Panther AI 워크플로 예제

실행 중인 Panther AI의 비디오 및 이미지

개요

이 페이지의 동영상들은 일반적인 Panther AI 워크플로를 보여줍니다. 최상의 시청 경험을 위해 클릭하는 것이 좋습니다 YouTube에서 보기 각 동영상의 왼쪽 하단에서, 또는 전체 화면 모드로 보세요.

알러트와 함께 Panther AI 사용하기

AI 알러트 분류 실행하기

다음의 예시에서 알러트 트리아지에서, Panther AI는:

알러트, 관련 디택션(파이썬 코드 포함), 지난 7일 동안 해당 디택션에서 생성된 알러트, 그리고 지난 24시간 동안의 모든 알러트를 읽어 맥락을 수집합니다
데이터를 분석합니다
다른 도구(예: panther_ai_enrichments_lookup)를 사용하고 데이터 레이크 쿼리를 실행하여 추가 맥락을 수집할 수 있습니다

AI가 제안한 후속 프롬프트를 실행하여 알러트 분류하기

이 예시에서는 AI 알러트 분류 이 실행된 후, 사용자가 추천 후속 AI 프롬프트 섹션에서.

전체 보고서를 위해 여러 AI 응답을 집계하기

에서 AI가 제안한 후속 프롬프트를 실행하여 알러트 분류하기 위의 예시에서, 초기 AI 알러트 분류가 생성된 후 인접한 관심사를 살펴보기 위해 제안된 후속 프롬프트를 클릭합니다. 두 번째 응답은 첫 번째 응답과 관련된 "자식" 응답입니다.

제안된 후속 프롬프트를 클릭하든 직접 입력하든, 응답들(초기 분류 및 후속 응답)은 서로를 인식합니다. 이를 통해 응답 자체에 대해 질문할 수 있으며, 예를 들어 이를 결합해 포괄적인 보고서를 만들 수 있습니다.

예를 들어, 다음의 초기 AI 알러트 분류를 생각해 보세요:

Under an "ALB Web Scanning" header is a Panther AI prompt box, followed by Summary and Key Findings sections.

제안된 프롬프트를 살펴보고 사용자 지정 후속 질문을 한 뒤, 응답 기록 목록 은 다음과 같습니다:

Under an "AI Triage History" header, there is a sub-header labeled "Today." Under it is a table with six entries.

초기 알러트 분류 응답(부모 응답)을 클릭하고 다음을 입력하면:

관련된 모든 AI 응답을 짧은 보고서로 요약하세요.

Under an "ALB Web Scanning" header is a Panther AI prompt bar and sections titled "Summary" and "Key Findings."

다음과 같은 결과를 볼 수 있습니다 ALB 웹 스캐닝 조사 요약:

Under an "ALB Web Scanning Investigation Summary" header are various sub-headers, including "Overview," "Key Findings," and "Risk Assessment."

다음 항목을 열면 분석 에 포함된 요약에서 Panther AI는 모든 관련 응답을 읽고 있음을 보여줍니다:

There is an "Analysis" header with a "Thinking steps" sub-header.

디택션 런북을 사용하여 AI 알러트 분류를 안내하기

동안 알러트 트리아지에서 Panther AI는 알러트 런북의 지침을 읽도록 निर्देश됩니다. 이를 활용하여 알러트를 분류할 때 Panther AI가 특정 작업을 수행하도록 지시할 수 있습니다.

예를 들어, 런북 값으로 다음을 입력할 수 있습니다:

"이벤트의 사용자에 대해 저장된 쿼리인 \"Okta Historical Profile\"을 컨텍스트로 실행하세요."
"최근 일주일 동안 모든 로그에서 다음의 활동을 검색하세요 clientIP 를 컨텍스트로 사용하세요."
"알러트에 항상 요약 댓글을 추가하세요."

Panther AI 친화적인 글쓰기에 대해 더 알아보기 런북 작성하는 방법은 여기에서 알아보세요.

