알러트 및 대상

개요

알러트는 귀하의 룰, 예약된 룰 또는 정책에서 의심스러운 동작을 디택션할 때 생성됩니다. 알러트가 트리거되면 적절한 알러트 대상(들) 를 사용하여 라우팅됩니다 알러트 라우팅 시나리오. Panther 콘솔에서, 귀하는 AI가 생성한 알러트 분류를 볼 수 있습니다 및 AI 알러트 분류 를 사용하여 알러트에 대한 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 받을 수 있습니다.

Panther는 세 가지 유형의 알러트를 생성할 수 있습니다:

• 알러트: 이 분류에는 활성화된 룰 일치, 정책 일치 및 예약된 룰 일치가 포함됩니다 디택션.

• 디택션 오류: 이는 잘못된 코드나 권한 문제로 인해 생성됩니다. 이러한 경우 룰이 오류를 반환하고 룰이 정상적으로 실행을 완료하지 못합니다. 여기에는 룰 오류 및 예약된 룰 오류.

• 시스템 오류: Panther의 시스템 오류는 Panther 플랫폼의 일부가 올바르게 작동하지 않을 때 사용자에게 알립니다. 여기에는 로그 소스 비활성화, 로그 분류 실패, 로그 소스 권한 실패, 알러트 전달 실패 및 클라우드 계정 스캔 실패가 포함됩니다.

  • 이러한 오류에 대해 자세히 알아보려면 시스템 오류.

또한 Panther REST API 와 GraphQL API.

알러트 사용자 지정

를 사용하여 디택션 일치에 대해 수신하는 알러트의 내용을 사용자 지정할 수 있습니다 Python 디텍션의 alert 함수 이전에 생성한 Snowflake 사용자 이름, 예를 들면 YAML 디택션의 알러트 키.

이 기능을 사용하면 예를 들어 일치한 이벤트를 포함하거나(사용하여 alert_context() 이전에 생성한 Snowflake 사용자 이름, 예를 들면 AlertContext) 알러트 제목에 이벤트 값을 추가할 수 있습니다(사용하여 알러트 제목 설정 시 우선순위는 다음과 같습니다: 이전에 생성한 Snowflake 사용자 이름, 예를 들면 동적 알러트 제목이 사용됩니다. 이는 다음에 정의됩니다:).

알러트 제한

알러트 제한 기능은 (아마도) 잘못 구성된 디택션으로 인해 발생하는 "알러트 폭주"로부터 보호하도록 의도되었습니다.

단일 디택션이 한 시간 내에 1,000개의 알러트를 생성하면 해당 디택션의 CreateAlert 필드(또는 알러트 생성 콘솔의 토글)는 ). (또는 OFF 콘솔에서)로 설정되어 디택션이 추가 알러트를 생성하지 못하도록 합니다. (디택션은 일치 시 계속해서 시그널 을 생성합니다.) 이러한 일이 발생하면 귀하는 시스템 오류 알림과 변경 사항을 알리는 알러트를 받게 됩니다.

귀하는 CreateAlert/알러트 생성 값을 비율이/켜기 로 다시 설정할 수 있습니다 — 아마도 일부 디택션 조정 후에.

이 알러트 제한을 1,000보다 낮게 설정하려면 Panther 지원 팀에 문의하십시오.

여러 이벤트가 있는 알러트

디택션이 중복 제거 기간 및 중복 제거 문자열을 설정한 경우디택션과 일치하는 모든 이벤트 중 동일한 중복 제거 문자열을 공유하는 이벤트는 중복 제거 기간 동안 최초로 생성된 알러트에 추가됩니다. 이로 인해 여러 이벤트가 연결된 알러트가 생성될 수 있습니다.

Simple Detections의 동적 알러트 키로 디택션에서 동적으로 생성된 모든 알러트 정보는 Python 디텍션의 alert 함수 이전에 생성한 Snowflake 사용자 이름, 예를 들면 동적 알러트 키) 최초 일치 이벤트의 출력에 의해 생성됩니다. 추가로 연결된 이벤트에 대한 알러트 함수/키의 출력은 알러트를 변경하지 않습니다.

예를 들어, 디택션이 severity() 를 사용하여 이벤트 속성에 따라 알러트 심각도를 동적으로 설정하고 최초 일치 이벤트가 LOW 심각도 LOW 를 지시하면, 알러트 심각도는 이후에도 무기한으로 severity() 로 설정됩니다 — 심지어 나중에 알러트에 연결된 이벤트가 동일한 HIGH 함수를 실행하여

작업하고 있는 알러트와 함께 작업하기

알러트를 수신하기

Panther 콘솔 외부에서 알러트를 수신하려면 알러트 대상 설정을 구성하고 해당 대상이 알러트 라우팅 시나리오.

