search
Knowledge BaseRelease NotesRequest Demo

경고 및 대상

Panther 탐지는 의심스러운 동작에 대해 경고를 트리거합니다

hashtag
개요

경보는 귀하의 규칙, 예약된 규칙 또는 정책이 의심스러운 동작을 탐지하면 생성됩니다. 경보가 트리거되면 적절한 경보 대상(들) 을(를) 사용하여 전송됩니다 경보 라우팅 시나리오에서. Panther 콘솔에서, 귀하는 경보에 대한 AI 생성의 분류(트리아지)를 보고 AI 경보 트리아지 를 사용하여 경보에 대한 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 받을 수 있습니다.

Panther는 세 가지 유형의 경보를 생성할 수 있습니다:

  • 경보 : 이 분류에는 활성화된 탐지.

  • 탐지 오류: 이는 잘못된 코드 또는 권한 문제로 인해 생성됩니다. 이 경우 규칙이 오류를 반환하며 규칙이 성공적으로 실행을 완료하지 못합니다. 여기에는 규칙 오류 및 예약된 규칙 오류.

  • 시스템 오류: Panther의 시스템 오류는 Panther 플랫폼의 일부가 제대로 작동하지 않을 때 사용자에게 경고합니다. 여기에는 로그 소스 비활성, 로그 분류 실패, 로그 소스 권한 실패, 경보 전달 실패 및 클라우드 계정 스캔 실패가 포함됩니다.

Panther REST APIGraphQL API.

hashtag
경보 사용자 지정

탐지 일치에 대해 수신하는 경보의 내용을 사용자 지정하려면 Python 탐지의 alert 함수 또는 YAML 탐지의 alert 키.

를 사용하십시오. 이러한 함수들은 예를 들어 일치하는 이벤트를 포함하거나(사용하여 alert_context() 또는 AlertContext) 또는 이벤트 값을 경보 제목에 추가하는(사용하여 title() 또는 AlertTitle).

hashtag
경보 제한

경보 제한 기능은 잘못 구성된 탐지로 인해 발생할 수 있는 "경보 폭주"로부터 보호하기 위한 것입니다.

단일 탐지가 한 시간 내에 1,000개의 경보를 생성하면 해당 CreateAlert 필드(또는 콘솔의 Create Alert 토글)가 False 로 설정되어(또는 콘솔에서는 OFF ) 추가 경보 생성을 중지합니다. (탐지는 일치 시 계속해서 신호 를 생성합니다.) 이 경우 변경 사항을 통보하는 시스템 오류 알림 및 경보를 받게 됩니다.

값을 CreateAlert/콘솔의 Create Alert True 로 다시/ON 으로 설정할 수 있습니다—아마도 일부 탐지 조정 후에.

이 경보 한도를 1,000보다 낮게 설정하려면 Panther 지원팀에 문의하십시오.

hashtag
다수의 이벤트가 포함된 경보

탐지가 중복 제거 기간 및 중복 제거 문자열을 설정한 경우, 동일한 중복 제거 문자열을 공유하는 탐지와 일치하는 모든 이벤트는 중복 제거 기간 동안 생성된 첫 번째 경보에 추가됩니다. 이로 인해 여러 이벤트가 연결된 경보가 생성될 수 있습니다.

탐지로부터 동적으로 생성된 모든 경보 정보(예: Python 탐지의 alert 함수arrow-up-right 또는 단순 탐지의 동적 경보 키arrow-up-right)는 첫 번째 일치 이벤트의 출력으로 생성됩니다. 추가 이벤트 가 경보에 첨부될 때 해당 이벤트들의 경보 함수/키 출력은 경보를 변경하지 않습니다.

예를 들어, 탐지가 severity() 를 사용하여 이벤트 속성에 따라 경보 심각도를 동적으로 설정하고 첫 번째 일치 이벤트가 LOW 심각도를 지정하면, 경보 심각도는 이후에도 LOW 무기한 severity() 설정됩니다—나중에 동일한 함수를 통해 경보에 연결된 이벤트가 HIGH

hashtag
심각도를 지시하더라도 마찬가지입니다.

hashtag
경보 작업

경보 수신 경보 라우팅 시나리오.

