트를 추가하여 시간을 절약할 수 있게 합니다. 이는 디텍션을 향상시키고 알러트 노이즈를 줄이며 조사 속도를 높여 조사 워크플로우를 개선하는 데 도움을 줍니다.

M

MDR(매니지드 디텍션 및 대응)

모든 보안 데이터를 지속적으로 모니터링하여 악의적 위협과 침해를 제한하기 위한 강력한 탐지, 모니터링 및 대응을 가능하게 하는 사이버 보안 서비스입니다.

N

자연어

사람들이 서로 소통할 때 사용하는 일상적이거나 대화체의 언어(예: 영어, 스페인어, 한국어)로, Python이나 SQL과 같은 기계가 읽기 위해 설계된 인공 언어(프로그래밍 언어 또는 쿼리 언어)와는 구별됩니다.

종종 AI와 관련하여 이미 알고 있는 언어(예: 영어)를 사용하여 이전에는 기계가 읽을 수 있는 형식으로만 입력을 받았던 시스템과 상호작용할 수 있는 능력을 설명할 때 사용됩니다.

P

Panther-analysis 저장소

A 공개 Github 저장소 룰, 정책 및 예약된 룰을 포함하여 Panther에서 개발한 모든 디텍션의 저장소입니다.

Panther 분석 도구(PAT)

다음으로도 알려져 있음 panther_analysis_tool; 소스 코드에서 Panther 디텍션을 테스트, 패키징 및 배포하기 위한 오픈 소스 유틸리티입니다. PAT의 목적은 고객을 위한 CI/CD 워크플로를 가능하게 하는 것입니다.

Panther 콘솔

Panther의 웹 애플리케이션입니다. 고객은 [customer-URL].runpanther.net에서 로그인할 수 있습니다.

Panther 개발자 워크플로우

CI/CD, API, Terraform, pantherlog 도구 및 Panther Analysis Tool(PAT)을 포함하여 Panther 계정과 상호작용하는 데 사용할 수 있는 Panther 콘솔 외 워크플로입니다.

Panther가 관리하는 디텍션

Panther에서 작성하고 지속적으로 유지 관리하는 디텍션입니다.

피벗

다음 필드를 포함해야 합니다 위협 헌팅검색 대상의 관점을 한 데이터 포인트에서 관련된 다른 데이터 포인트로 전환하여 더 많은 컨텍스트를 발견하는 것입니다. 예를 들어 로그 데이터에서 의심스러운 IP 주소를 조사하는 경우 해당 IP 주소에서 다음으로 피벗할 수 있습니다:

1. 해당 IP 주소와 통신한 모든 호스트명을 조회합니다.

2. 다시 피벗하여 해당 호스트에 로그인한 사용자를 확인합니다.

3. 다시 피벗하여 해당 사용자들이 수행한 다른 활동(예: 로그인, 파일 접근 등)을 확인합니다.

정책

Panther의 정책 은 클라우드 인프라 구성의 잘못된 설정을 식별하고 이후에 알러트를 생성하기 위해 클라우드 인프라 구성을 스캔하고 평가하는 파이썬 함수입니다. 정책은 클라우드 리소스에 특별히 적용되는 반면 룰 는 보안 로그에 적용됩니다.

예쁘게 출력

JSON에서 예쁘게 출력(pretty printing)은 적절한 줄바꿈, 들여쓰기, 공백 및 전체 구조를 포함합니다.

출처: Datagy

R

RBAC(역할 기반 접근 제어)

사용자 역할 및 사용자 권한에 따라 접근을 할당하는 권한 부여 방식입니다.

룰

Panther의 룰 의심스러운 보안 로그 활동을 탐지하고 알러트를 생성하기 위한 파이썬 함수입니다.

• 실시간 룰(간단히 룰)은 시점 기반(단일 로그)을 분석하는 데 사용됩니다.

• 룰은 스트리밍 룰, 실시간 룰, 저지연 룰로도 알려질 수 있습니다. 집계되거나 통계적인 데이터 세트(다수의 로그)를 분석하는 데 사용됩니다.

S

저장된 검색

보존된 검색 표현식입니다. 저장된 검색은 특정 간격으로 실행되도록 설정하여 스케줄된 검색 로 전환할 수 있습니다.

예약된 룰

과 연결된 디텍션입니다. 스케줄된 검색검색이 실행될 때마다 반환된 데이터가 디텍션에 대해 실행되어 일치 항목이 발견되면 알러트합니다.

스케줄된 검색

지정된 간격으로 실행되도록 예약된 저장된 쿼리입니다. 예약된 검색은 일반적으로 적어도 하나의 예약된 룰와 연결됩니다. 예약된 검색은 이전에 "예약된 쿼리"로 알려졌습니다.

필요한 경우

• 스키마는 감지 엔진과 데이터 레이크의 테이블과 같은 다운스트림 서비스에 데이터를 정규화하는 방법을 Panther에 알립니다.

보안 데이터 레이크

데이터 레이크 또는 SDL이라고도 합니다. 조직의 보안 태세와 관련된 모든 로그나 기타 데이터 소스를 유지하고 관리하기 위한 중앙 집중식 저장소입니다. SDL은 다양한 소스에서 데이터를 수집할 수 있으며 단일 장소에서 보안 데이터를 보관, 검색, 및 활용할 수 있도록 다른 보안 분석 도구와 통합할 수 있습니다.

SIEM(보안 정보 및 이벤트 관리)

SIEM은 광범위한 네트워크와 데이터 소스 전반의 보안 데이터를 수집, 저장 및 분석하여 조직이 확대되는 위협을 탐지하고 대응할 수 있게 합니다.

Snowflake

클라우드 기반 데이터 웨어하우스 Panther와 통합되는 기업이 블라인드 스팟을 제거하고 클라우드 규모에서 위협에 대응할 수 있도록 통합적이고 안전하며 확장 가능한 보안 기능을 제공하는 서비스입니다.

SOAR(보안 오케스트레이션, 자동화 및 대응)

위협 관리와 사고 대응 및 자동화된 보안 운영을 결합한 보안 관리 솔루션의 모음입니다.

SOC(보안 운영 센터)

발음은 “쓱( sock )”입니다. 보안 위협을 모니터링, 분석 및 대응하도록 임무를 맡은 IT 전문가 팀입니다.

SSO(싱글 사인온)

한 개의 ID 자격 증명으로 여러 개의 별도이고 독립적인 애플리케이션 및 서비스에 액세스할 수 있도록 사용자가 로그인할 수 있게 하는 인증 프로세스입니다.

X

XDR(확장형 탐지 및 대응)

여러 애플리케이션에 걸쳐 확장된 가시성, 분석 및 대응을 제공하기 위해 데이터 도구를 통합한 것입니다.