
TL; DR:
Mengadopsi metodologi modern yang digerakkan oleh pengujian untuk mengamankan organisasi Anda dengan Detection-as-Code.
Selama dekade terakhir, deteksi ancaman telah menjadi bisnis penting dan bahkan lebih rumit. Saat bisnis beralih ke cloud, proses deteksi ancaman manual tidak lagi dapat mengikuti. Bagaimana tim dapat mengotomatiskan analisis keamanan dalam skala besar dan mengatasi tantangan yang mengancam tujuan bisnis? Jawabannya terletak pada memperlakukan deteksi ancaman seperti perangkat lunak atau deteksi sebagai kode.
Tonton Webinar Sesuai Permintaan Panther: Menskalakan Keamanan dengan Deteksi-sebagai-Kode dengan Cedar untuk mengetahui bagaimana Cedar menggunakan Panther untuk memanfaatkan Deteksi-sebagai-Kode guna membangun peringatan sinyal tinggi.
Deteksi-sebagai-Kode: Paradigma Baru (Harapan) Deteksi mendefinisikan logika untuk menganalisis data log keamanan guna mengidentifikasi perilaku penyerang. Saat aturan cocok, peringatan akan dikirim ke tim Anda untuk penahanan atau penyelidikan.
Apa itu deteksi-sebagai-kode?
Detection-as-Code adalah pendekatan modern, fleksibel, dan terstruktur untuk menulis deteksi yang menerapkan praktik terbaik rekayasa perangkat lunak untuk keamanan. Dengan mengadopsi paradigma baru ini, tim dapat membangun proses yang dapat diskalakan untuk menulis dan memperkuat deteksi untuk mengidentifikasi ancaman canggih di lingkungan yang berkembang pesat.
Manfaat Mengadopsi Alur Kerja Berbasis Kode
Program deteksi ancaman yang disesuaikan untuk lingkungan dan sistem tertentu adalah yang paling berdampak. Dengan memperlakukan deteksi sebagai kode yang ditulis dengan baik yang dapat diuji, diperiksa ke kontrol sumber, dan kode-review oleh rekan-rekan, tim dapat menghasilkan peringatan berkualitas tinggi yang mengurangi kelelahan dan dengan cepat menandai aktivitas yang mencurigakan.
1 — Bangun Deteksi Kustom dan Fleksibel dengan Bahasa Pemrograman
Menulis deteksi dalam bahasa yang diakui secara universal, fleksibel, dan ekspresif seperti Python menawarkan beberapa keuntungan daripada menggunakan bahasa khusus domain (DSL) yang terlalu terbatas. Dengan bahasa, seperti Python, Anda dapat menulis deteksi yang lebih canggih dan disesuaikan agar sesuai dengan kebutuhan khusus untuk perusahaan Anda. Aturan-aturan ini juga cenderung lebih mudah dibaca dan dipahami seiring dengan meningkatnya kompleksitas.
Manfaat lain dari pendekatan ini adalah memanfaatkan kumpulan kaya pustaka bawaan atau pihak ketiga yang dikembangkan oleh komunitas keamanan untuk berinteraksi dengan API atau memproses data, yang meningkatkan efektivitas deteksi.
2 — Pengembangan Berbasis Tes (TDD)
QA yang tepat untuk kode deteksi dapat memungkinkan tim untuk menemukan deteksi titik buta sejak dini, mencakup pengujian untuk peringatan palsu, dan mempromosikan kemanjuran deteksi. Pendekatan TDD memungkinkan tim keamanan untuk berpikir seperti penyerang, mendokumentasikan pengetahuan itu, dan menyusun gudang wawasan internal ke dalam siklus hidup penyerang.
Keuntungan dari TDD lebih dari sekedar validasi kebenaran kode. Pendekatan TDD untuk menulis deteksi meningkatkan kualitas kode deteksi dan memungkinkan deteksi yang lebih modular, dapat diperluas, dan fleksibel. Insinyur dapat dengan mudah membuat perubahan pada deteksi mereka tanpa takut melanggar peringatan atau menghambat operasi sehari-hari.
3 — Kolaborasi dengan Sistem Kontrol Versi
Saat menulis deteksi baru atau memodifikasinya, kontrol versi memungkinkan tim dengan cepat dan mudah kembali ke status sebelumnya. Ini juga menegaskan bahwa tim menggunakan deteksi paling mutakhir daripada merujuk kode yang ketinggalan zaman atau salah. Kontrol versi juga dapat membantu memberikan konteks yang diperlukan untuk deteksi spesifik yang memicu peringatan atau membantu menunjukkan dengan tepat saat deteksi diubah.
Saat data baru dan tambahan memasuki sistem dari waktu ke waktu, deteksi juga harus berubah. Proses kontrol perubahan sangat penting untuk membantu tim menangani dan menyesuaikan deteksi sesuai kebutuhan, sekaligus memastikan bahwa semua perubahan didokumentasikan dengan baik dan ditinjau dengan baik.
