알러트 및 대상

개요

알러트는 귀하의 룰, 예약된 룰 또는 정책이 의심스러운 동작을 디텍션할 때 생성됩니다. 알러트가 트리거되면 적절한 알러트 대상(들) 을(를) 사용하여 알러트 라우팅 시나리오에서 라우팅됩니다. Panther 콘솔에서는 AI가 생성한 알러트 분류(트리아지)를 사용하고 AI 알러트 트리아지 를 사용하여 알러트에 대한 정보를 수집하고 다음에 무엇을 할지 결정할 수 있습니다.

Panther는 세 가지 유형의 알러트를 생성할 수 있습니다:

• 알러트: 이 분류에는 활성화된 룰 일치, 정책 일치 및 예약된 룰 일치가 포함됩니다. 디텍션.

• 디텍션 오류: 이는 잘못된 코드나 권한 문제로 인해 생성됩니다. 이 경우 룰이 오류를 반환하고 룰이 정상적으로 실행을 완료하지 못합니다. 여기에는 룰 오류 및 예약된 룰 오류.

• 시스템 오류: Panther의 시스템 오류는 Panther 플랫폼의 일부가 올바르게 작동하지 않을 때 사용자에게 알립니다. 여기에는 로그 소스 비활성, 로그 분류 실패, 로그 소스 권한 실패, 알러트 전달 실패 및 클라우드 계정 스캔 실패가 포함됩니다.

  • 이러한 오류에 대해 더 알아보려면 시스템 오류.

또한 Panther REST API 와 GraphQL API.

를 사용하여 알러트와 상호작용할 수 있습니다.

알러트 사용자 지정 디텍션 일치에 대해 수신하는 알러트의 내용을 사용자 지정하려면 Python 디텍션의 alert 함수 또는.

YAML 디텍션의 alert 키 를 사용할 수 있습니다. 이러한 함수는 예를 들어 일치하는 이벤트를 포함(사용하여 Python 디텍션의 alert 함수 alert_context()AlertContext )하거나 이벤트 값을 알러트 제목에 추가(사용하여 Python 디텍션의 alert 함수 title()).

AlertTitle

)할 수 있게 해줍니다.

알러트 제한 알러트 리미터 기능은 (아마도) 잘못 구성된 디텍션에서 발생하는 "알러트 폭주"로부터 보호하도록 설계되었습니다. 만약 단일 디텍션이 한 시간 내에 1,000개의 알러트를 생성하면, 해당 디텍션의 CreateAlert 필드(또는 콘솔의 Create Alert 토글)는 False (또는 콘솔에서는 OFF )로 설정되어 해당 디텍션이 추가 알러트를 생성하지 못하도록 합니다. (디텍션은 일치 시 계속해서 신호 를 생성합니다.) 이런 일이 발생하면 변경 사항을 알리는

시스템 오류 알러트 리미터 기능은 (아마도) 잘못 구성된 디텍션에서 발생하는 "알러트 폭주"로부터 보호하도록 설계되었습니다./CreateAlert 알림과 알러트를 받게 됩니다. 준비가 되면(예: 일부 디텍션 튜닝 후) 해당/값을 True

또는

ON

으로 다시 설정할 수 있습니다. 이 알러트 제한을 1,000보다 낮게 설정하고 싶다면 Panther 지원팀에 문의하십시오.다중 이벤트가 있는 알러트

디텍션이 디텍션 일치에 대해 수신하는 알러트의 내용을 사용자 지정하려면 Python 디텍션의 alert 함수 중복 제거 기간 및 중복 제거 문자열을 설정한 경우, 동일한 중복 제거 문자열을 공유하는 디텍션과 일치하는 모든 이벤트는 중복 제거 기간 동안 처음 생성된 알러트에 추가됩니다. 이로 인해 둘 이상의 이벤트가 연결된 알러트가 생성될 수 있습니다. Simple Detections의 동적 알러트 키로 디텍션에서 동적으로 생성된 모든 알러트 정보는 첫 번째 일치 이벤트의 출력으로 생성됩니다.

알러트에 첨부된 추가 이벤트에 대한 알러트 함수/키의 출력은 알러트를 변경하지 않습니다. 예를 들어, 디텍션이 이벤트 속성에 따라 알러트 심각도를 동적으로 설정하기 위해 severity() 예를 들어, 디텍션이 이벤트 속성에 따라 알러트 심각도를 동적으로 설정하기 위해 를 사용하고 첫 번째 일치 이벤트가 추가 LOW 심각도를 나타낸다면, 그 알러트의 심각도는 영구적으로

설정되며—나중에 알러트에 연결된 이벤트가 동일한

함수를 통해

HIGH 알러트 라우팅 시나리오.

심각도를 지시하더라도 변경되지 않습니다.

