알러트 및 대상

Panther 디택션은 의심스러운 행동에 대해 알러트를 트리거합니다

개요

다음과 같은 경우 알러트가 생성됩니다. 룰, 예약 룰 또는 정책이 의심스러운 행위를 디택션할 때. 알러트가 트리거되면 적절한 알러트 대상 을 사용하여 알러트 라우팅 시나리오. Panther Console에서 알러트의 AI가 생성한 분류 검토를 확인할 수 있으며 를 사용하여 AI 알러트 분류 알러트에 대한 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 받을 수 있습니다.

Panther는 세 가지 유형의 알러트를 생성할 수 있습니다:

알러트: 이 분류에는 활성화된 디택션의 룰 일치, 정책 일치, 예약 룰 일치가 포함됩니다..
디택션 오류: 이는 잘못된 코드 또는 권한 문제로 인해 생성됩니다. 이 경우 룰이 오류를 반환하며 룰 실행이 성공적으로 완료되지 않습니다. 여기에는 룰 오류 및 예약 룰 오류.
시스템 오류: Panther의 시스템 오류는 Panther 플랫폼의 일부가 제대로 작동하지 않을 때 사용자에게 알립니다. 여기에는 로그 소스 비활성, 로그 분류 실패, 로그 소스 권한 실패, 알러트 전달 실패, 클라우드 계정 스캔 실패가 포함됩니다.
- 이러한 오류에 대해 자세히 알아보려면 다음을 참조하세요. 시스템 오류.

또한 Panther REST API 및 GraphQL API.

를 사용하여 알러트와 상호작용할 수 있습니다.

알러트 사용자 지정 다음 기능을 사용하여 디택션 일치에 대해 받는 알러트의 내용을 사용자 지정할 수 있습니다. 또는 YAML 디택션의 알러트 키.

이러한 기능을 사용하면 예를 들어 alert_context() 또는 AlertContext를 사용하여 일치한 이벤트를 포함하거나 title() 또는 AlertTitle).

를 사용하여 이벤트 값을 알러트 제목에 추가할 수 있습니다.

알러트 제한

알러트 제한 기능은 (아마도) 잘못 구성된 디택션에서 발생하는 "알러트 폭주"를 방지하기 위한 것입니다. CreateAlert 필드(또는 Create Alert Console의 토글)가 False (또는 OFF Console에서)로 설정되어 디택션이 추가 알러트를 생성하지 못하게 됩니다. (디택션은 계속해서 일치에 대한 신호 를 생성합니다.) 이런 일이 발생하면 변경 사항을 알리는 시스템 오류 알림과 알러트를 받게 됩니다.

준비가 되면 CreateAlert/Create Alert 값을 다시 True/ON 으로 설정할 수 있습니다. 이는 아마도 디택션 튜닝 후가 될 수 있습니다.

이 알러트 한도를 1,000보다 낮게 설정하려면 Panther 지원 팀에 문의하세요.

여러 이벤트가 있는 알러트

디택션이 중복 제거 기간 및 중복 제거 문자열을 설정한 경우, 동일한 중복 제거 문자열을 공유하는 디택션 일치 이벤트는 중복 제거 기간 동안 첫 번째로 생성된 알러트에 추가됩니다. 이로 인해 하나 이상의 이벤트가 연결된 알러트가 생성될 수 있습니다.

디택션에서 동적으로 생성된 알러트 정보(예: 다음 기능을 사용하여 디택션 일치에 대해 받는 알러트의 내용을 사용자 지정할 수 있습니다. 또는 Simple Detections의 동적 알러트 키)는 첫 번째로 일치한 이벤트의 출력으로 생성됩니다. 추가 로 연결된 이벤트에 대한 알러트 함수/키의 출력은 알러트를 변경하지 않습니다.

예를 들어, 디택션이 severity() 를 사용하여 이벤트 속성을 기반으로 알러트 심각도를 동적으로 설정하고 첫 번째로 일치한 이벤트가 LOW 심각도를 지정하는 경우, 알러트 심각도는 LOW 무기한으로 설정됩니다. 나중에 알러트와 연결된 이벤트가 동일한 severity() 함수를 거쳐 HIGH 심각도를 지정하더라도 마찬가지입니다.

