용어집

A

경고

• 프로그래밍된 경보 규칙과 연관되어 데이터 유출, 익스플로잇 또는 악의적 행위에 대한 정보를 제공하는 간단하고 사람이 읽을 수 있는 이벤트.

• 규칙, 정책 또는 쿼리의 조건이 충족된 후 Panther가 트리거한 이벤트입니다. 자세한 내용은 경고 및 대상 를 참조하세요.

알림 대상

• 보안 경고가 생성된 후 전송되는 지정된 위치.

• Jira, Slack 또는 PagerDuty와 같이 Panther 경고가 전송되는 선택된 서비스입니다. 자세한 내용은 대상 를 참조하세요.

API(응용 프로그래밍 인터페이스)

• 컴퓨터 또는 애플리케이션 간의 연결로, 서로 통신하고 상호작용하는 방법에 대한 특정 규칙 집합을 정의합니다.

• 환경에서 Fluentd 시작에 대한 정보는 Panther API 문서.

보조 함수

"알림 함수"라고도 하며, Panther의 탐지에 대한 분석 로직, 생성된 알림 제목, 이벤트 그룹화, 알림 라우팅 및 메타데이터 재정의를 제어하는 Python 함수입니다. 이 함수들은 다음 모두에 적용됩니다. 규칙 와 정책(Policies)를 활성화하세요. 에 대해 자세히 알아보세요 Python 탐지 작성(Writing Python Detections).

B

베타(기능)

Panther 기능은 일반 제공되기 전에 폐쇄 베타, 공개 베타 또는 두 가지를 거칠 수 있습니다. 베타 단계의 기능은 릴리스 노트 및 문서 페이지에 해당 표기가 됩니다.

• 폐쇄 베타: 이 단계에서는 기능이 테스트 및 피드백을 위해 일부 고객에게 활성화됩니다. 폐쇄 베타 기능은 접근을 요청하는 추가 고객에게 활성화될 수 있습니다.

• 공개 베타: 이 단계에서는 기능이 모든 고객에게 활성화되지만 여전히 개발 중입니다. 이 기간 동안 피드백 및 버그 보고를 매우 환영합니다.

C

CI/CD(지속적 통합/지속적 배포)

• 지속적 통합은 작업이 지속적으로 중앙 위치로 병합되는 것을 의미하며 일반적으로 안전을 위한 자동화된 테스트를 포함합니다. 지속적 배포 또는 전달은 작업이 지속적으로 프로덕션에 배포되는 것을 의미합니다.

• Panther의 CI/CD 온보딩 가이드 CI/CD 워크플로로 탐지를 관리하는 방법에 대한 정보를 보려면.

CLI(명령줄 인터페이스)

• 명령줄, 셸, 가상 터미널 또는 유사한 인터페이스에서 상호작용하는 도구를 일컫는 용어입니다.

• Panther의 문맥에서 CLI는 CLI 워크플로우로 테스트하기 와 pantherlog, Panther가 배포하고 고객이 로컬 머신에서 실행하는 도구를 의미합니다.

클라우드 네이티브

클라우드 네이티브 기술은 조직이 퍼블릭, 프라이빗 및 하이브리드 클라우드와 같은 현대적이고 동적인 환경에서 확장 가능한 애플리케이션을 구축하고 실행할 수 있게 합니다. 컨테이너, 서비스 메시, 마이크로서비스, 불변 인프라 및 선언적 API가 이러한 접근 방식을 예시합니다.

출처: CNCF

클라우드 계정

Panther 문맥에서, Panther와 연결하여 사용되는 AWS 계정입니다. 클라우드 보안 스캔Panther 콘솔의 클라우드 계정 섹션에서 액세스할 수 있습니다.

클라우드 리소스

Panther 문맥에서 클라우드 리소스는 EC2 인스턴스, S3 버킷, IAM 사용자와 같은 연결된 AWS 계정 내의 엔터티를 말합니다. 클라우드 리소스는 Panther와 연결한 AWS 계정과 연관됩니다. Panther 콘솔의 클라우드 리소스 섹션에서 액세스할 수 있습니다.

크론

• 특정 날짜와 시간에 하나 이상의 명령을 실행하는 시간 기반 스케줄러.

• Panther 문맥에서 크론 표현식은 예약 규칙을 실행할 때 정의된 간격을 설정하는 데 사용됩니다. 또는 예약된 규칙은 하나 이상과 연결됩니다.

커스텀 웹훅

• 웹 콜백이라고도 하는; 특정 이벤트가 발생할 때 한 시스템이 다른 시스템으로 데이터를 전달할 수 있게 하는 경량 API.

• Panther의 맞춤 웹훅 대상 웹훅을 수락하는 선택된 타사 플랫폼으로 경고를 전달할 수 있게 합니다.