에 따라 알러트를 수신하도록 구성되어 있는지 확인하십시오. 알러트를 수신하는 방법을 결정할 때 다음 옵션을 고려하십시오:

• 네이티브로 지원되는 대상: Panther는 Slack, Jira 및 Amazon SNS와 같은 여러 알러트 대상을 네이티브로 지원합니다. 전체 지원 대상 목록은 알러트 대상 문서 를 참조하십시오.

• 커스텀 웹후크: 네이티브로 지원되지 않지만 API가 있는 대상으로 알러트를 라우팅하려면 사용자 지정 웹훅 옵션을 사용하여 알러트 알림을 보낼 수 있습니다—구성 지침은 사용자 지정 웹훅 문서 를 참조하십시오.

• Panther API: 네이티브로 지원되지 않고 API가 없는 대상으로 Panther 알러트를 수신하려면 Panther API 를 일정에 따라 폴링하여 알러트를 수신할 수 있습니다. 알러트를 가져오고 조작하기 위한 사용 가능한 API 작업은 알러트 (REST) 및 Alerts & Errors (GraphQL).

알러트는 또한 생성된 후 수동 알러트 전송.

을 통해 대상으로 전달될 수 있습니다

알러트를 조사하기

• 수신한 알러트를 조사할 때 일반적인 조사 워크플로는 다음과 같습니다: AI 알러트 분류.

• 수신한 알러트를 조사할 때 일반적인 조사 워크플로는 다음과 같습니다: 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 침해 지표(IoC)를 조사하기 위해

• 수신한 알러트를 조사할 때 일반적인 조사 워크플로는 다음과 같습니다: panther_monitor 를 사용합니다. SQL을 사용하여 강력하게 검색하기 위해

• 데이터를 검토합니다 Panther 콘솔 개요 대시보드.

환경에서 Fluentd 시작에 관해서는 조사 및 검색 문서 Panther의 데이터 분석 도구에 대한 자세한 내용은

알러트 분류 및 관리

알러트 분류, 할당 및 관리에 대한 자세한 내용은 다음 문서 페이지를 참조하십시오:

• 알러트 할당 및 관리

  • 분류, 알러트 요약 사용, 할당, 할당 해제, 알러트 기록 보기 및 알러트에 댓글 추가.

  • 알러트를 통해 디택션을 신속하게 조정 직접 알러트에서.

  • 또한 Slack에서 알러트를 관리할 수 있습니다 사용 시 Slack Bot 알러트 대상.

• 알러트 런북

  • 많은 Panther 관리 디택션의 경우, 알러트를 트리거한 문제를 수정하기 위한 권장 단계가 제공됩니다.

알러트 보기

Panther 콘솔에서 알러트 목록 보기

1. Panther 콘솔에 로그인합니다.

   • 랜딩 페이지는 개요 대시보드로, 여기에서 알러트 지표와 귀하에게 할당된 알러트 목록을 볼 수 있습니다. 모든 알러트 목록을 보려면 다음 단계를 계속 진행하십시오.

2. 샘플 로그 알러트.

   • 기본적으로 이 페이지는 최신 순에서 오래된 순으로 알러트를 나열하고 다음만 표시합니다 열림 와 분류됨 알러트.

   • 이 페이지 상단 근처에서 귀하는 AI가 생성한 알러트 목록 분류.

3. 필요에 따라 결과를 좁히려면 목록을 필터링하십시오.

   
4. 목록 상단의 탭을 클릭하여 알러트 유형별로 필터링하십시오: 알러트, 디택션 오류, 또는 시스템 오류.

   

Search에서 알러트 보기

Search에서 알러트를 보려면 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다:

1. 일반 구성 데이터베이스 필터SNS 주제 시그널.

2. 일반 구성 테이블 필터SNS 주제 알러트.

3. 원하는 만큼 추가 필터 칩을 만드십시오.

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

Panther 콘솔에서 알러트 세부정보 보기

위에 설명된 대로 알러트 목록을 보는 동안, 알러트 제목을 클릭하여 알러트 세부정보 페이지를 보십시오:

알러트 세부정보 페이지에는 다음이 포함됩니다:

• 기본 정보

  • 여기에는 알러트를 트리거한 디택션, 관련된 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, MITRE 전술및 알러트 런북.