• 알러트 작업알러트 수신 Panther 콘솔 외부에서 알러트를 수신하려면 알러트 대상을 설정하고 해당 대상이 에 따라 알러트를 수신하도록 구성되어 있는지 확인하세요.

• 알러트를 수신하는 방법을 결정할 때 다음 옵션을 고려하세요:네이티브로 지원되는 대상 : Panther는 Slack, Jira, Amazon SNS와 같은 여러 알러트 대상을 네이티브로 지원합니다. 전체 지원 대상 목록은 알러트 대상 문서

• 를 참조하세요.커스텀 웹후크 를 참조하세요. : 네이티브로 지원되지는 않지만 API가 있는 대상으로 알러트를 라우팅하려면 커스텀 웹후크 옵션을 사용하여 알러트 알림을 보낼 수 있습니다—구성 지침은 알러트 커스텀 웹후크 문서 를 참조하세요. Panther API

: 네이티브로 지원되지 않고 API가 없는 대상으로 Panther 알러트를 수신하려면, 를 폴링하여 일정에 따라 알러트를 수신할 수 있습니다. 알러트를 가져오고 조작하는 사용 가능한 API 작업은.

(REST) 및

Alerts & Errors

• (GraphQL)에서 확인하세요. AI 알러트 트리아지.

• (GraphQL)에서 확인하세요. 알러트는 또한 생성된 후 수동 알러트 전송

• (GraphQL)에서 확인하세요. 으로 대상으로 전달될 수 있습니다. 알러트 조사

• 구성된 대상으로 알러트를 수신하면 조사를 시작할 때입니다. 일반적인 조사 워크플로우는 다음을 포함합니다: 를 사용하여.

Search 를 사용해 침해 지표(IoC)를 조사합니다. Data Explorer

를 사용하여 SQL로 강력하게 검색합니다.

Panther 콘솔 개요 대시보드의 데이터를 검토합니다.

• 더 자세한 Panther의 데이터 분석 도구에 대해서는

  • 조사 및 검색 문서

  • 를 참조하세요. 알러트 분류 및 관리

  • 알러트 분류, 할당 및 관리에 대한 자세한 내용은 다음 문서 페이지를 참조하세요: 알러트 할당 및 관리 트리아지, 알러트 요약 사용, 할당, 할당 해제, 알러트 기록 보기 및 알러트에 댓글 추가. 알러트에서 직접 디텍션을 빠르게 튜닝합니다..

• 또한

  • Slack에서 알러트 관리

를 사용할 수 있습니다.

이는

1. Slack Bot 알러트 대상

   • 을 사용할 때 가능합니다. 알러트 런북많은 Panther 관리 디텍션에 대해 알러트를 트리거한 문제를 수정하기 위한 권장 단계를 찾을 수 있습니다.

2. 알러트 보기 알러트.

   • Panther 콘솔에서 알러트 목록 보기 Panther 콘솔에 로그인하세요. 와 랜딩 페이지는 개요 대시보드

   • 이며, 여기서 알러트 지표와 귀하에게 할당된 알러트 목록을 볼 수 있습니다. 모든 알러트 목록을 보려면 다음 단계를 계속 진행하세요. 왼쪽 탐색 바에서.

3. 을(를) 클릭하세요.

   
4. 기본적으로 이 페이지는 최신순에서 오래된 순으로 알러트를 나열하며 알러트, 열린트리아지됨 시스템 오류.

   

알러트만 표시합니다.

이 페이지 상단 근처에서 알러트는 또한 생성된 후:

1. AI가 생성한 알러트 목록 트리아지 를 볼 수 있습니다.필요에 따라 목록을 필터링하여 결과를 좁히세요. 목록 상단의 탭을 클릭하여 알러트 유형별로 필터링하세요:.

2. AI가 생성한 알러트 목록 트리아지 디텍션 오류필요에 따라 목록을 필터링하여 결과를 좁히세요. 알러트.

3. , 또는

4. 검색에서 알러트 보기 알러트는 또한 생성된 후.

검색에서 알러트를 보려면

에서

데이터베이스 필터

• 에서

  • Signals 테이블 필터를 선택하세요.원하는 추가 필터 칩을 생성하세요. 클릭하세요.

• Panther 콘솔에서 알러트 세부정보 보기 위에 설명된 대로 알러트 목록을 보는 동안 알러트 제목을 클릭하면 알러트 세부정보 페이지를 볼 수 있습니다: 알러트 세부정보 페이지에는 다음이 포함됩니다:

  • 기본 정보 AI 알러트 트리아지.

• Panther 콘솔에서 알러트 세부정보 보기 여기에는 알러트를 트리거한 디텍션, 연관된 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, 알러트 세부정보 페이지에는 다음이 포함됩니다:

  • 기본 정보 를 폴링하여 일정에 따라 알러트를 수신할 수 있습니다. 알러트를 가져오고 조작하는 사용 가능한 API 작업은.

