Panther에서의 위협 헌팅

개요

SIEM에서 위협 헌팅에 대한 일률적인 공식은 없지만, 이 페이지에 설명된 기술들은 조사를 시작하는 방법을 결정하는 데 도움이 될 수 있습니다. 알러트를 받은 후에는 다음을 먼저 수행하는 것이 좋습니다 Panther AI 분류 보기제안된 후속 프롬프트를 실행하거나 데이터 중심으로 피벗할 수 있습니다. 특정 경우에는 Panther에서 모든 로그에서 값을 검색해야 할 수 있습니다.

알러트를 받은 후 검색을 시작하는 방법

Panther 알러트 잠재적으로 악의적인 행위를 식별했습니다—이제 알러트가 실제 양성인지 여부를 이해하기 위해 활동에 대해 더 알아야 합니다.

Panther 콘솔의 알러트 세부정보 페이지에서 다음 작업을 수행할 수 있습니다.

Panther AI 알러트 분류 보기

다음에서(From the) Panther AI 알러트 분류 요약에서 Panther AI가 실행한 쿼리를 검토하고/또는 추가 조사를 위해 프롬프트할 수 있습니다:

• Panther AI가 분류 과정에서 실행한 쿼리 보기.

  • Panther AI는 초기 조사 중에 유용하다고 판단되는 데이터를 수집하기 위해 쿼리를 실행할 수 있습니다. 이러한 쿼리는 형식이 인용.

  • 쿼리 결과는 전체 AI 분류 요약에 통합되지만, 직접 확인하고(및 피벗) 시작점으로 사용하려면 쿼리 인용을 클릭하면 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다로 이동하여 쿼리가 실행됩니다.

    
• Panther AI에 검색을 생성하도록 프롬프트하기

  • port 자연어 를 사용하여 Panther AI에 검색을 실행하도록 프롬프트하고/또는 초기 AI 분류에서 제공된 추천 후속 AI 프롬프트중 하나를 선택하십시오—자세한 내용은 AI가 제안한 후속 프롬프트를 사용한 알러트 분류 실행 예시를 참조하세요.

제공된 PantherFlow Investigation 쿼리 실행

특정 Panther 관리 디텍션경우에 알러트는 PantherFlow Investigation 알러트 컨텍스트 필드와 함께 생성됩니다. (이 필드는 pantherflow_investigation() 헬퍼를 사용하여 생성됩니다.) 이 쿼리를 복사하여 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

인디케이터 값으로 피벗

인디케이터 값으로 피벗하려면, 알러트와 연결된 이벤트에서 p_any 필드(또는 지표 필드라고도 함)를 찾으십시오. 값 위에 마우스를 올리고 돋보기 아이콘(툴팁 인디케이터 검색):

을(를) 클릭하세요. 그러면 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 로 이동하여 해당 값(관련 인디케이터 필드에서)에 대한 전체 로그 검색이 실행됩니다:

알러트 이벤트 검색

일반 구성 이벤트 섹션에서, 클릭하여 이벤트 검색. 그러면 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 로 이동하여 알러트와 관련된 이벤트를 보게 됩니다. 거기서부터 데이터 중심으로 피벗 하여 추가 조사를 진행할 수 있습니다.

Panther에서 모든 로그에서 값을 검색하는 최선의 방법

Panther에서 모든 로그에서 값을 검색할 때 두 가지 일반적인 시나리오가 있습니다:

• (권장) 인디케이터 검색 수행

• 전체 텍스트 검색 수행

인디케이터 검색은 훨씬 적은 데이터를 검색하므로 더 효율적이기 때문에 가능하면 권장됩니다. 그러나 두 시나리오 모두에서 최선의 검색 방법에 대한 권장 사항이 있습니다.

인디케이터 검색 수행

인디케이터 검색을 수행한다는 것은 특정 지표 필드 (또는 p_any 필드)에서 모든 로그를 대상으로 값만 검색하는 것을 의미합니다. 이 유형의 검색은 검색하려는 값이 p_any 필드로 추출되어 있는 경우에 가능합니다(즉, 로그 스키마가 필드를 지표만 유추할 수 있습니다).