• A Panther AI 분류 시작 옵션

  • 참조 AI 알러트 분류.

• A 알러트 전송 옵션

  • 참조 수동 알러트 전송.

• 이벤트 일치 목록

  • 각 이벤트에 대해 이벤트 시간, 이벤트 소스, 관련된 p_log_type 와 p_source_label및 IP 정보를 볼 수 있습니다.

• 외부 대화

  • 알러트가 전달된 Slack 부머랭, Jira 티켓 또는 Asana 작업에 추가 컨텍스트가 있는 경우, 이 섹션의 링크를 클릭하여 해당 정보를 볼 수 있습니다. 이 섹션에서 알러트에 댓글을 추가할 수 있습니다알러트 기록

  • 또한 여기에는 모든 상태 변경 및 댓글의 기록이 포함됩니다. 알러트가 구성된 알러트 대상 중 하나로 전달되지 못한 경우, 기록 위에 "알러트 전달 실패" 오류가 표시됩니다.

• 대상에 수동으로 전달된 알러트도 이 섹션에 나타납니다. 동일한 대상으로 알러트를 여러 번 전달하면 테이블의 항목에 대한 마지막 전달 시간이 업데이트되지만 목록에 두 번째 항목으로 나타나지는 않습니다.

  • 알러트 세부정보 페이지의 요약 탭은

  • 알러트와 함께 Panther AI 사용

  • Panther 콘솔에서 알러트를 보는 동안 알러트 목록 페이지에서 AI가 생성한 분류를 볼 수 있으며, 특정 알러트에 대해 AI 알러트 분류를 사용하여 정보 수집 및 분석을 가속화할 수 있습니다. 하나 이상의 알러트를 분류하면, 귀하는

Panther AI에 대해 자세히 알아보고 AI 추론 수준 구성 방법은 알러트 할당 및 관리.

알러트 목록에 대한 Panther AI 분류

를 통해 확인하십시오. Panther 콘솔에서 위험 분류 점수.

알러트 목록을 볼 때 AI 분류를 생성할 수 있습니다 : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요.

. 새 AI 분류를 실행하려면, 분류하려는 각 알러트 옆의 체크박스를 선택한 다음

AI로 분류 를 클릭하세요.단일 알러트에 대해 조사 및 분석을 수행하려면, 과를 참조하십시오..

과거 AI 분류를 보려면, 우측 상단에서 Panther AI 알러트 분류.

다중 알러트 분류 보기 를 클릭하세요..

두 경우 모두, 새 분류 또는 가장 최근 분류가 포함된 슬라이드 아웃 패널이 열립니다. 분류 제목을 클릭하면 이전 AI 분류 목록을 보고 AI 응답 기록을 관리할 수 있습니다.

Panther AI 알러트 분류

: 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요 알러트 분류는 알러트에 대해 조사 및 분석을 수행합니다. 이는 알러트에 대한 추가 정보를 수집하고 다음에 할 일을 결정하는 데 도움을 줄 수 있습니다. AI 알러트 분류를 다음과 같이 구성할 수 있습니다: 모든 또는 일부 알러트에 대해 자동 실행, 또는 요청 시 실행. AI 알러트 분류의 전체 데모 비디오를 여기에서 시청하세요.

AI 알러트 분류는 알러트 요약, 알러트가 오탐인지 진짜 양성인지에 대한 판단, 권장 후속 조치 및 신뢰 수준 표시를 제공할 수 있습니다. 특정 알러트에 대한 Panther AI 분석에는 Panther AI의 "사고 과정" 및/또는 알러트를 초래한 이벤트를 시각화한 다이어그램이 포함될 수 있습니다. 분석에는 적절한 경우 알러트, 디택션 및 검색과 같은 Panther 엔터티에 대한 인용 이 포함될 수 있습니다.

Panther AI가 어떤 도구에 대해 사람의 승인을 요구하는지를 포함하여 쓰기 작업을 처리하는 방식을 알아보려면, 쓰기 작업에 대한 도구 승인.

을 참조하십시오. Slack Bot 알러트 대상이 있는 경우 설정되어 있다면, AI 분류 콘텐츠를 수신하도록 구성할 수 있습니다.

Panther AI에 대해 자세히 알아보고, AI 추론 수준 구성 및 AI 응답 관리를 수행하는 방법은 : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요 와 상위 25개 표시.

경고에 대한 AI 분류 자동 실행

알러트가 생성될 때 AI 알러트 분류를 자동으로 실행되도록 구성할 수 있으므로 알러트를 볼 때 직접 분류를 실행하고 결과를 기다릴 필요가 없을 수 있습니다.