Panther 콘솔 외부에서 경보를 수신하려면 경보 대상을 설정하고 해당 대상이 경보를 수신하도록 구성되어 있는지 확인하십시오(기준에 따라).

(GraphQL)에서 확인하십시오. 경보 생성 후 수동 경보 전송으로 대상에 전달할 수도 있습니다..

hashtag
경보 조사

구성된 대상으로 경보를 수신하면 조사를 시작할 때입니다. 일반적인 조사 워크플로우는 다음을 포함합니다:

자세한 Panther의 데이터 분석 도구에 관해서는 조사 및 검색 문서 를 참조하십시오.

hashtag
경보 분류 및 관리

경보 분류, 할당 및 관리에 대한 자세한 내용은 다음 문서를 참조하십시오:

hashtag
경보 보기

hashtag
Panther 콘솔에서 경보 목록 보기

  1. Panther 콘솔에 로그인합니다.

    • 랜딩 페이지는 개요 대시보드이며, 여기에서 경보 지표와 귀하에게 할당된 경보 목록을 볼 수 있습니다. 모든 경보 목록을 보려면 다음 단계를 계속하십시오.

  2. 왼쪽 탐색 바에서 경보.

    • 을 클릭합니다 기본적으로 이 페이지는 최신 항목에서 오래된 항목 순으로 경보를 나열하며열기 트리아지

    • 된 경보만 표시합니다. 이 페이지 상단 근처에서.

  3. AI 생성 경보 목록 트리아지

  4. 를 볼 수 있습니다. 필요에 따라 결과를 좁히려면 목록을 필터링하십시오. 경보, 목록 상단의 탭을 클릭하여 경보 유형별로 필터링하십시오:탐지 오류 시스템 오류.

hashtag
, 또는

검색에서 경보 보기 검색:

  1. 에서 경보를 보려면 에서데이터베이스 필터 에서.

  2. 에서 경보를 보려면 Signals데이터베이스 필터 경보.

  3. 테이블 필터

  4. 를 선택하십시오. 필요한 추가 필터 칩을 생성하십시오. 검색.

hashtag
클릭

Panther 콘솔에서 경보 세부정보 보기

An alert tile on the alerts list page is shown, with a title reading "AWS login detected without MFA for x in x account x". This title is circled. Below and next to the title are fields like Severity, Assignee and Alert Status.

위에 설명된 대로 경보 목록을 보는 동안, 경보 제목을 클릭하여 경보 세부정보 페이지를 보십시오:

에 설명되어 있습니다. 경보 할당 및 관리.

hashtag
Panther AI 기능의 사용은 법적 페이지에 있는

circle-info

AI 면책 조항 의 적용을 받습니다..

Panther 콘솔에서 경보를 보는 동안, 경보 목록 페이지에서 경보에 대한 AI 생성 트리아지를 볼 수 있으며 특정 경보에 대한 정보 수집 및 분석을 가속화하기 위해 AI 경보 트리아지를 사용할 수 있습니다. 하나 이상의 경보를 트리아지하면 위험 분류 점수.

를 보게 됩니다. AI 추론 수준 구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면.

hashtag
Panther AI

를 참조하십시오. 경보 목록에 대한 Panther AI 트리아지Panther 콘솔에서 경보 목록을 볼 때.

AI 트리아지를 생성할 수 있습니다. 새 AI 트리아지를 실행하려면 트리아지하려는 각 경보 옆의 상자를 선택한 다음 AI로 트리아지.

Panther Console alert list page with an arrow pointing to Summarize with AI button

를 클릭하십시오. 단일 경보에 대해 조사 및 분석을 수행하려면.

Panther Console alert list page with arrow pointing to View AI Summaries

Panther AI 경보 트리아지 를 참조하십시오..

hashtag
AI로 트리아지

AI 추론 수준 구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면 이전 AI 트리아지를 보려면 오른쪽 상단에서 멀티-경보 트리아지 보기탐지 오류 를 클릭하십시오.. 두 시나리오 모두에서 슬라이드아웃 패널이 새 트리아지 또는 가장 최근 트리아지와 함께 열립니다. 트리아지 제목을 클릭하면 이전 AI 트리아지 목록을 보고.