4 — Alur Kerja Otomatis untuk Deteksi yang Andal
Pipeline Continuous Integration/Continuous Deployment (CI/CD) dapat bermanfaat bagi tim keamanan yang telah lama ingin memindahkan keamanan lebih jauh ke kiri. Menggunakan pipeline CI/CD membantu mencapai dua tujuan berikut:
- Hilangkan silo di antara tim saat mereka bekerja bersama di platform yang sama, tinjau kode pekerjaan satu sama lain, dan tetap teratur.
- Sediakan jalur pengujian dan pengiriman otomatis untuk deteksi keamanan Anda. Tim dapat tetap gesit dengan berfokus pada pembuatan deteksi yang disempurnakan. Alih-alih menguji, menerapkan, dan memastikan bahwa deteksi tidak terlalu disetel secara manual, yang dapat memicu peringatan palsu.
5 — Kode yang dapat digunakan kembali
Last but not least, Deteksi-sebagai-Kode dapat mempromosikan penggunaan kembali kode di sejumlah besar deteksi. Saat tim menulis sejumlah besar deteksi dari waktu ke waktu, mereka mulai melihat pola tertentu muncul. Insinyur dapat menggunakan kembali kode yang ada untuk melakukan fungsi yang sama atau sangat mirip di berbagai deteksi tanpa memulai dari awal.
Penggunaan kembali kode dapat menjadi bagian penting dari penulisan deteksi yang memungkinkan tim untuk berbagi fungsi antara deteksi atau memodifikasi dan mengadaptasi deteksi untuk kasus penggunaan tertentu. Misalnya, Anda perlu mengulang serangkaian daftar Izinkan/Tolak (katakanlah untuk manajemen akses) atau logika pemrosesan tertentu di banyak tempat. Dalam hal ini, Anda dapat menggunakan Pembantu dalam bahasa seperti Python untuk berbagi fungsi antar deteksi.
Perkenalan pada Harimau kumbang
Panther adalah platform analitik keamanan yang dirancang untuk mengatasi masalah SIEM tradisional. Panther dibuat untuk insinyur keamanan, oleh insinyur keamanan. Alih-alih menciptakan bahasa eksklusif lain untuk mengekspresikan logika deteksi, Panther menawarkan kepada tim keamanan mesin aturan Python untuk menulis deteksi ancaman ekspresif dan mengotomatiskan deteksi dan respons pada skala cloud. Pendekatan modular dan terbuka Panther menawarkan integrasi yang mudah dan deteksi yang fleksibel untuk membantu Anda membangun jalur operasi keamanan modern.
![]() |
Alur kerja Deteksi-sebagai-Kode di Panther |
Panther menawarkan deteksi yang andal dan tangguh yang dapat memudahkan untuk:
- Tulis deteksi ekspresif dan fleksibel dengan Python untuk kebutuhan khusus untuk perusahaan Anda.
- Susun dan normalkan log ke dalam skema ketat yang memungkinkan deteksi dengan Python dan kueri dengan SQL.
- Lakukan deteksi ancaman waktu nyata dan investigasi daya terhadap data keamanan dalam jumlah besar.
- Manfaatkan 200+ deteksi bawaan yang dipetakan ke ancaman tertentu, aktivitas mencurigakan, dan kerangka kerja keamanan seperti MITRE ATT&CK.
Alur kerja Deteksi-sebagai-Kode di Panther
Contoh Deteksi di Panther
Saat menulis deteksi di Panther, Anda mulai dengan fungsi rule() yang mengidentifikasi perilaku tertentu untuk diidentifikasi. Sebagai contoh, misalkan Anda menginginkan peringatan ketika dicurigai adanya brute force login Okta. Deteksi berikut dapat membantu mengidentifikasi perilaku ini dengan Panther:
![]() |
Aturan Masuk Okta Brute Force di Panther |
Dalam contoh di atas:
- Fungsi rule() mengambil satu argumen ‘event’ dan mengembalikan nilai boolean.
- Fungsi title() mengontrol pesan peringatan yang dihasilkan yang dikirim ke analis. Nilai dari peristiwa kemudian dapat diinterpolasi untuk menambahkan konteks yang bermanfaat.
Aturan dapat diaktifkan dan diuji langsung di UI Panther, atau dimodifikasi dan diunggah secara terprogram dengan alat Analisis Panther, yang memungkinkan Anda menguji, mengemas, dan menerapkan deteksi melalui antarmuka baris perintah (CLI). Dan untuk membantu triase insiden, aturan Panther berisi metadata seperti tingkat keparahan, jenis log, pengujian unit, runbook, dan banyak lagi.
Memulai
Apakah Anda memanfaatkan sepenuhnya semua data keamanan Anda untuk mendeteksi ancaman dan aktivitas mencurigakan? Pelajari cara mengamankan cloud, jaringan, aplikasi, dan titik akhir Anda dengan Panther Enterprise. Minta demo hari ini.