모든 알러트에 대해 또는 특정 심각도 및/또는 태그가 있는 알러트에 대해서만 자동 실행 AI 분류를 활성화할 수 있습니다. 이 기준을 설정하는 방법에 대해서는 시스템 구성에서 자세히 알아보십시오.

사용자를 사용할 것이며, 추론 수준 특정 디택션에 의해 트리거된 알러트에 대한 자동 실행 AI 분류의 추론 수준은 디택션에 다음 태그 중 하나를 추가하여 설정할 수 있습니다:

• ai:output:short

• ai:output:medium

• ai:output:long

요청하십시오.

요청 시 AI 알러트 분류 실행

1. 알러트에서 Panther AI 분류를 실행하려면: Panther AI 분류 시작.

   • 알러트 세부정보 페이지에서, View Panther AI Triage.

     
   • 을 클릭하십시오.

   
2. 이미 이 알러트에 대해 AI 알러트 분류를 실행한 경우, 을 클릭하십시오.AI 면책 조항

   • 슬라이드 아웃 패널이 나타나고 Panther AI가 결과를 출력합니다:

     • (선택 사항) 슬라이드 아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에게 알러트에 대해 어떤 조치를 취하도록 지시할 수 있습니다. 이러한 프롬프트와 그 응답은 추론 수준 AI 응답 기록 고급.

   • 에 보존됩니다.

   • 이 알러트를 트리거한 디택션을 어떻게 조정해야 합니까?

3. Panther AI에게 디택션 조정을 요청하면 일반적으로 설정이일 때 최상의 결과를 제공합니다.

   • 이 사용자가 이 이벤트 전후 한 시간 동안 AWS에서 다른 작업을 수행했습니까?:

     • 이 알러트의 상태를 "무효"로 업데이트하고 "오탐"이라는 댓글을 남기십시오. (선택 사항) 아래의 다음 단계

   • 에서 조치 버튼 중 하나를 클릭하십시오: 열림 이전에 생성한 Snowflake 사용자 이름, 예를 들면 분류됨) 분류 요약을 알러트 댓글로 추가(알러트를 닫지 않음):

     • 알러트의 활동 로그에 높은 수준의 알러트 요약을 포함하는 댓글을 생성합니다. (알러트 상태가알러트 닫기, 댓글 추가 및 해결로 표시 (선택 사항) 아래의 다음 단계

     • 이 알러트의 상태를 "무효"로 업데이트하고 "오탐"이라는 댓글을 남기십시오. (선택 사항) 아래의 다음 단계

     • 도구가 Snowflake 계정과 관리 사용자를 대신 프로비저닝해야 하는 경우: 알러트 상태를 해결됨 켜기로 업데이트합니다. 이는 알러트의 (선택 사항) 아래의 다음 단계

   • 에서 조치 버튼 중 하나를 클릭하십시오: 열림 이전에 생성한 Snowflake 사용자 이름, 예를 들면 분류됨) 활동:

     • 알러트의 활동 로그에 높은 수준의 알러트 요약을 포함하는 댓글을 생성합니다. 로그에 기록됩니다.알러트 닫기, 댓글 추가 및 해결로 표시 (선택 사항) 아래의 다음 단계

     • 이 알러트의 상태를 "무효"로 업데이트하고 "오탐"이라는 댓글을 남기십시오. (선택 사항) 아래의 다음 단계

     • 도구가 Snowflake 계정과 관리 사용자를 대신 프로비저닝해야 하는 경우: 알러트 상태를 해결됨 켜기로 업데이트합니다. 이는 알러트의 (선택 사항) 아래의 다음 단계

닫을 때 알러트를 내게 할당

토글이

로 설정되면, 알러트 담당자가 귀하로 설정됩니다. 이는 알러트의 알러트 전송 에 기록됩니다.

참조 알러트 닫기, 댓글 추가 및 무효로 표시 무효

수동 알러트 전송 알러트 전송알러트 세부정보 페이지에서 "알러트 전송" 버튼을 사용하면 구성된 대상으로 알러트를 수동으로 전달할 수 있습니다. 알러트 대상으로 수동 알러트 라우팅을 허용하려면 각 대상이 개별적으로 업데이트되어야 합니다. 아직 활성화된 대상이 없으면, 을 클릭한 후 팝업이 표시되어 대상 페이지로 이동합니다.

참조

시나리오 4: 수동 알러트 전송

수동 전송을 위해 알러트 대상을 활성화하는 단계는