• MITRE 전략

  • 및 알러트 런북 와 이 포함됩니다.A

• Panther AI 트리아지 시작

  • 옵션 참조알러트 전송

  • 알러트 분류, 할당 및 관리에 대한 자세한 내용은 다음 문서 페이지를 참조하세요: 이벤트 일치 목록 각 이벤트에 대해 이벤트 시간, 이벤트 소스, 연관된

• p_log_type

  • p_source_label

  • 및 IP 정보를 볼 수 있습니다.

  • 외부 대화

알러트가 전달된 Slack Boomerang, Jira 티켓 또는 Asana 작업에 추가 컨텍스트가 있는 경우 이 섹션의 링크를 클릭하여 해당 정보를 볼 수 있습니다. 더 자세한 Panther의 데이터 분석 도구에 대해서는.

이 섹션에서 알러트에 댓글을 추가하세요.

구성된 알러트 대상 중 하나로 알러트 전달에 실패한 경우 기록 위에 "알러트 전달 실패" 오류가 표시됩니다. 대상에 수동으로 전달된 알러트도 이 섹션에 표시됩니다. 동일한 대상으로 알러트를 여러 번 전달하면 테이블의 항목에 대한 마지막 전달 시간이 업데이트되지만 목록에 두 번째 항목으로 표시되지는 않습니다..

알러트 세부정보 페이지의 요약 탭은 알러트와 함께 Panther AI 사용.

에 설명되어 있습니다.

Panther AI 기능의 사용은 법무 페이지에 있는 AI 면책조항의 적용을 받습니다. Panther 콘솔에서 알러트를 보는 동안 알러트 목록 페이지에서 AI가 생성한 트리아지를 볼 수 있으며 특정 알러트에 대한 정보 수집 및 분석을 가속화하기 위해 AI 알러트 트리아지를 사용할 수 있습니다. 하나 이상의 알러트를 트리아지하면.

위험 분류 점수 를 보게 됩니다..

AI 추론 수준 구성 방법 등 Panther AI에 대해 자세히 알아보려면 Panther AI.

를 참조하세요. 알러트 목록의 Panther AI 트리아지.

를 보게 됩니다.

알러트와 함께 Panther AI 사용 다음 상황에서 AI 트리아지를 생성할 수 있습니다: Panther 콘솔에서 알러트 목록을 보는트리아지됨 중입니다. 새로운 AI 트리아지를 실행하려면 트리아지하려는 각 알러트 옆의 체크박스를 선택한 다음. AI로 트리아지.

를 클릭하세요. 단일 알러트에 대해 조사 및 분석을 수행하려면 Panther AI 알러트 트리아지

알러트 트리아지는 알러트에 대해 조사 및 분석을 수행합니다. 이는 알러트에 대한 추가 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움이 될 수 있습니다. AI 알러트 트리아지를 모든 또는 일부 알러트에 대해 자동 실행.

되도록 구성하거나 요청 시 실행 할 수 있습니다. AI 알러트 트리아지 전체 데모 영상을 여기에서 시청하세요.

AI 알러트 트리아지는 알러트 요약, 알러트가 오탐인지 진짜 양성인지에 대한 판단, 권장 후속 조치 및 신뢰 수준 표시를 제공할 수 있습니다. 특정 알러트에 대한 Panther AI 분석은 Panther AI의 "사고 과정" 및/또는 알러트를 초래한 이벤트를 시각화한 다이어그램을 포함할 수 있습니다. 분석은 적절할 경우 Panther 엔티티(예: 알러트, 디텍션 및 검색)에 대한 인용 을 포함할 것입니다. 알러트와 함께 Panther AI 사용 와 Panther AI가 알러트 트리아지 중에 읽고 자율적으로 실행하므로 디텍션에 설명적인.

런북

여기

에서 확인하세요. 어떤 도구에 대해 인간 승인(휴먼 인 어클루어)이 필요한지 등 Panther AI의 쓰기 작업 처리 방식을 알아보려면.

쓰기 작업에 대한 도구 승인 을 참조하세요. Slack Bot 알러트 대상을

• 설정한 경우,

• AI 트리아지 콘텐츠 수신

• 하도록 구성할 수 있습니다.

를 참조하세요.

AI 알러트 트리아지 자동 실행

AI 트리아지 자동 실행은 다음 고객만 사용할 수 있습니다: Cloud Connected고객 및 통과 청구가 설정된 SaaS 고객.