AI 응답 기록 관리 할 수 있습니다. 경보 트리아지는 경보에 대해 조사 및 분석을 수행합니다. 이는 경보에 대한 추가 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 줄 수 있습니다. AI 경보 트리아지는

circle-info

모든 또는 일부 경보에 대해 자동 실행 되도록 구성하거나 요청 시 실행 할 수 있습니다. 되도록 구성하거나 AI 경보 트리아지의 전체 동영상 데모 보기.

AI 경보 트리아지는 경보 요약, 경보가 오탐인지 진짜인지에 대한 판단, 권장된 후속 조치 및 신뢰 수준의 표시를 제공할 수 있습니다. 특정 경보에 대한 Panther AI의 분석에는 Panther AI의 "사고 과정" 및/또는 경보를 초래한 이벤트를 시각화한 다이어그램이 포함될 수 있습니다. 분석에는 적절한 경우 Panther 엔터티(예: 경보, 탐지 및 검색)에 대한 되도록 구성하거나 인용.

이 포함됩니다. 탐지에 설명적인.

런북 을 제공하는 것이 권장됩니다. Panther AI가 경보 트리아지 중에 이를 읽고 자율적으로 실행합니다. Panther AI에 친화적인 작성 방법을 배우려면.

여기 를 참조하십시오. AI 경보 트리아지에 영향을 미치는 탐지의 데모를 보려면 AI 추론 수준 구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면여기.

hashtag
를 참조하십시오.

circle-exclamation

Panther AI가 어느 도구에 대해 인간 승인이 필요한지 등을 포함하여 쓰기 작업을 처리하는 방법에 대해 알아보려면 쓰기 작업에 대한 도구 승인 을 참조하십시오. Slack Bot 경보 대상을 설정한 경우,

이를 구성하여 AI 트리아지 내용을 수신하도록 할 수 있습니다.

AI 추론 수준을 구성하고 AI 응답을 관리하는 방법을 포함한 Panther AI에 대해 자세히 알아보려면.

Panther AI 응답 기록 관리 를 참조하십시오. AI 경보 트리아지 자동 실행

  • AI 자동 실행 트리아지는

  • Cloud Connected

  • 고객 및

circle-info

SaaS 통과 청구가 있는 고객에게만 제공됩니다..

hashtag
경보가 생성될 때 AI 경보 트리아지를 자동으로 실행하도록 구성할 수 있으므로 경보를 볼 때 트리아지를 직접 실행하고 결과를 기다릴 필요가 없습니다.

모든 경보에 대해 또는 특정 심각도 및/또는 태그가 있는 경보에 대해서만 AI 자동 실행을 활성화할 수 있습니다.

  1. 이 기준을 설정하는 방법에 대해서는 시스템 구성에서 자세히 알아보십시오 A.

    • 자동 실행 AI 트리아지의 추론 수준.

      On a page titled "Panos Test: User PSAKKOS logged in without MFA" a button labeled "Start Panther AI Triage" is circled.

    • 은 특정 탐지에 의해 트리거된 경보에 대해 다음 태그 중 하나를 탐지에 추가하여 설정할 수 있습니다:

    On the right side is a slide-out panel titled "ALB Web Scanning Analysis." Below, there are various sections, like Summary, Key Findings, and Security Implications.

  2. ai:output:short ai:output:mediumai:output:long

    • 자동 실행 AI 경보 트리아지가 예상대로 자율적으로 실행되지 않거나(또는 출력에 오류가 있는 경우)

      • Amazon Bedrock 할당량 증가를 요청해야 할 수 있습니다 를 참조하십시오. AI 경보 트리아지를 요청 시 실행 경보에서 Panther AI 트리아지를 실행하려면:.

    • 경보 세부정보 페이지에서

    • 클릭하십시오

  3. 이미 이 경보에 대해 AI 경보 트리아지를 실행한 경우, Panther AI 트리아지 보기를 클릭하십시오.

