Panther 로컬 MCP 서버

개요

Panther 모델 컨텍스트 프로토콜 (MCP) 서버는 MCP 클라이언트에서 Panther와의 자연어 상호작용을 가능하게 합니다 중 어떤 것을 선택하든 상관없습니다. 애널리스트로서 알러트를 조사하든, 디택션 엔지니어로서 Cursor에서 룰을 작성하든, 또는 CISO로서 지표와 빠른 인사이트를 찾든, MCP 서버를 통해 Panther API 를 대화형 AI로 사용할 수 있습니다.

Panther MCP 서버는 조직 전반의 사용자들이 Panther에 더 쉽게 접근할 수 있게 합니다. 예를 들어, Python으로 프로그래밍하는 법을 몰라도 룰을 작성할 수 있고, SQL이나 PantherFlow 같은 쿼리 언어 없이 데이터를 검색할 수도 있습니다.

예를 들어, Panther MCP 서버를 다음 용도로 사용할 수 있습니다:

• 디택션 엔지니어링: Cursor 같은 클라이언트를 사용해 데이터 레이크의 실제 로그를 기반으로 룰을 생성합니다.

  • Cursor에서 "계정 333333444444에서 AWS 관리자 계정이 생성될 때 모니터링하는 룰을 만들어줘"

• 알러트 분류: 특정 기간 내에 생성된 여러 알러트를 검토하고 상관관계를 분석합니다.

  • Claude for Desktop에서 "지난 24시간 동안 생성된 중간 이상 알러트를 IP별로 그룹화해서 모두 보여줘"

• 위협 조사: 보안 로그를 쿼리하고 이상 징후를 조사합니다.

  • Claude for Desktop에서 "지난 하루 동안의 AWS CloudTrail 로그에서 로그인 실패 시도를 쿼리해줘."

• Panther 운영: 다음과 같은 운영 문제의 해결을 처음부터 끝까지 신속하게 진행합니다. 룰 오류 또는 시스템 오류.

  • Claude for Desktop에서 "이번 달 알러트 볼륨 기준 상위 10개 룰에 대한 보고서를 생성해줘"

Panther MCP 서버에는 알러트, 데이터, 룰, 데이터 모델, 스키마, 메트릭, Panther 사용자 등 여러 엔터티를 다루는 도구가 포함되어 있습니다. 이러한 도구에 대해 자세히 알아보려면 의 Available Tools 섹션을 참고하세요. mcp-panther 리포지토리의 README.

Panther MCP 서버는 오픈 소스입니다. 자세한 내용은 여기서 기여 가이드라인을 확인하세요. MCP 서버에서 버그를 찾았거나 사용 중 추가 지원이 필요하면 리포지토리에 이슈를 생성하세요.

MCP 워크플로 사용하기

1. 선택한 클라이언트(예: Claude for Desktop)에 MCP 서버를 설치하세요.

   • 다음을 사용해 로컬에 Panther MCP 서버를 설치할 수 있습니다 docker 또는 uvx. 전체 설치 방법은 README의 MCP 서버 설치 섹션을 참고하세요.

2. Panther와 관련된 질문을 하거나 프롬프트를 입력하세요(예: "의심스러운 S3 버킷 접근에 대한 디택션을 작성해줘").

3. 클라이언트는 mcp-panther의 도구를 사용하여 와 상호작용하고 Panther의 API를 필요한 데이터를 수집합니다.

4. 클라이언트는 mcp-panther 의 응답을 사용하여 질문에 답하거나 요청한 작업을 실행합니다.

MCP 서버 보안 강화

Panther MCP 서버를 안전하게 사용하려면 다음 가이드를 따르는 것이 매우 권장됩니다. mcp-panther 리포지토리 README의 Security Best Practices 섹션.

Panther MCP 서버 vs. Panther AI

Panther MCP 서버와 Panther AI 둘 다 자유 형식 프롬프트를 사용해 AI로 Panther 인스턴스와 상호작용할 수 있게 해주지만, 몇 가지 중요한 차이가 있습니다:

MCP 서버 권한 가이드