• 알러트가 생성될 때 자동으로 AI 알러트 트리아지를 실행하도록 구성할 수 있으므로, 알러트를 볼 때 트리아지를 직접 실행하고 결과를 기다릴 필요가 없습니다. 모든 알러트에 대해 자동 실행 AI 트리아지를 활성화하거나 특정 심각도 및/또는 태그가 있는 알러트에만 적용되도록 설정할 수 있습니다.

• 이 기준을 설정하는 방법에 대해서는 시스템 구성에서 자세히 알아보세요 자동 실행 AI 트리아지의

• 추론 수준 은 특정 디텍션에 다음 태그 중 하나를 추가하여 설정할 수 있습니다:

ai:output:short ai:output:medium ai:output:long

ai:delay:<duration>

, 여기서

1. <duration> 위에 설명된 대로 알러트 목록을 보는 동안 알러트 제목을 클릭하면 알러트 세부정보 페이지를 볼 수 있습니다:.

   • 은 시간 값입니다. 예를 들어: ai:delay:30s.

     
   • — AI 알러트 트리아지를 30초 지연합니다

   
2. ai:delay:1m — AI 알러트 트리아지를 1분 지연합니다ai:delay:10m

   • — AI 알러트 트리아지를 10분 지연합니다

     • 지연 태그를 추가하면 Panther AI는 지정된 기간을 기다린 후 AI 알러트 트리아지를 호출합니다. 최소 지연 시간은 1초이며 최대 지연 시간은 30일입니다. 디텍션에 여러 을 참조하세요. ai:delay 태그가 있는 경우 첫 번째 태그가 사용됩니다..

   • 지연 태그는 같은 디텍션에서

   • ai:output:*

3. 추론 수준 태그와 결합될 수 있습니다. 예를 들어, ai:delay:5m가 있는 디텍션은 고급 수준 AI 알러트 트리아지를 실행하기 전에 5분을 기다립니다.

   • 요청 시 AI 알러트 트리아지 실행:

     • Panther AI 트리아지를 알러트에서 실행하려면: 알러트 세부정보 페이지에서 을(를) 클릭하세요.

   • 이미 해당 알러트에 대해 AI 트리아지를 실행한 적이 있는 경우 Panther 콘솔에 로그인하세요. Python 디텍션의 alert 함수 랜딩 페이지는) Panther AI 트리아지 보기:

     • 를 클릭하세요. 슬라이드 아웃 패널이 나타나며 Panther AI가 결과를 출력합니다:(선택 사항) 슬라이드 아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에게 알러트에 대해 어떤 조치를 취하도록 지시할 수 있습니다. 이러한 프롬프트와 응답은 알러트 세부정보 페이지에서 을(를) 클릭하세요.

     • Panther AI 트리아지를 알러트에서 실행하려면: 알러트 세부정보 페이지에서 을(를) 클릭하세요.

     • AI 응답 기록 에 보존됩니다. 예를 들면: 이 알러트를 트리거한 디텍션을 어떻게 튜닝해야 하나요? 값을Panther AI에게 디텍션 튜닝을 요청하면 보통 알러트 세부정보 페이지에서 을(를) 클릭하세요.

   • 이미 해당 알러트에 대해 AI 트리아지를 실행한 적이 있는 경우 Panther 콘솔에 로그인하세요. Python 디텍션의 alert 함수 랜딩 페이지는) 설정이:

     • 를 클릭하세요. 고급(선택 사항) 슬라이드 아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에게 알러트에 대해 어떤 조치를 취하도록 지시할 수 있습니다. 이러한 프롬프트와 응답은 알러트 세부정보 페이지에서 을(를) 클릭하세요.

     • Panther AI 트리아지를 알러트에서 실행하려면: 알러트 세부정보 페이지에서 을(를) 클릭하세요.

     • AI 응답 기록 에 보존됩니다. 예를 들면: 이 알러트를 트리거한 디텍션을 어떻게 튜닝해야 하나요? 값을Panther AI에게 디텍션 튜닝을 요청하면 보통 알러트 세부정보 페이지에서 을(를) 클릭하세요.

일 때 가장 좋은 결과가 나옵니다.

이 사용자가 이 이벤트 전후 1시간 동안 AWS에서 다른 작업을 수행했나요?

이 알러트의 상태를 "무효(Invalid)"로 업데이트하고 "오탐(False positive)"이라는 댓글을 남기세요. 여기에는 알러트를 트리거한 디텍션, 연관된 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, (선택 사항) 아래의

기본 정보 다음 단계 에서 작업 버튼 중 하나를 클릭하세요:

트리아지 요약을 알러트 댓글로 추가(알러트 닫지 않음) 여기에는 알러트를 트리거한 디텍션, 연관된 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그,알러트의 활동 로그에 알러트 요약을 포함하는 댓글을 생성합니다.

(알러트의 상태가

경고 닫기, 댓글 달고 해결로 표시

인 경우) 알러트 상태를