    • 슬라이드아웃 패널이 나타나며 Panther AI가 결과를 출력합니다::

      • (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에 후속 질문을 하거나 Panther AI에게 경보에 대해 어떤 조치를 취하라고 지시하십시오. 이러한 프롬프트와 응답은 AI 응답 기록 에 보존됩니다. 예:

    • 이 경보를 트리거한 탐지를 어떻게 조정해야 합니까? 기본적으로 이 페이지는 최신 항목에서 오래된 항목 순으로 경보를 나열하며 또는 열기) 탐지를 조정하도록 Panther AI에 요청하는 경우,:

      • 설정이 고급일 때 일반적으로 최상의 결과를 얻습니다. AI 응답 기록 에 보존됩니다. 예:

      • (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에 후속 질문을 하거나 Panther AI에게 경보에 대해 어떤 조치를 취하라고 지시하십시오. 이러한 프롬프트와 응답은 AI 응답 기록 에 보존됩니다. 예:

      • 이 사용자가 이 이벤트 이전 또는 이후 1시간 동안 AWS에서 다른 작업을 수행했습니까? 이 경보의 상태를 "무효"로 업데이트하고 "오탐"이라는 댓글을 남기십시오. (선택 사항) ON다음 단계 AI 응답 기록 에 보존됩니다. 예:

    • 이 경보를 트리거한 탐지를 어떻게 조정해야 합니까? 기본적으로 이 페이지는 최신 항목에서 오래된 항목 순으로 경보를 나열하며 또는 열기) 에서 작업 버튼 중 하나를 클릭하십시오::

      • 설정이 트리아지 요약을 경보 댓글로 추가(경보를 닫지 않음)일 때 일반적으로 최상의 결과를 얻습니다. AI 응답 기록 에 보존됩니다. 예:

      • (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에 후속 질문을 하거나 Panther AI에게 경보에 대해 어떤 조치를 취하라고 지시하십시오. 이러한 프롬프트와 응답은 AI 응답 기록 에 보존됩니다. 예:

      • 이 사용자가 이 이벤트 이전 또는 이후 1시간 동안 AWS에서 다른 작업을 수행했습니까? 이 경보의 상태를 "무효"로 업데이트하고 "오탐"이라는 댓글을 남기십시오. (선택 사항) ON다음 단계 AI 응답 기록 에 보존됩니다. 예: Under an "Activity" title, there is a text box and three comments with a circle around them.

hashtag
경보의

활동

Alert details page with "Dispatch Alert" button highlighted

로그에 높은 수준의 경보 요약을 포함하는 댓글을 생성합니다. 참조 (경보 상태가

옵션 닫기: 댓글 추가 및 해결로 표시 인 경우

Dispatch Alert manual setting not enabled popup

경보 상태를 참조해결됨 으로 업데이트합니다. 이 내용은 경보의 에 기록됩니다.

hashtag
닫을 때

hashtag
나에게 경보 할당

토글이

로 설정되어 있으면, 경보 담당자는 귀하로 설정됩니다. 이 내용은 경보의

에 기록됩니다.

경보를 닫고 댓글을 추가하며 무효로 표시

무효

수동 경보 전송

경보 세부정보 페이지에서 "경보 전송" 버튼을 통해 구성된 대상으로 경보를 수동으로 전달할 수 있습니다.

경보 대상은 수동 경보 라우팅을 허용하도록 개별적으로 업데이트되어야 합니다. 아직 활성화된 대상이 없으면

클릭 후 팝업이 표시되어 대상 페이지로 이동합니다(설정 페이지). 결정을 활성화하는 단계는 다음을 참조하십시오: 시나리오 4: 수동 경보 전송입니다. (원문 순서를 유지하며 번역되었습니다) After clicking on: 클릭 후, 전송할 하나 이상의 대상을 선택하십시오. 슬라이드아웃 하단의 "Send to # Destination(s)"을 클릭하여 전송하십시오. 수동 경보 전달 기록은 경보 활동에서 확인할 수 있습니다. (원문이 개별 항목으로 분리되어 있음) 참고사항: 일부 원문 항목이 분리되어 있거나 불완전하여 개별적으로 번역하였습니다.이 항목들의 원문 순서를 유지했습니다. 참조: 이 섹션의 일부 문구는 원문이 단편화되어 있어 각각 독립 번역되었습니다. (원문에 대한 추가 번역 필요 시 알려주십시오)

PreviousWAF 웹 ACLNext경고 대상

Last updated

Was this helpful?