로 적절히 지정함). 값이 어떤 인디케이터 필드에 있을지 알 필요는 없습니다, 왜냐하면 검색 필터 칩 이(가) 올바른 필드를 자동 감지할 수 있기 때문입니다.

Panther에서 인디케이터 검색을 실행하는 방법은 다음과 같습니다:

• Search(에서필터 칩 사용 이전에 생성한 Snowflake 사용자 이름, 예를 들면 PantherFlow)

• GraphQL API 사용

• Panther AI 사용

(권장) 필터 칩을 사용하여 Search에서 인디케이터 검색 수행

다음과 같이 필터 칩을 사용하여 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다에서 인디케이터 검색을 실행할 수 있습니다:

• 값이 어떤 인디케이터 필드에 있을지 알고 있을 때: 데이터베이스 및 테이블 필터 가 로그 와 모든 테이블로 각각 설정되어 있을 때, 키/값 필터 식을(를) 생성하십시오. 여기서 키는 지표 필드.

  • 아래 예에서 AWS ARNs는 p_any_aws_arns.

    
• 의 콘솔 친화적 별칭입니다. 값이 어떤 인디케이터 필드에 있을지 모를 때: 필터 칩에 값을 입력할 때자동 감지 를 선택하십시오. 아래 예에서 Search는 T1234 p_any_mitre_attack_techniques.

  

  • 또한 가 MITRE ATT&CK 기술임을 감지하고 해당 값을 에서만 검색합니다. 값이 어떤 인디케이터 필드에 있을지 모를 때: 필터 칩에 값을 입력할 때침해 지표(Indicators of Compromise, IoC)의 목록을 붙여넣고

를 선택하면, Search는 가능한 경우 각 값을 자동으로 인디케이터 필드에 매핑합니다.

PantherFlow를 사용하여 Search에서 인디케이터 검색 수행 PantherFlow을(를) 사용하여 인디케이터 검색을 실행하려면, union 연산자를 사용하여 모든 테이블을 조인한 다음, 특정 인디케이터 필드로 검색을 제한하기 위해 where 절을 사용하십시오.

클릭하여 이를 port p_any 필드만 일치시킬 수 있습니다. (하나의 로그 타입과만 연관된 룰의 경우에는 어떤 필드든 일치시킬 수 있습니다.).

모든 로그 검색 예시:

GraphQL API를 사용하여 인디케이터 검색 수행

다음을 사용하세요 executeIndicatorSearchQuery GraphQL API 뮤테이션.

예시 보기 에 대해 더 읽을 수 있습니다.

Panther AI를 사용하여 인디케이터 검색 수행

에서, : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요 진입점에서, 자연어 에 프롬프트하여 검색을 실행하도록 하십시오. 올바른 데이터 검색 및 분석 도구 와 지표 필드 가 자동으로 선택됩니다.

예를 들어, 다음을 입력했다면 IP XXX.XXX.XXX.XXX가 존재하는 모든 로그 찾기Panther AI는 XXX.XXX.XXX.XXX 을(를) 검색할 것입니다 p_any_ip_addresses.

전체 텍스트 검색 수행

전체 텍스트 검색은 하나 이상의 데이터베이스.

Search에서 필터 칩 사용

• PantherFlow를 사용한 Search에서

• 필터 칩을 사용하여 Search에서 전체 텍스트 검색 수행

Search에서 필터 칩으로 전체 텍스트 검색을 수행하려면,

자유 텍스트 필터 식 을(를) 생성하십시오..

값을 입력할 때는 값이 어떤 인디케이터 필드에 있을지 모를 때: 필터 칩에 값을 입력할 때 옵션.

선택하지 마십시오

PantherFlow를 사용하여 Search에서 전체 텍스트 검색 수행 union PantherFlow에서 모든 로그를 검색하려면:

| search 'alice' or 'bob' 최적화를 개선하려면 다음 원칙을 따르는 것이 권장됩니다 PantherFlow 모범 사례.