Panther AI 및 알러트
알러트와 함께 Panther AI 사용하기
개요
Panther AI 기능의 사용은 다음의 적용을 받습니다. 법률 페이지에 있는 AI 면책 조항.
Panther Console에서 알러트를 보는 동안, 알러트 목록 페이지에서 알러트에 대한 AI 생성 트리아지를 볼 수 있으며, 특정 알러트에 대해 정보 수집과 분석을 가속화하기 위해 AI 알러트 트리아지를 사용할 수도 있습니다. 하나 이상의 알러트를 트리아지하면 다음이 표시됩니다. 위험 분류 점수.
AI 추론 수준을 구성하는 방법을 포함해 Panther AI에 대해 더 알아보려면 다음을 참조하세요. Panther AI.
알러트 목록의 Panther AI 트리아지
Panther Console에서 알러트 목록을 볼 때 AI 트리아지를 생성할 수 있습니다. 새 AI 트리아지를 실행하려면, 트리아지하려는 각 알러트 옆의 확인란을 선택한 다음 다음을 클릭하세요. AI로 트리아지.
단일 알러트에 대해 조사 및 분석을 수행하려면 다음을 참조하세요. Panther AI 알러트 트리아지.
이전 AI 트리아지를 보려면 오른쪽 상단에서 다음을 클릭하세요. 다중 알러트 트리아지 보기.
두 경우 모두 새 트리아지 또는 가장 최근 트리아지가 포함된 슬라이드 아웃 패널이 열립니다. 트리아지 제목을 클릭하여 이전 AI 트리아지 목록을 보고 다음을 할 수 있습니다. AI 응답 기록 관리.
Panther AI 알러트 트리아지
Panther AI 알러트 트리아지는 알러트에 대한 조사와 분석을 수행합니다. 이를 통해 알러트에 대한 더 많은 정보를 수집하고 다음에 무엇을 할지 결정할 수 있습니다. AI 알러트 트리아지는 다음과 같이 구성할 수 있습니다. 전체 또는 일부 알러트에 대해 자동 실행또는 필요할 때 실행. AI 알러트 트리아지의 전체 비디오 데모를 여기에서 시청하세요.
AI 알러트 트리아지는 알러트 요약, 해당 알러트가 오탐인지 실제 양성인지에 대한 판단, 권장 후속 조치, 그리고 신뢰 수준에 대한 표시를 제공할 수 있습니다. 특정 알러트에 대한 Panther AI 분석에는 Panther AI의 "사고 과정" 및/또는 알러트로 이어진 이벤트를 시각화한 다이어그램이 포함될 수 있습니다. 분석에는 다음이 포함됩니다. 인용 적절한 경우 Panther 엔터티(예: 알러트, 디택션, 검색)에 대한 것입니다.
설명적인 다음 항목을 제공하는 것이 권장됩니다. 런북 디택션에 대해, Panther AI가 알러트 트리아지 중 이를 읽고 자율적으로 실행하기 때문입니다. Panther AI 친화적인 다음 항목을 작성하는 방법을 알아보세요. 런북 여기.
Panther AI가 쓰기 작업을 어떻게 처리하는지, 어떤 도구에 인간 승인이 필요한지를 포함해 다음에서 알아보세요. 쓰기 작업에 대한 도구 승인.
다음이 있는 경우 Slack Bot Alert Destination 설정되어 있으면, 다음을 할 수 있습니다. AI 트리아지 콘텐츠를 수신하도록 구성.
다음을 포함해 Panther AI에 대해 더 알아보세요. AI 추론 수준 구성 및 AI 응답 관리, 다음에서 Panther AI 및 Panther AI 응답 기록 관리.
AI 알러트 트리아지 자동 실행
자동 실행 AI 트리아지는 다음에서만 사용할 수 있습니다. Cloud Connected 고객 및 SaaS 패스스루 청구를 사용하는 고객.
알러트가 생성될 때 AI 알러트 트리아지가 자동으로 실행되도록 구성할 수 있습니다. 즉, 알러트를 볼 때 직접 트리아지를 실행하고 결과를 기다릴 필요가 없습니다.
