데이터 레이크
개요
Panther는 다음을 지원합니다 Snowflake 와 Databricks 데이터 레이크 백엔드로. 자세한 내용은 다음 문서 페이지를 참조하세요:
SnowflakeDatabricks(베타)사용 가능한 데이터베이스
다음 데이터베이스는 Panther에서 분석할 수 있습니다:
Panther는 다음에 대한 쓰기를 중지합니다 값으로 설정하십시오., CloudFormation 스택 업데이트를 실행하십시오.및 Panther가 Snowflake로 구성되면 일곱 개의 데이터베이스가 있어야 합니다: 에 쓰기를 중단할 예정입니다. 이러한 위치에 기록되는 데이터는 이미 동시에 새로운 위치에 기록되고 있으며, 과거 데이터가 손실되지 않습니다. 변경 사항에 대해 자세히 알아보려면 이 지식 베이스 문서를 참조하세요.
<SNOWFLAKE_IAM_USER>
로그 유형별로 정리된 Log Analysis를 통해 전송된 모든 데이터입니다. 이는 모든 온보드된 로그 유형의 파싱된 레코드를 보유하는 주요 Panther 데이터베이스입니다. 여기의 테이블 수와 크기는 온보드한 소스에 따라 달라집니다.
panther_signals
알러트가 활성화되어 있는지 여부와 관계없이 모든 룰, 스케줄된 룰 및 상관 룰에 의해 생성된 매치입니다.
값으로 설정하십시오.
탐지가 알러트를 활성화한 경우 트리거된 알러트의 이벤트로, 로그 유형별로 정리됩니다. 룰 매치에 표시되는 모든 온보드된 소스마다 Panther는 룰 매치 데이터베이스의 해당 테이블에 행을 생성합니다. 이는 어떤 룰이 왜 작동하는지에 대한 쉬운 히스토리 뷰를 제공합니다.
CloudFormation 스택 업데이트를 실행하십시오.
룰에서 발생한 모든 오류(예: Python 트레이스백)의 이벤트 룰 오류 테이블은 코드 오류, 권한 문제, 오류를 반환하는 룰 및 정상적으로 실행되지 않는 룰 등 디버깅을 용이하게 하는 이벤트를 추적합니다.
Panther가 Snowflake로 구성되면 일곱 개의 데이터베이스가 있어야 합니다:
모든 로그 및 룰 매치 전반에 걸친 표준화된 필드입니다.
Snowpipe 처리 확인
Panther 클라우드 보안 스캔 데이터입니다.
panther_rule_matches (Snowflake 전용)
Panther 데이터 로더 자체 모니터링입니다. Panther Monitor에는 Panther의 Snowflake 데이터베이스로의 데이터 로드 프로세스에 대한 정보가 포함되어 있습니다. 자세한 내용은 Snowflake 백엔드 페이지를 참조하세요.
Panther 뷰
Panther는 다음에 대한 쓰기를 중지합니다 값으로 설정하십시오., CloudFormation 스택 업데이트를 실행하십시오.및 Panther가 Snowflake로 구성되면 일곱 개의 데이터베이스가 있어야 합니다: 에 쓰기를 중단할 예정입니다. 이러한 위치에 기록되는 데이터는 이미 동시에 새로운 위치에 기록되고 있으며, 과거 데이터가 손실되지 않습니다. 변경 사항에 대해 자세히 알아보려면 이 지식 베이스 문서를 참조하세요.
Panther 뷰는 여러 데이터 소스에서 동시에 검색할 수 있게 해주는 공통 데이터 필드를 모아 제공합니다.
다음 뷰를 사용할 수 있습니다:
panther_views.all_databases
모든 데이터(로그, 룰 매치 및 오류) 검색
panther_views.all_logs
모든 로그 데이터 검색
panther_views.all_cloudsecurity
모든 클라우드 보안 데이터 검색. Panther 클라우드 보안 데이터베이스는 모니터링된 환경에서 감지된 스캔의 AWS 구성 정보 및 변경 사항을 저장합니다.
panther_views.all_rule_matches
룰과 일치하는 모든 이벤트 검색
panther_views.all_rule_errors
룰 오류를 발생시키는 모든 이벤트 검색
마지막 업데이트
도움이 되었나요?