search
Knowledge BaseRelease NotesRequest Demo

알러트 할당 및 관리

Panther 콘솔에서 알러트 관리하기

hashtag
개요

Panther의 알러트 관리 기능을 통해 알러트를 Panther 사용자에게 할당하고, 알러트 업데이트 활동 기록을 보고, 리치 텍스트 지원 댓글을 추가하며, 디텍션을 빠르게 튜닝—모두 Panther 콘솔에서 가능합니다.

hashtag
알러트 분류(트리아지)

hashtag
알러트 상태

circle-exclamation

향후 Panther 릴리스에서는 Invalid 알러트 상태가 더 이상 사용되지 않을 예정입니다.

알러트를 Invalid로 표시하는 대신, 알러트 품질Noise 로 설정하고 적절한 컨텍스트 태그를 추가하는 것이 권장됩니다. 이는 보다 세분화된 정보를 제공하고 알러트 분석을 더 잘 지원합니다.

Panther에서 알러트를 트리아지할 때 다음 상태를 적용할 수 있습니다:

  • Open: 이는 Low, Medium, High 또는 Critical 심각도 수준의 새 알러트의 기본 상태입니다.

  • Invalid: 오류로 생성되었을 수 있는 소음성 알러트를 트리아지할 때 사용합니다.

  • Resolved: 유효하지만 해결된 알러트를 트리아지할 때 사용합니다. Info 심각도 수준의 알러트는 기본적으로 이 상태입니다.

  • Triaged: 유효하지만 추가 조사가 필요하여 아직 해결 중인 알러트를 트리아지할 때 사용합니다.

기본적으로 Alerts 페이지의 알러트 목록에는 Open 및 Triaged 알러트만 표시됩니다.

알러트의 상태를 변경해도 관련 룰 또는 예약된 룰의 deduplication period 이 재설정되지는 않습니다. 예를 들어, 알러트가 Resolved 로 표시되기 전에 중복 제거 기간이 완료되지 않았고 알러트를 유발하는 이벤트가 계속 스트리밍된다면, 해당 이벤트들은 새로운 Resolved 알러트가 아니라 같은

hashtag
알러트

circle-info

에 연관됩니다.

알러트 품질

  • 알러트 품질은 Panther 버전 1.118부터 오픈 베타입니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.알러트 품질을 사용하여 의도한 대로 작동하는 알러트와 튜닝이 필요한 알러트를 구분할 수 있습니다:

  • NoiseUseful

Alert details page with alert quality highlighted

: 디텍션이 의도한 대로 작동했으며 해당 알러트를 다시 받고자 할 때 사용합니다. 유효한 보안 발견에 사용하세요. : 알러트가 잘못 발생했으며 튜닝이 필요할 때 사용합니다. 오탐(거짓 긍정)이나 가치를 제공하지 않는 알러트에 사용하세요.알러트 품질은

alert status 와 별개입니다. 알러트는 Noise로 표시되었더라도 Open 또는 Triaged 상태를 유지할 수 있습니다. 알러트의 품질을 수정하면 해당 내용이 알러트의

hashtag
Activity

로그에 기록됩니다: Search에서 특정 품질 값을 가진 알러트를 쿼리하기 Search에서 특정 품질 값을 가진

  1. 알러트를 쿼리하려면: 데이터베이스 필터에서database filter 를 선택하고.

  2. 알러트를 쿼리하려면: Signalsdatabase filter 테이블 필터에서

  3. Alerts. 키/값 필터 표현식을 생성하고 Quality 필드와 값으로 USEFUL 또는 NOISE.

A filter chip reads "quality is USEFUL"
circle-exclamation

를 사용하세요. Search에서 quality

hashtag
필드의 값은 대소문자를 구분한다는 점에 유의하세요.

circle-info

컨텍스트 태그

컨텍스트 태그는 Panther 버전 1.118부터 오픈 베타입니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요. 컨텍스트 태그는 알러트가 발생한 이유에 대한 추가 정보를 제공합니다. 다음 내장 태그 Panther가 제공하는 및/또는.

사용자 정의 태그를 생성

Alert details page with the "context tags" highlighted

할 수 있습니다. 와 별개입니다. 알러트는 Noise로 표시되었더라도 Open 또는 Triaged 상태를 유지할 수 있습니다. 알러트의 품질을 수정하면 해당 내용이 알러트의

hashtag
알러트당 최대 10개의 컨텍스트 태그를 추가할 수 있습니다.