모든 알러트에 대해 자동 실행 AI 트리아지를 활성화하거나, 특정 심각도 및/또는 태그를 가진 알러트에 대해서만 활성화할 수 있습니다. 이 기준을 System Configuration에서 설정하는 방법에 대해 자세히 알아보세요.
다음의 추론 수준 특정 디택션에 의해 트리거된 알러트에 대한 자동 실행 AI 트리아지는 해당 디택션에 다음 태그 중 하나를 추가하여 설정할 수 있습니다.
ai:output:shortai:output:mediumai:output:long
자동 실행 AI 알러트 트리아지가 예상대로 자율적으로 실행되지 않거나(또는 출력에 오류가 있는 경우), 다음이 필요할 수 있습니다. Amazon Bedrock 할당량 증가 요청.
자동 실행 AI 알러트 트리아지 지연
기본적으로 AI 알러트 트리아지는 알러트가 생성되자마자 실행됩니다. 그러나 서로 다른 소스의 데이터는 서로 다른 지연 시간으로 도착할 수 있으므로, 즉시 실행하면 곧 사용 가능해질 관련 컨텍스트를 AI 분석이 놓칠 수 있습니다. 디택션에 지연 태그를 추가하면 AI 알러트 트리아지가 시작되기 전에 모든 관련 데이터가 도착할 시간을 확보할 수 있습니다.
다음 형식으로 디택션에 태그를 추가하세요. ai:delay:<duration>, 여기서 <duration> 은 시간 값입니다. 예:
ai:delay:30s— AI 알러트 트리아지를 30초 지연합니다ai:delay:1m— AI 알러트 트리아지를 1분 지연합니다ai:delay:10m— AI 알러트 트리아지를 10분 지연합니다
지연 태그를 추가하면 Panther AI는 지정된 기간 동안 기다린 후 AI 알러트 트리아지를 호출합니다. 최소 지연은 1초이고 최대 지연은 30일입니다. 하나의 ai:delay 태그가 디택션에 여러 개 존재하는 경우 첫 번째 것이 사용됩니다.
지연 태그는 다음과 결합할 수 있습니다. ai:output:* 동일한 디택션의 추론 수준 태그. 예를 들어, 다음 둘 다를 가진 디택션은 ai:delay:5m 및 ai:output:long 고급 수준 AI 알러트 트리아지를 실행하기 전에 5분을 기다립니다.
필요할 때 AI 알러트 트리아지 실행
알러트에서 Panther AI 트리아지를 실행하려면:
알러트 세부 정보 페이지에서 다음을 클릭하세요. Panther AI 트리아지 시작.
이 알러트에 대해 이미 AI 알러트 트리아지를 실행한 경우 다음을 클릭하세요. Panther AI 트리아지 보기.
슬라이드 아웃 패널이 나타나며, 여기에서 Panther AI가 결과를 출력합니다:
(선택 사항) 슬라이드 아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에게 알러트에 대해 어떤 작업을 하도록 지시하세요. 이러한 프롬프트와 그 응답은 다음에 보존됩니다. AI 응답 기록. 예:
이 알러트를 트리거한 디택션을 어떻게 튜닝해야 하나요?Panther AI에게 디택션을 튜닝하도록 요청하는 것은 일반적으로 다음일 때 가장 좋은 결과를 냅니다. 추론 수준 설정이 고급.
이 이벤트 전후 1시간 동안 이 사용자가 AWS에서 다른 작업도 수행했나요?이 알러트의 상태를 "Invalid"로 업데이트하고 "False positive."라는 댓글을 남겨주세요.
(선택 사항) 다음 아래에서 다음 단계, 작업 버튼 중 하나를 클릭하세요:
트리아지 요약을 알러트 댓글로 추가(알러트를 닫지 않음):
알러트의 다음 위치에 상위 수준 알러트 요약이 포함된 댓글을 생성합니다. 활동 로그.
(알러트 상태가 열림 또는 트리아지됨) 알러트 닫기, 댓글 추가 후 Resolved로 표시:
알러트 상태를 다음으로 업데이트합니다. Resolved. 이는 알러트의 다음 위치에 기록됩니다. 활동 로그.
알러트의 다음 위치에 상위 수준 알러트 요약이 포함된 댓글을 생성합니다. 활동 로그.
