Panther에서 위협 헌팅

개요

SIEM에서 위협 헌팅을 위한 만능 공식은 없지만, 이 페이지에 설명된 기법은 조사를 어떻게 시작할지 결정하는 데 도움이 될 수 있습니다. 알러트를 받은 후에는 먼저 Panther AI 분류 보기, 제안된 후속 프롬프트를 실행하거나, 데이터를 중심으로 피벗할 수 있습니다. 특정 경우에는 Panther에서 모든 로그 전반에 걸쳐 값을 검색.

알러트를 받은 후 검색을 시작하는 방법

Panther 알러트 잠재적으로 악의적인 동작을 식별하는 — 을 받았습니다. 이제 알러트가 진양성인지 이해하기 위해 해당 활동에 대해 더 알아봐야 합니다.

Panther Console의 알러트 세부 정보 페이지에서 아래 작업을 수행할 수 있습니다.

Panther AI 알러트 분류 보기

에서 Panther AI 알러트 분류 요약을 통해 Panther AI가 실행한 쿼리를 검토하거나 추가 조사를 하도록 프롬프트할 수 있습니다:

• 분류 중 Panther AI가 실행한 쿼리 보기.

  • Panther AI는 초기 조사 중 유용하다고 판단한 데이터를 수집하기 위해 쿼리를 실행할 수 있습니다. 이는 다음 형식으로 표시됩니다. 인용.

  • 쿼리 결과는 전체 AI 분류 요약에 반영되지만, 직접 보고 싶다면(그리고 쿼리를 피벗의 시작점으로 사용하려면) 쿼리 인용을 클릭하여 검색로 이동할 수 있으며, সেখানে 쿼리가 실행됩니다.

    
• Panther AI에 검색 생성 프롬프트를 제공하세요.

  • 사용 자연어 를 사용하여 Panther AI에 검색을 실행하도록 프롬프트하거나, 초기 AI 분류에서 다음 중 하나를 선택하세요. 권장 후속 AI 프롬프트— AI가 제안한 후속 프롬프트를 실행하여 알러트 분류하기 예시를 참조하세요.

제공된 PantherFlow Investigation 쿼리 실행

특정 Panther가 관리하는 탐지에서 알러트는 PantherFlow Investigation 알러트 컨텍스트 필드와 함께 생성됩니다. (이는 pantherflow_investigation() 헬퍼를 사용해 생성됩니다.) 이 쿼리를 복사해 검색.

지표 값으로 피벗

지표 값으로 피벗하려면, 알러트와 연결된 이벤트에서 p_any 필드(다음으로도 알려진 지표 필드)를 찾으세요. 값 위에 마우스를 올리고 돋보기 아이콘(툴팁: Indicator Search):

을 클릭하세요. 그러면 검색 로 이동하며, 모든 로그 전반에서 해당 값(관련 지표 필드에서)에 대한 검색이 실행됩니다:

알러트 이벤트 검색

에서 Event 섹션에서 Search Events를 클릭하세요. 그러면 검색 로 이동하며, সেখানে 알러트와 연결된 이벤트를 볼 수 있습니다. 거기서 피벗 을 사용해 데이터를 중심으로 추가 조사할 수 있습니다.

Panther에서 모든 로그 전반에 걸쳐 값을 가장 잘 검색하는 방법

Panther에서 모든 로그 전반에 걸쳐 값을 검색할 때 일반적인 시나리오는 두 가지입니다:

• (권장) 지표 검색 수행

• 전체 텍스트 검색 수행

가능한 경우 지표 검색이 권장됩니다. 훨씬 적은 데이터만 검색하므로 더 효율적이기 때문입니다. 하지만 두 시나리오 모두에서 최적으로 검색하는 방법에 대한 권장 사항이 있습니다.