알러트의 컨텍스트 태그를 수정하면 해당 내용이 알러트의

chevron-rightBuilt-in alert context tagshashtag

  • 에 기록됩니다.

  • 다음 태그들은 내장되어 있습니다:

  • 운영 문제

  • alert-delivery-failure

  • classification-error

chevron-rightconfiguration-errorhashtag

  • rule-error

  • source-no-data

  • 조사 결과

  • benign

  • duplicate

chevron-rightinconclusivehashtag

  • insufficient-data

  • resolved-with-ai

  • 디텍션 문제

  • enrichment-needed

chevron-rightfalse-positivehashtag

  • threshold-too-sensitive

  • tuning-needed

  • 정상 활동

  • admin-activity

  • approved-change

chevron-rightautomated-processhashtag

  • service-account

  • testing-activity

  • 탐지된 위협

  • account-takeover

  • credential-compromise

  • data-exfiltration

  • lateral-movement

hashtag
malicious-binary

persistence-mechanism 컨텍스트 태그는 알러트가 발생한 이유에 대한 추가 정보를 제공합니다. 다음 privilege-escalation

  • 사용자 정의 알러트 컨텍스트 태그

  • 기본 제공 태그로는 충분하지 않은 경우 사용자 정의 알러트 컨텍스트 태그를 생성할 수 있습니다. 사용자 정의 태그:

    • 조직 전체에서 공유됩니다

  • 고유해야 합니다(대소문자 구분 없이 매칭)

태그는 자동으로 소문자 및 언더스코어로 정규화됩니다(예: "My Custom Tag"는 "my_custom_tag"가 됩니다)

hashtag
사용자 정의 태그는 두 가지 방법으로 생성할 수 있습니다:

  1. 알러트 상세 페이지 +.

  2. 알러트 상세 페이지에서 사용자 정의 알러트 컨텍스트 태그 생성

  3. 알러트 상세 페이지에서 클릭하세요..

An arrow is drawn from a plus sign to a field where "Incident Created" is entered.

hashtag
클릭하세요

로그에 기록됩니다: Search에서 특정 품질 값을 가진 알러트를 쿼리하기 New Tag

  1. 알러트를 쿼리하려면: 데이터베이스 필터에서database filter 를 선택하고.

  2. 알러트를 쿼리하려면: Signalsdatabase filter Alerts.

  3. Alerts. 키/값 필터 표현식을 생성하고 을 클릭하세요. 다음을 입력하세요:

A filter chip reads "contextTags has data-exfiltration"
circle-exclamation

를 사용하세요. Tag Name Create Tag

Search에서 특정 태그를 가진 알러트 쿼리

hashtag
특정 태그를 가진 알러트를 쿼리하려면:

contextTags

필드와 위에 나열된 하나 이상의 컨텍스트 태그를 사용하세요. contextTagarrow-up-right필드는 대소문자를 구분합니다.

  • Panther는 컨텍스트 태그를 공백 대신 대시를 사용한 소문자 값으로 저장합니다. Panther에서 알러트를 대량 업데이트하기:

    • 그룹의 알러트에 대해 상태나 담당자를 대량으로 업데이트할 수 있습니다.

The Alerts page is displayed, and alerts are listed at the bottom. The "Select All" checkbox near the top of the page is circled.

  • 이를 script or API

    • 를 통해 또는 Panther 콘솔에서 수행할 수 있습니다:

On the Alerts list page, there is a note reading, "Showing results between 2023-02-01 10:00 GMT-5 - 2023-06-26 10:46 GMT-4" then "75 items on this page are selected. Select all that match this search."

현재 페이지의 알러트만 선택하려면

hashtag
Select All

를 선택하세요. 기본적으로 대량 선택기는 현재 페이지에 로드된 모든 항목을 선택합니다. 필터된 모든 결과(현재 페이지에 로드된 항목을 넘어서)를 선택하려면

A Slack Bot alert is shown, with an Alert Summary, Runbook, Severity, Status, and buttons to "View in Panther," "Set Assignee" and "Update Status"

Select all Alerts that match this search. 를 클릭하세요..

hashtag
이렇게 하면 필터된 결과 내의 모든 항목이 선택됩니다.