만약 닫을 때 알러트를 나에게 할당 토글이 다음으로 설정되어 있으면
켜짐, 알러트 담당자가 당신으로 설정됩니다. 이는 알러트의 다음 위치에 기록됩니다. 활동 로그.
(알러트 상태가 열림 또는 트리아지됨) 알러트 닫기, 댓글 추가 후 Invalid로 표시:
알러트 상태를 다음으로 업데이트합니다. Invalid. 이는 알러트의 다음 위치에 기록됩니다. 활동 로그.
알러트의 다음 위치에 상위 수준 알러트 요약이 포함된 댓글을 생성합니다. 활동 로그.
만약 닫을 때 알러트를 나에게 할당 토글이 다음으로 설정되어 있으면
켜짐, 알러트 담당자가 당신으로 설정됩니다. 이는 알러트의 다음 위치에 기록됩니다. 활동 로그.
위험 점수에 기반한 알러트 자동 해결
위험 점수에 기반한 알러트 자동 해결은 Panther 버전 1.119부터 비공개 베타로 제공됩니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.
자동 실행 AI 알러트 트리아지가 활성화되면, Panther AI는 트리아지하는 각 알러트에 위험 분류 점수를 할당합니다. 정의한 임계값 이하의 위험 점수를 가진 알러트를 Panther AI가 자동으로 해결하도록 구성할 수 있습니다.
이는 Panther AI가 저위험으로 판단한 알러트를 자동으로 닫아 알러트 피로도를 줄이는 데 유용하면서도, 결정에 대한 전체 감사 추적은 그대로 보존합니다.
자동 해결 구성
자동 해결에는 다음이 필요합니다. 알러트에 대한 자동 실행 AI 트리아지 활성화, 알러트가 위험 점수를 받기 전에 먼저 Panther AI에 의해 트리아지되어야 하기 때문입니다.
자동 해결을 구성하려면:
Panther Console의 오른쪽 상단에서 톱니바퀴 아이콘(설정) > Panther AI.
다음을 클릭하세요. 알러트 트리아지 탭.
다음을 설정하세요. 위험 점수 기반 자동 해결 토글을
켜짐.다음을 설정하세요. 위험 점수 임계값 슬라이더를 사용해 설정합니다. 슬라이더에는 세 구간이 표시됩니다:
무해 (녹색): 이 범위의 점수는 저위험 알러트를 나타냅니다. 임계값에 권장되는 범위입니다.
결론 불가 (노란색): 이 범위의 점수는 불확실한 위험을 나타냅니다. 이 범위에 임계값을 설정하면 경고가 표시됩니다.
위험 (빨간색): 이 범위의 점수는 고위험 알러트를 나타냅니다. 임계값은 이 범위로 설정할 수 없습니다.
(선택 사항) 하나 이상의 알러트 심각도 를 선택하여 해당 심각도의 알러트로 자동 해결을 제한합니다.
(선택 사항) 하나 이상의 디택션 태그 를 입력하여 해당 태그 중 최소 하나를 가진 디택션에 의해 트리거된 알러트로 자동 해결을 제한합니다.
자동 해결 설정에 대해 다음에서 자세히 알아보세요. System Configuration.
자동 해결 작동 방식
알러트가 생성되고 자동 실행 AI 트리아지가 그 위에서 실행됩니다.
Panther AI는 -1(가장 무해함)부터 +1(가장 위험함)까지의 위험 분류 점수를 생성합니다.
자동 해결이 활성화되어 있고 알러트가 구성한 필터(심각도 및/또는 디택션 태그)를 통과하면, 위험 점수가 임계값과 비교됩니다.
위험 점수가 임계값 이하이면 Panther AI는 다음을 수행합니다:
알러트 상태를 다음으로 업데이트합니다. Resolved.
알러트의 다음 위치에 댓글을 추가합니다. 활동 로그에 위험 분류, 점수, 임계값, 그리고 AI 분석 요약을 기록합니다.
위험 분류를 나타내는 컨텍스트 태그를 적용합니다(예:
ai_risk_benign).자동 해결 작업에 대한 감사 로그 항목을 기록합니다.
마지막 업데이트
도움이 되었나요?