조사 및 검색
Panther의 검색 도구를 사용하여 쿼리를 실행하고 정규화된 로그 데이터를 검색하기
개요
Panther의 데이터 분석 도구를 사용하면 보안 데이터 레이크에서 정규화된 로그 데이터, 시그널 등을 검색할 수 있습니다. 다음을 사용하여 로그(및 SQL 없이) 전체를 검색할 수 있습니다 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다또는 다음에서 SQL을 사용하여 철저히 조사할 수 있습니다 panther_monitor.
데이터가 Panther로 수집되면 파싱 및 정규화된 후 Snowflake에 저장됩니다. 이는 과거 데이터에 대한 조사 수행, 룰 작성, 기준 및 이상 행동 식별, 분석 생성에 필요합니다.
어떤 도구 를 사용하여 Panther에서 데이터를 검색할지 결정할 때:
: 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요 는 SQL 또는 PantherFlow 대신 자연어로 데이터를 검색하고 싶을 때 유용합니다.
로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 는 SQL 지식이 제한적인 경우 시작하기에 좋은 곳으로, SQL 구문 없이 쿼리를 구성할 수 있습니다. 또한 다음을 실행할 수 있습니다 PantherFlow 검색에서(또한 Panther AI를 사용하여 PantherFlow 쿼리 생성).
panther_monitor 는 데이터 결합이나 반환 필드 제어를 위해 추가 절을 추가하는 등 복잡하거나 고도로 맞춤화된 검색을 수행할 때 시작하기에 가장 적합합니다.
Panther에서 알러트를 받은 후 조사 시작 방법을 잘 모르겠습니까? 다음을 참조하세요 Panther에서의 위협 헌팅 에서 영감을 얻으세요.
룰의 매치(예: 신호)는 클라우드 보안 스캔 데이터 및 룰 오류와 함께 데이터 레이크에 저장됩니다.
Panther의 데이터 검색 및 분석 도구
: 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요
다음과 함께 : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요를 사용하면 자연어 로 데이터 레이크를 쿼리할 수 있습니다.
지침은 다음을 참조하세요 AI 기반 PantherFlow 쿼리 생성.
로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다
안에 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다에서는 로우코드 필터 칩 이전에 생성한 Snowflake 사용자 이름, 예를 들면 PantherFlow. Search는 도메인별 쿼리 언어 및/또는 로우코드 워크플로를 사용하여 SQL을 작성하는 것을 선호하는 경우 사용하기 좋은 도구입니다.
조사를 시작하는 방법을 알아보려면 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.
panther_monitor
안에 panther_monitor에서는 SQL 쿼리를 작성하고 실행하여 데이터 전체를 검색할 수 있습니다. 또한 검색 저장 및 예약에서, 생성하십시오 템플릿 검색 을(를) 재사용을 위해 저장하고 예약하는 등 다양한 작업을 할 수 있습니다.
다음으로 시작하세요 데이터 탐색기 문서.
GraphQL API
다음을 통해 데이터 레이크에 대해 쿼리를 실행할 수 있습니다 Panther GraphQL API.
예제 쿼리는 다음을 참조하세요 데이터 레이크 쿼리.
Panther의 조사 및 검색 기능
Search 및 Data Explorer 외에도 Panther는 데이터를 빠르고 효율적으로 검색할 수 있는 다른 기능을 제공합니다. 아래 상자를 확장하여 자세히 알아보세요.
표준 필드
Panther의 로그 분석은 모든 로그 레코드에 정규화 필드(IP, 도메인 등)를 적용합니다. 이러한 필드는 모든 데이터 소스에 걸쳐 속성의 이름을 표준화하여 빠르고 쉬운 데이터 상관관계를 가능하게 합니다. 자세한 내용은 다음을 참조하세요 표준 필드.
시각화 및 대시보드
Panther 콘솔에서 자체 맞춤 대시보드를 생성하거나 Panther가 관리하는 다양한 시각화를 사용할 수 있습니다. 자세한 내용은 다음에서 확인하세요 시각화 및 대시보드.
저장된 및 예약된 검색
저장된 검색을 사용하면 Search, Data Explorer 또는 CLI 워크플로에서 생성한 검색을 저장, 재사용, 업데이트 및 삭제할 수 있습니다. 즉, 실행할 때마다 쿼리를 다시 작성하거나 재구성할 필요가 없습니다.
Panther의 예약된 검색은 일정에 맞춰 실행되도록 구성된 저장된 검색입니다. 예약된 룰과 연결할 수 있으며, 이는 실시간 "스트리밍" 데이터 대신 검색에서 반환된 데이터를 룰의 이벤트 입력으로 사용할 수 있게 합니다. 예약된 검색이 실행될 때 해당 예약된 룰 이 매치를 생성하면, 신호 (및 선택적으로 알러트)가 생성됩니다.
자세한 내용은 저장된 및 예약된 검색.
검색 기록
Panther 콘솔의 검색 기록 페이지에는 콘솔에서 실행된 지난 30일간의 검색이 표시됩니다. 검색 이름을 클릭하면 결과를 보고 검색을 다시 실행할 수 있는 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor 로 이동합니다. 실행 중인 검색을 취소할 수도 있습니다. 자세한 내용은 다음을 참조하세요 검색 기록.
예제 검색
Panther는 로그에서 의심스러운 활동을 조사할 때 실행할 수 있는 일반적인 사용 사례와 예제 검색을 제공합니다:
사용 가능한 데이터베이스
Panther에서 분석을 위해 사용 가능한 데이터베이스 목록은 다음을 참조하세요 데이터 레이크.
Panther의 검색 도구 문제 해결
Panther 지식 기반을 방문하여 데이터 분석에 관한 문서를 보세요 자주 묻는 질문에 답하고 일반적인 오류와 문제를 해결하는 데 도움이 됩니다.
마지막 업데이트
도움이 되었나요?