많은 수의 알러트를 트리아지할 경우 이 옵션으로 대량 작업을 수행하면 작업 완료에 약간의 지연이 있을 수 있습니다. 대량 작업의 최종 결과를 확인하려면 페이지를 새로고침하세요. Slack에서 알러트 보기 및 트리아지하기 , 만약, Slack Bot Alert Destination 이 구성되어 있으면 알러트를 Slack에서 직접 보고 관리할 수 있습니다:

자세한 내용은

Managing Alerts in Slack 을 참조하세요. 알러트 요약 사용 방법

circle-info

알러트 요약은 선택한 요약 속성에 따라 알러트의 이벤트에서 발견된 가장 일반적인 값들을 보여줍니다. 알러트 요약은 룰 매칭에서 일치하는 이벤트를 트리아지할 때 누가(Who) 무엇을(What)

hashtag
어디서(Where)

에 대한 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다. 이 기능은 룰이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 이해하기 어려운 경우에 특히 유용합니다. 알러트 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.:

The Rule Settings creation form has a "Summary Attributes" field in the lower right corner.

예시 사용 사례는 이 페이지 하단의

hashtag
Examples

  1. 섹션을 참조하세요. Alerts.

  2. 이 기능은 Panther 콘솔의

  3. AI-generated summary of alerts 와는 다르다는 점에 유의하세요. 디텍션에 요약 속성 추가 While viewing a rule, the Summary tab is selected

룰 또는 예약된 룰을 와는 다르다는 점에 유의하세요. creating a rule or scheduled rule

hashtag
할 때 요약 속성(Summary Attributes)을 정의할 수 있습니다.

룰의 요약 속성을 정의할 때는 알러트의 성격을 한눈에 이해하는 데 도움이 되는 속성을 선택해야 합니다.

알러트 요약 보기 Panther 콘솔의 왼쪽 내비게이션 바에서를 클릭하세요. 알러트 제목을 클릭하여 상세 페이지를 보세요. 그런 다음

On the right side of an alert summary, there are clickable icons for "Copy" and "Search."

hashtag
Summary

탭을 클릭하세요. 해당 탭은 각 선언된 요약 속성에 대해 상위 다섯 개 속성을 표시합니다.

hashtag
Search로 전환하기

  1. 섹션을 참조하세요. Alerts.

    • 알러트 요약을 보는 동안 알러트 위에 마우스를 올리면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하면 속성 값을 복사하여 Data Explorer에서 사용할 수 있습니다.

  2. p_ 로 시작하는 필드의 경우, 오른쪽에 "검색" 아이콘도 나타납니다. "검색" 아이콘을 클릭하면 Search

    • 가 열리고 해당 속성에 대한 모든 결과를 데이터 레이크에서 확인할 수 있습니다.

The Assignee dropdown menu is on the right side of an alert in the Alerts list. It is circled.

알러트 할당 및 할당 해제 방법 로 시작하는 필드의 경우, 오른쪽에 "검색" 아이콘도 나타납니다. "검색" 아이콘을 클릭하면 "View Alerts"

The assignee menu appears at the top of the alert details page. It is circled.

hashtag
권한이 있는 사용자는 알러트를 Panther 사용자에게 할당할 수 있습니다. 알러트가 할당되면 해당 사용자에게 할당을 알리는 이메일 알림이 전송됩니다. 이메일에는 Panther 콘솔에서 알러트를 여는 링크가 포함됩니다.

  1. 섹션을 참조하세요. Alerts.

    • 알러트 요약을 보는 동안 알러트 위에 마우스를 올리면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하면 속성 값을 복사하여 Data Explorer에서 사용할 수 있습니다.

  2. 알러트 할당하기 알러트 목록이 표시됩니다. 목록에서 알러트 오른쪽에 있는

The Assignee dropdown menu is expanded and there is an option labeled "Unassigned."

hashtag
Assignee

  1. 섹션을 참조하세요. Alerts.

  2. 드롭다운 메뉴를 클릭하세요. Panther에서 알러트를 대량 업데이트하기 알러트를 할당할 사용자를 선택하세요.

    • Panther 콘솔의 알러트 상세 페이지에서도 알러트를 할당할 수 있습니다. 해당 드롭다운 메뉴는 페이지 상단에 위치합니다.알러트 할당 해제하기

  3. 목록에서 알러트 오른쪽에 있는 Assignee 드롭다운 메뉴를 클릭하세요. 드롭다운에서 로 시작하는 필드의 경우, 오른쪽에 "검색" 아이콘도 나타납니다. "검색" 아이콘을 클릭하면 Unassigned

In the alerts list, all alerts have been selected. The assignee dropdown menu is open, and it is circled.

hashtag
를 선택하세요.