• Panther의 HTTP 소스 맞춤 웹훅 URL을 통해 로그 이벤트를 수집할 수 있게 합니다.

D

데이터 탐색기

데이터 탐색기 정규화된 데이터를 보고, 규칙 일치 항목을 선택하고, SQL 쿼리를 실행하고, 데이터 전반의 표준 필드를 검색하고, 쿼리를 로드하거나 예약하며, 공유 가능한 결과를 CSV 파일로 다운로드할 수 있는 Panther 도구입니다.

중복 제거

Panther에서 중복 제거 는 동일한 동작에 대해 여러 지표가 있을 수 있는 경우 동일한 알림을 중복으로 받지 않도록 의심스러운 이벤트를 하나의 알림으로 그룹화하는 프로세스를 의미합니다. 탐지를 트리거한 모든 이벤트는 지정된 중복 제거 기간 내에 동일한 탐지 및 이후의 중복 제거 문자열과 함께 그룹화됩니다. 이는 두 가지 측면에 의해 제어됩니다:

• 에서 반환되는 중복 제거 문자열 dedup function

• 탐지에 구성된 중복 제거 기간

코드로서의 탐지(Detection-as-Code, DaC)

코드로서의 탐지는 버전 관리 시스템(VCS)과 같은 소프트웨어 공학 모범 사례를 적용하여 탐지를 관리하고, 탐지 변경에 대한 테스트 및 수동 검토를 요구하며, 이러한 테스트 및 표준을 자동으로 시행(CI)하고 변경 사항을 자동으로 배포(CD)하는 현대적이고 유연하며 구조화된 탐지 작성 방식입니다.

탐지 팩

Panther의 탐지 팩(Detection Packs) 탐지를 논리적으로 그룹화하고 Panther 콘솔을 통해 탐지 업데이트를 가능하게 합니다. Panther에서 제공하는 팩은 이 오픈 소스 저장소에서 정의됩니다: panther-labs/panther-analysis.

E

EDR(엔드포인트 탐지 및 대응)

엔드포인트 데이터를 지속적으로 모니터링하고 규칙 기반 자동 대응을 트리거하는 사이버보안 솔루션.

강화

Panther의 보강 기능은 탐지 및 경고에 중요한 컨텍스트를 추가하여 조사를 빠르게 하고, 탐지를 향상시키며, 경고 잡음을 줄입니다. Panther는 다음과 같은 보강 기능을 제공합니다: 사용자 정의 조회 테이블, 아이덴티티 제공자 프로필및 보강 공급자.

G

글로벌 헬퍼

• “헬퍼” 함수는 더 큰 함수나 프로그램의 계산 중 일부를 수행합니다. 이를 통해 한 곳에 정의된 로직을 여러 번 재사용하고 코드의 논리적 분리를 통해 더 나은 이해와 테스트가 가능합니다.

• Panther에서 글로벌 헬퍼 다른 유형의 Panther 탐지(예: 정책, 규칙 및 데이터 모델)에서 사용할 수 있는 Python 코드를 포함합니다. 이러한 글로벌 헬퍼는 확장하여 작성하는 모든 탐지에서 사용할 수 있는 공통 프로그래밍 패턴의 라이브러리 역할을 합니다.

GreyNoise

• 인터넷을 스캔하고 보안 도구를 노이즈로 포화시키는 IP에 대한 데이터를 수집, 분석 및 라벨링하는 회사

I

IOC(침해 지표)

보안 침해 또는 위협을 나타낼 가능성이 있는 수집된 데이터.

L

로그 정규화

로그 정규화는 도메인 및 IP와 같은 IOC(침해 지표) 필드에 대해 업로드된 로그를 파싱하고 정규화하여 모든 로그 유형에 걸친 효율적이고 효과적인 분석, 검색 및 상관관계를 지원합니다.

조회 테이블

Panther의 조회 테이블 탐지 및 경고에 처리하고 포함된 이벤트를 보강하여 중요한 컨텍스트를 추가할 수 있게 합니다. 이는 탐지를 향상시키고 경고 잡음을 줄이며 조사 속도를 높여 조사 워크플로를 개선하는 데 시간을 절약하도록 도와줍니다.

M

MDR(관리형 탐지 및 대응)

모든 보안 데이터를 지속적으로 모니터링하여 악의적 위협과 침해를 제한하기 위한 강력한 탐지, 모니터링 및 대응을 가능하게 하는 사이버보안 서비스.

P

Panther-analysis 저장소

A 공개 Github 저장소 규칙, 정책 및 예약 규칙을 포함하여 Panther가 개발한 모든 탐지를 포함합니다.

Panther 분석 도구(PAT)

다른 이름으로는 CLI 워크플로우로 테스트하기; 소스 코드에서 Panther 탐지를 테스트, 패키징 및 배포하기 위한 오픈 소스 유틸리티입니다. PAT의 목적은 고객을 위한 CI/CD 워크플로를 가능하게 하는 것입니다.