알러트 작업

알러트 받기

Panther Console 외부에서 알러트를 받으려면 알러트 대상을 설정하고 해당 대상이 알러트 라우팅 시나리오.

알러트를 받는 방법을 결정할 때 다음 옵션을 고려하세요:

기본적으로 지원되는 대상: Panther는 Slack, Jira, Amazon SNS와 같은 여러 알러트 대상을 기본적으로 지원합니다. 지원되는 대상의 전체 목록은 알러트 대상 문서 를 참조하세요.
사용자 지정 Webhook: 기본적으로 지원되지는 않지만 API가 있는 대상로 알러트를 라우팅하려는 경우, 사용자 지정 Webhook 옵션을 사용하여 알러트 알림을 보낼 수 있습니다. 구성 방법은 사용자 지정 Webhook 문서 를 참조하세요.
Panther API: 기본적으로 지원되지 않고 API도 없는 대상에서 Panther 알러트를 받고 싶다면, 예약에 따라 Panther API 를 폴링하여 알러트를 받을 수 있습니다. 알러트를 가져오고 조작하기 위한 사용 가능한 API 작업은 알러트 (REST)와 알러트 및 오류 (GraphQL)에서 확인하세요.

알러트는 알러트가 생성된 후에도 수동 알러트 전송.

을 통해 대상로 전달할 수 있습니다.

알러트 조사

구성한 대상로 알러트를 받으면 조사를 시작할 때입니다. 일반적인 조사 워크플로에는 다음이 포함됩니다: AI 알러트 분류.
구성한 대상로 알러트를 받으면 조사를 시작할 때입니다. 일반적인 조사 워크플로에는 다음이 포함됩니다: Search 를 사용하여 침해 지표(IoC)를 조사합니다.
구성한 대상로 알러트를 받으면 조사를 시작할 때입니다. 일반적인 조사 워크플로에는 다음이 포함됩니다: Data Explorer 를 사용하여 SQL로 강력하게 검색합니다.
다음의 데이터를 검토합니다. Panther Console 개요 대시보드.

를 참조하세요. Panther의 데이터 분석 도구에 대한 자세한 내용은 조사 및 Search 문서

알러트 분류 및 관리

알러트 분류, 할당 및 관리에 대한 자세한 내용은 다음 문서 페이지를 참조하세요:

알러트 할당 및 관리
- 알러트 요약 사용, 할당, 할당 해제, 알러트 기록 보기, 알러트에 댓글 추가 등의 분류 작업을 수행합니다.
- 디택션을 빠르게 튜닝 알러트에서 직접 수행할 수 있습니다.
- 또한 Slack에서 알러트 관리 할 수 있으며 Slack Bot 알러트 대상.
알러트 런북
- 많은 Panther 관리 디택션의 경우, 알러트를 트리거한 문제를 수정하기 위한 권장 단계를 찾을 수 있습니다.

알러트 보기

Panther Console에서 알러트 목록 보기

Panther Console에 로그인합니다.
- 랜딩 페이지는 개요 대시보드이며, 여기에서 알러트 지표와 자신에게 할당된 알러트 목록을 볼 수 있습니다. 모든 알러트 목록을 보려면 다음 단계를 진행하세요.
왼쪽 탐색 모음에서 클릭합니다. 알러트.
- 기본적으로 이 페이지는 알러트를 최신순에서 오래된 순으로 나열하고 다음 항목만 표시합니다. 열린 및 분류 완료된 알러트.
- 이 페이지 상단 근처에서 다음을 볼 수 있습니다. AI가 생성한 알러트 목록 분류.
필요에 따라 목록을 필터링하여 결과 범위를 좁히세요.
목록 상단의 탭을 클릭하여 알러트 유형별로 필터링하세요: 알러트, 디택션 오류, 또는 시스템 오류.

Search에서 알러트 보기

알러트를 보려면 Search:

에서 데이터베이스 필터를 선택하고 Signals.
에서 테이블 필터를 선택하고 알러트.
필요에 따라 추가 필터 칩을 만드세요.
클릭하세요 Search.