아래 예시에서는 Panther AI가 알러트의 런북 를 알러트 분류 중에 고려한다는 것을 보여주기 위해, 다음 내용을 런북:

분석 보고서 앞에, 리머릭 형식의 요약을 추가하세요.

응답에서 리머릭을 볼 수 있습니다:

Under an "ALB Web Scanning Analysis" title are various sections with text under them, such as "Summary" and "Key Findings."

알러트 목록의 AI 요약 생성하기

아래 예시에서 Panther AI는 최근 알러트를 요약합니다 알러트 목록 페이지에서.

이 동영상은 오래된 Panther Console을 보여줍니다. 이제 알러트 목록 페이지에는 더 이상 프롬프트 바가 없으며, 대신 AI로 요약 버튼이 있으며, 이를 클릭하여 알러트 요약을 생성할 수 있습니다.

알러트 목록에서 공격 시각화하기

아래 예시에서는 특정 공격과 관련된 알러트(다음을 통해 생성됨 적대자 에뮬레이션)를 알러트 목록 페이지에서 선택한 다음 AI 요약을 생성했습니다.

생성된 AI 요약의 프롬프트 바에 다음을 입력했습니다, 플로 차트를 사용하여 공격을 시각화하세요. 이 알러트의 모든 지원 데이터를 분석하세요.:

A prompt bar is shown above a block of text output containing Summary and Key Finding sections.

응답으로 Panther AI는 공격 체인의 다이어그램을 생성합니다:

A diagram of an attack chain in shown, with a number of boxes and arrows. Boxes contain text such as "Defense Evasion" and "Impact & Exfiltration."

지표 검색에 Panther AI 사용하기

위협 인텔리전스 보고서에서 악성 IP 주소와 같은 침해 지표(IoC)를 받아 "이 값들 중 일부를 내 로그에서 본 적이 있나요?"라고 묻는 것은 흔한 일입니다.

검색 결과가 없으면 IoC 위협 헌팅은 간단하지만, IoC가 발견되면 활동 검증이 필요하므로 과정이 시간이 많이 걸릴 수 있습니다. 데이터를 수동으로 검색하는 대신, Panther AI에게 최근 활동을 요약해 달라고 요청할 수 있습니다.

Search와 디택션과 함께 Panther AI 사용하기

검색 결과 AI 요약

아래 예시에서 Panther AI는 검색 결과 요약 을 최근 AWS Application Load Balancer (ALB) 이벤트에 대해 수행합니다.

검색 결과로부터 디택션 작성하기

Panther AI가 잠재적으로 악성 활동을 나타내는 이벤트에 대해 검색 결과 요약 을 수행한 후, Panther AI는 단위 테스트가 포함된 디택션을 생성합니다.

저장된 검색과 함께 Panther AI 사용하기

재사용을 위해 SQL 쿼리 작성 및 저장하기

아래 예시에서는 Panther AI에게 SQL 쿼리(또는 저장된 검색)을 작성하고 이름을 지정하여 향후(사람과 Panther AI가) 사용하도록 요청합니다. 프롬프트는 다음과 같습니다:

ALB 로그의 일주일치 데이터에서 상위 10개 IP 주소를 계산하는 SQL 쿼리를 작성해 주세요. 쿼리 이름을 "Top 10 IP Addresses in ALB"로 저장해 주세요. 쿼리를 실행할 때 결과를 시각화하도록 설명에 Panther AI용 메모를 추가해 주세요.

저장된 SQL 쿼리 실행 및 편집하기

이 예시에서는 Panther AI가 이름이 지정된 저장된 검색 (하지만 SQL 변경이 필요한 수정이 포함된)를 실행하고, 각 IP 주소를 풍부화한 뒤, 결과를 시각화하도록 요청받습니다.

이전Panther AI 및 알러트 다음위험 점수 및 분류 프레임워크

마지막 업데이트 2개월 전

도움이 되었나요?