Panther 콘솔

Panther의 웹 애플리케이션. 고객은 [customer-URL].runpanther.net에서 로그인할 수 있습니다.

Panther 개발자 워크플로

CI/CD, API, Terraform, pantherlog 도구 및 Panther Analysis Tool(PAT)을 포함하여 Panther 계정과 상호작용하는 데 사용할 수 있는 Panther 콘솔 이외의 워크플로입니다.

Panther 관리 탐지

Panther가 작성하고 지속적으로 유지 관리하는 탐지.

정책

Panther의 정책(Policies) 클라우드 인프라 구성의 잘못된 설정을 식별하고 이후에 알림을 생성하기 위해 클라우드 인프라 구성을 스캔하고 평가하는 Python 함수입니다. 정책은 클라우드 리소스에 구체적으로 적용되는 반면, 규칙 는 보안 로그에 적용됩니다.

예쁘게 출력(Pretty print)

JSON에서 예쁘게 출력은 적절한 줄바꿈, 들여쓰기, 공백 및 전체적인 구조를 포함합니다.

출처: Datagy

pypanther

pypanther 다음을 가리킬 수 있습니다:

• 탐지 작성 형식: pypanther 탐지 참조

• 설정은 pypanther CLI 도구: 참조

• 설정은 pypanther Python 라이브러리

R

RBAC(역할 기반 접근 제어)

사용자 역할 및 사용자 권한을 기반으로 접근을 할당하는 권한 부여 방법.

규칙

Panther의 규칙 는 의심스러운 보안 로그 활동을 탐지하고 경고를 생성하는 Python 함수입니다.

• 실시간 규칙(일반적으로 규칙이라고 함)은 시점의 단일 로그를 분석하는 데 사용됩니다.

• 예약된 규칙 집계되거나 통계적인 데이터 세트(여러 로그)를 분석하는 데 사용됩니다.

S

저장된 검색

보존된 검색 표현식. 저장된 검색은 일정 간격으로 실행되도록 설정하여 예약된 검색(Scheduled Search)으로부터 출력된 개별 행을 수용하여 작동합니다 로 전환할 수 있습니다.

예약 규칙

와 연관된 탐지. 예약된 검색(Scheduled Search)으로부터 출력된 개별 행을 수용하여 작동합니다검색이 실행될 때마다 반환된 데이터가 탐지와 대조되어 일치 항목이 발견되면 알림을 생성합니다.

예약된 검색(Scheduled Search)으로부터 출력된 개별 행을 수용하여 작동합니다

지정된 간격에 실행되도록 예약된 저장된 쿼리. 예약된 검색은 일반적으로 적어도 하나의 예약 규칙와 연관됩니다. 예약된 검색은 이전에 "예약된 쿼리"로 알려져 있었습니다.

스키마

• 스키마는 탐지 엔진 및 데이터 레이크의 테이블과 같은 다운스트림 서비스에 데이터를 정규화하는 방법을 Panther에 알려줍니다.

보안 데이터 레이크

데이터 레이크 또는 SDL이라고도 함. 조직의 보안 태세와 관련된 모든 로그 또는 기타 데이터 소스를 유지 관리하고 관리하기 위한 중앙 저장소입니다. SDL은 다양한 소스의 데이터를 수집할 수 있으며 단일 보안 데이터 저장소로 활용하기 위해 다른 보안 분석 도구와 통합할 수 있습니다., 및 활용됩니다.

SIEM(보안 정보 및 이벤트 관리)

SIEM은 광범위한 네트워크 및 데이터 소스 전반의 보안 데이터를 수집, 저장 및 분석하여 조직이 고도화되는 위협을 탐지하고 대응할 수 있게 합니다.

Snowflake

클라우드 기반 데이터 웨어하우스 Panther와 통합되어 통합되고 안전하며 확장 가능한 보안 기능을 제공하여 기업이 맹점을 제거하고 클라우드 규모에서 위협에 대응할 수 있게 합니다.

SOAR(보안 오케스트레이션, 자동화 및 대응)

위협 관리를 사고 대응 및 자동화된 보안 운영과 결합한 보안 관리 솔루션 모음.

SOC(보안 운영 센터)

발음은 “삭(sock)”입니다. 보안 위협을 모니터링, 분석 및 대응하는 IT 전문가 팀.

SSO(싱글 사인온)

사용자가 하나의 ID 자격 증명으로 여러 개의 별개이고 독립적인 애플리케이션 및 서비스에 로그인할 수 있게 하는 인증 프로세스.

X

XDR(확장 탐지 및 대응)

여러 애플리케이션 전반에 걸쳐 확장된 가시성, 분석 및 대응을 제공하기 위해 데이터 도구를 통합한 것.