Phantom에서 데이터 흐름 분석

Phantom에서 데이터는 외부에서 데이터를 입력해주는 방법으로 구성된다.

즉, 팬텀이 직접 쿼리를 해서 데이터를 가져오는게 아니라 외부에서 API를 사용해서 데이터를 입력한다.

스플렁크에서 기본으로 제공해주는 팬텀 앱을 사용하면 아래 설정을 사용해서 데이터를 팬텀으로 전송할 수 있다.

동작 방식은 SavedSearch가 수행되면 그 결과를 팬텀으로 보낸다.

이때 Container Label이 중요하다. 이 부분을 기준으로 어떤 Playbook이 실행될지 결정된다.

설정하지 않을 경우 events가 자동으로 설정되며, 별도 설정을 할 경우 팬텀에 존재하는 Container Label을 설정해야 한다.

팬텀에서 Container Label을 추가할때는 아래 메뉴에서 작업하면 된다.

 

Container Label로 데이터를 1차 분류할 수 있다.