Panther Console에서 알러트 세부 정보 보기

위에서 설명한 대로 알러트 목록을 보는 동안 알러트 제목을 클릭하여 알러트 세부 정보 페이지를 봅니다:

An alert tile on the alerts list page is shown, with a title reading "AWS login detected without MFA for x in x account x". This title is circled. Below and next to the title are fields like Severity, Assignee and Alert Status.

알러트 세부 정보 페이지에는 다음이 포함됩니다:

기본 정보
- 여기에는 알러트를 트리거한 디택션, 관련 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, MITRE 전술및 알러트 런북.
하나의 Panther AI 분류 시작 옵션
- 참조 AI 알러트 분류.
하나의 알러트 전송 옵션
- 참조 수동 알러트 전송.
이벤트 일치 목록
- 각 이벤트에 대해 이벤트 시간, 이벤트 소스, 관련 p_log_type 및 p_source_label및 IP 정보를 볼 수 있습니다.
외부 대화
- 알러트가 전달된 Slack BoomerangJira 티켓 또는 Asana 작업에 추가 컨텍스트가 있는 경우, 이 섹션의 링크를 클릭하여 해당 정보를 볼 수 있습니다.
- 또한 알러트에 댓글 추가 이 섹션에서.
알러트 기록
- 여기에는 모든 상태 변경 및 댓글 기록이 포함됩니다.
- 알러트가 구성된 알러트 대상 중 하나로 전달되지 못한 경우, 기록 위에 "알러트 전달 실패" 오류가 표시됩니다.
- 대상으로 수동 전달된 알러트도 이 섹션에 표시됩니다. 같은 대상으로 알러트를 여러 번 전달하면 표 항목의 마지막 전달 시간이 업데이트되지만 목록에서 두 번째 항목으로 표시되지는 않습니다.

알러트 세부 정보 페이지의 요약 탭은 알러트 할당 및 관리.

수동 알러트 전송

에서 설명합니다. 수동 알러트 전송은 pypanther 알러트.

알러트 세부 정보 페이지의 "알러트 전송" 버튼을 사용하면 구성된 대상으로 알러트를 수동으로 전달할 수 있습니다.

Alert details page with "Dispatch Alert" button highlighted

알러트 대상은 수동 알러트 라우팅을 허용하도록 개별적으로 업데이트되어야 합니다. 아직 활성화된 대상이 없으면 알러트 전송 을 클릭한 후 팝업이 표시되며, 이 팝업에서 Destinations 페이지로 이동할 수 있습니다.

참조 시나리오 4: 수동 알러트 전송 을 참조하여 수동 전송을 위해 알러트 대상을 활성화하는 단계를 확인하세요.

을 클릭한 후 알러트 전송알러트를 전달할 하나 이상의 대상을 선택하세요. # 대상에게 보내기 를 슬라이드아웃 하단에서 클릭하여 전송합니다. 알러트 활동에서 수동 알러트 전달 기록을 볼 수 있습니다.

참조

알러트 타임스탬프

Panther에서 생성된 각 알러트에는 다음 타임스탬프가 포함됩니다:

p_alert_creation_time

이 룰과 이벤트가 처음 일치한 시간

p_event_time

이벤트가 발생했다고 보고한 시간

p_parse_time

이벤트가 Panther에 의해 처리된 시간

p_alert_update_time

이 룰과 이벤트가 마지막으로 일치한 시간(중복 제거의 경우)

이전WAF Web ACL 다음알러트 대상

마지막 업데이트 2시간 전

도움이 되었나요?

hashtag개요

hashtag를 사용하여 알러트와 상호작용할 수 있습니다.

hashtag를 사용하여 이벤트 값을 알러트 제목에 추가할 수 있습니다.

hashtag여러 이벤트가 있는 알러트

hashtag알러트 작업

hashtag알러트 받기

hashtag을 통해 대상로 전달할 수 있습니다.

hashtag알러트 분류 및 관리

hashtag알러트 보기

hashtagPanther Console에서 알러트 목록 보기

hashtagSearch에서 알러트 보기

hashtagPanther Console에서 알러트 세부 정보 보기

hashtag수동 알러트 전송

hashtag참조

hashtag알러트 타임스탬프

개요