지표 검색 수행

지표 검색 수행은 특정 지표 필드 (다음으로도 알려진 p_any 필드)에서만 모든 로그 전반에 걸쳐 값을 검색하는 것을 의미합니다. 이 유형의 검색은 검색하려는 값이 p_any 필드로 추출되었음을 알고 있을 때 가능합니다(즉, 로그 스키마가 필드를 지표).

로 올바르게 지정하는 경우). 어느 지표 필드에서 해당 값을 찾을 수 있는지 알 필요는 없습니다. 왜냐하면 검색 필터 칩 이 올바른 필드를 자동 감지할 수 있기 때문입니다.

Panther에서 다음과 같은 방법으로 지표 검색을 실행할 수 있습니다:

• Search에서 (필터 칩 사용 또는 PantherFlow)

• GraphQL API 사용

• Panther AI 사용

(권장) 필터 칩을 사용해 Search에서 지표 검색 수행

다음과 같은 방법으로 필터 칩을 사용해 검색에서 지표 검색을 실행할 수 있습니다:

• 해당 값이 어느 지표 필드에 있을지 알고 있는 경우: 데이터베이스 및 테이블 필터 를 각각 Logs 및 All tables로 설정한 상태에서, 키/값 필터 표현식을 생성하세요. 여기서 키는 지표 필드.

  • 아래 예시에서 AWS ARNs는 Console 친화적 별칭이며, 다음을 가리킵니다. p_any_aws_arns.

    
• 해당 값이 어느 지표 필드에 있을지 모르는 경우: 필터 칩에 값을 입력할 때 auto-detect를 선택하세요. 아래 예시에서 Search는 T1234 가 MITRE ATT&CK 기법임을 감지하고, 해당 값만 p_any_mitre_attack_techniques.

  

  • 에서 검색합니다. 침해 지표(IoC) 목록을 붙여넣을 수도 있으며 auto-detect를 선택하면 Search가 가능한 경우 각 값을 지표 필드에 자동으로 매핑합니다.

PantherFlow를 사용해 Search에서 지표 검색 수행

를 사용하여 지표 검색을 실행하려면 PantherFlow에서 union 연산자를 사용해 모든 테이블을 결합한 다음, where 절을 사용해 검색을 특정 지표 필드로 제한하세요.

자세히 알아보기: 사용 p_any 필드.

모든 로그를 검색하는 예시:

GraphQL API를 사용한 지표 검색 수행

다음 executeIndicatorSearchQuery GraphQL API mutation.

예시 보기 여기.

Panther AI를 사용한 지표 검색 수행

에서 Panther AI 진입점에서 자연어 자연어 로 검색을 실행하도록 프롬프트하세요. 올바른 및 지표 필드 데이터 검색 및 분석 도구

가 자동으로 선택됩니다. 예를 들어, 다음과 같이 입력하면Find all logs where the IP XXX.XXX.XXX.XXX is present 에 대해 Panther AI는 XXX.XXX.XXX.XXX p_any_ip_addresses.

전체 텍스트 검색 수행

를 전체에서 검색합니다. 전체 텍스트 검색은 하나 이상의 데이터베이스.

을 자유 텍스트 검색 대신 수행하는 것이 권장됩니다. 후자는 훨씬 비효율적이어서 완료하는 데 더 오래 걸리고(비용도 더 많이 듭니다).

• Panther에서 다음과 같은 방법으로 전체 텍스트 검색을 실행할 수 있습니다:

• Search에서, 필터 칩 사용

Search에서, PantherFlow 사용

필터 칩을 사용해 Search에서 전체 텍스트 검색 수행 Search에서 필터 칩으로 전체 텍스트 검색을 수행하려면,.

자유 텍스트 필터 표현식 auto-detect 옵션이 선택되어 있습니다.

을 생성하세요. 값을 입력할 때는

를 선택하지 마세요. union PantherFlow를 사용해 Search에서 전체 텍스트 검색 수행:

연산자를 사용하세요. 쿼리 효율성을 높이려면 다음의 원칙을 따르는 것이 권장됩니다. PantherFlow 모범 사례.