hashtag
여러 알러트를 한 번에 할당하기

여러 개의 개별 알러트 옆 체크박스를 선택하거나, 현재 페이지에 로드된 모든 알러트를 선택하려면 왼쪽 상단의 기본적으로 대량 선택기는 현재 페이지에 로드된 모든 항목을 선택합니다. 체크박스를 선택하세요. 를 클릭하세요. 현재 페이지에 로드된 알러트만 한 번에 할당할 수 있습니다. 추가 알러트가 필터 기준에 일치하고 사용자가

hashtag
Select all that match this search

여러 개의 개별 알러트 옆 체크박스를 선택하거나, 현재 페이지에 로드된 모든 알러트를 선택하려면 왼쪽 상단의 를 선택하면 Assignee 드롭다운은 사라집니다. 알러트 목록 상단에서

hashtag
드롭다운 메뉴를 클릭하세요. 알러트를 할당할 사람을 선택하세요.

여러 개의 개별 알러트 옆 체크박스를 선택하거나, 현재 페이지에 로드된 모든 알러트를 선택하려면 왼쪽 상단의 외부에서 알러트 관리하기 Slack

hashtag
Panther의

  1. 기능을 통해 Slack에서 직접 알러트를 보고 관리할 수 있으며, Slack Bot Boomerang 및 Threat Intel 기능 사용도 포함됩니다. 자세한 내용은 Alerts 을 참조하세요.

  2. Asana

  3. Asana Alert Destination 은 해당 Asana 작업의 상태를 업데이트하도록 알러트 상태를 동기화하는 기능을 포함합니다. Jira

An alert's Alert History. The example history shows an event that says "A Panther user updated the status to open."

Jira Alert Destination

hashtag
은 해당 Jira 이슈의 상태를 업데이트하도록 알러트 상태를 동기화하는 기능을 포함합니다.

알러트 활동 기록 보기 Panther 콘솔에서 왼쪽 사이드바의 를 클릭하세요. 알러트를 클릭하여 알러트 상세 페이지로 들어가세요. 아래로 스크롤하여 Alert History.

를 보면 모든 상태 변경 및 댓글의 기록을 볼 수 있습니다. 활동은 역연대순으로 정렬되어 최신 변경 사항이 상단에 표시됩니다. Alert History할당된 알러트의 상태가 변경되면, 담당자는 변경 세부정보가 포함된 이메일 알림을 받으며 Panther 콘솔에서 알러트를 여는 링크가 포함됩니다.

알러트에 댓글 추가하기

"Manage Alerts"

구문:

Rich text formatting in comments

hashtag
**Bold** (대안: __bold__ 또는 텍스트 선택 후 CMD/CTRL+B)

*Italics* (대안: _italics_ 또는 텍스트 선택 후 CMD/CTRL+I) - 순서 없는 목록1. 순서 있는 목록 코드 블록 `한 줄 코드 블록`

> 인용 블록

hashtag
을 참조하세요.

hashtag
https://panther.com/URL

위 구문에 따른 서식 결과:알러트에서 룰을 빠르게 튜닝하기 알러트를 트리거한 룰을 알러트 자체에서 바로 Rule Filters 를 추가하여 빠르게 튜닝할 수 있습니다. 이는 알러트가 오탐인 경우 향후 유사한 이벤트에 대해 해당 디텍션이 매칭되지 않도록 튜닝할 때 특히 유용합니다. 지침은 Add filters from an alert event을 참조하세요.

The Panther Console's "Rule Settings" page for a rule is displayed. The ID field contains the text "Sketchy ALB Traffic." The Summary Attributes field contains "p_any_ip_addresses" and "userAgent".

알러트에서의 빠른 디텍션 튜닝은 룰에 의해 트리거된 알러트에서만 가능하며, 정책이나 예약된 룰에서는 사용할 수 없습니다. 알러트 요약 사용 사례 예시예를 들어, 로드 밸런서를 대상으로 하는 의심스러운 트래픽을 찾는 룰을 작성했다고 가정해 보겠습니다. 이 룰은 알러트 제목을 클릭하여 상세 페이지를 보세요..

The alert summary for p_any_ip_addresses is displayed. There is a "Copy" button next to the attribute so you can easily paste it into Search.

AWS.ALB

로그에 대해 실행됩니다. Panther 표준 필드 p_any_ip_addresses 와, 그리고 (및) `userAgent`를 선택하면, 알러트를 볼 때 일치하는 이벤트에서 상위 다섯 개 값을 빠르게 확인할 수 있습니다. 이는 알러트 트리아지를 크게 빠르게 해줍니다.

이전Torq 대상다음Slack에서 알러트 관리하기

마지막 업데이트

도움이 되었나요?