알림 할당 및 관리(Assigning and Managing Alerts)

개요

Panther의 경보 관리 기능을 사용하면 Panther 사용자에게 경보를 할당하고, 경보 업데이트의 활동 내역을 확인하고, 서식 있는 텍스트 지원으로 댓글을 추가하고 빠르게 탐지 조정—모두 Panther 콘솔에서.

경보 분류(트리아지)

경보 상태

Panther에서 경보를 분류(트리아지)할 때 다음 상태들을 적용할 수 있습니다:

• 열림: 낮음, 보통, 높음 또는 심각도의 새로운 경보의 기본 상태입니다.

• 유효하지 않음: 오류로 생성되었을 수 있는 잡음성 경보를 분류할 때 사용하세요.

• 해결됨: 유효하지만 해결된 경보를 분류할 때 사용하세요. 정보(Info) 심각도 레벨의 경보의 기본 상태입니다.

• 분류됨: 유효하지만 추가 조사로 인해 아직 해결 중인 경보를 분류할 때 사용하세요.

  

기본적으로 경보 페이지의 경보 목록에는 열림 및 분류됨 상태의 경보만 표시됩니다.

경보 상태를 변경해도 연결된 규칙 또는 예약 규칙의 중복 제거 기간 은 재설정되지 않습니다. 예를 들어 경보가 중복 제거 기간이 끝나기 전에 해결됨 로 표시되고 경보를 유발하는 이벤트가 계속 스트리밍되는 경우, 새 경보가 아닌 동일한 해결됨 경보에 연관됩니다.

경보 품질

경보 품질을 사용하여 의도대로 작동하는 경보와 조정이 필요한 경보를 구분할 수 있습니다:

• 유용함: 탐지가 의도대로 작동했으며 이 경보를 다시 받고 싶을 때 사용하세요. 유효한 보안 결과에 사용합니다.

• 노이즈: 경보가 잘못 발생했고 조정이 필요할 때 사용하세요. 오탐(false positive)이나 가치가 없는 경보에 사용합니다.

경보 품질은 경보 상태와 별개입니다. 경보는 노이즈로 표시되더라도 여전히 열림 또는 분류됨 상태일 수 있습니다.

경보의 품질을 수정하면 해당 경보의 활동 로그에 기록됩니다:

Search에서 특정 품질 값을 가진 경보 쿼리하기

다음과 같이 Search에서 경보를 쿼리하려면 특정 품질 값을 가진 경보를 키/값 필터 표현 을 만들어 Quality 필드와 값으로 USEFUL 또는 NOISE.

컨텍스트 태그

컨텍스트 태그는 경보가 발생한 이유에 대한 추가 정보를 제공합니다. 내장 태그를 Panther가 제공하는 및/또는 사용자 지정 태그를 생성할 수 있습니다.

경보당 최대 10개의 컨텍스트 태그를 추가할 수 있습니다.

경보의 컨텍스트 태그를 수정하면 해당 경보의 활동 로그에 기록됩니다:

내장 경보 컨텍스트 태그

다음 태그들이 내장되어 있습니다:

사용자 정의 경보 컨텍스트 태그

내장 태그가 충분하지 않을 때 사용자 정의 경보 컨텍스트 태그를 생성할 수 있습니다. 사용자 정의 태그는: Panther가 제공하는 조직 전체에서 공유됩니다

• 고유해야 합니다(대소문자 구분 없이 일치)

• 태그는 자동으로 소문자 및 밑줄로 정규화됩니다(예: "My Custom Tag"는 "my_custom_tag"가 됨)

  • 길이는 3~30자여야 하며 문자, 숫자, 공백, 대시, 밑줄을 포함할 수 있습니다

• 사용자 정의 태그는 두 가지 방법으로 생성할 수 있습니다:

경보 세부 정보 페이지

경보 세부 정보 페이지에서 사용자 정의 경보 컨텍스트 태그 생성

키를 누르세요

경보 세부 정보 페이지에서

1. 클릭하세요 +.

2. 생성하려는 태그의 이름을 입력하세요.

3. 결과 옵션을 클릭하거나 Enter.

Search에서 특정 태그를 가진 경보 쿼리하기

다음과 같이 Search에서 경보를 쿼리하려면 특정 태그를 가진 경보를 쿼리하려면, 키/값 필터 표현 을 만들어 contextTags 필드와 위에 나열된 하나 이상의 컨텍스트 태그를 사용하세요.

Panther에서 경보 일괄 업데이트

여러 경보 그룹의 상태 또는 담당자를 일괄로 업데이트할 수 있습니다.

다음 방법으로 수행할 수 있습니다: 스크립트 또는 API, 또는 Panther 콘솔에서:

• 현재 페이지의 경보만 선택하려면 모두 선택:

  • 을 체크하세요

• 기본적으로 일괄 선택기는 현재 페이지에 로드된 모든 항목을 선택합니다. 필터링된 모든 결과(현재 페이지에 로드된 것을 넘어서는)를 선택하려면

  • 이 검색과 일치하는 모든 경보 선택

을 클릭하세요.

이렇게 하면 필터링된 결과 내의 모든 항목이 선택됩니다.

이 옵션을 사용해 대량 작업을 수행하면 많은 수의 경보를 분류할 때 대량 작업이 완료되는 데 약간의 지연이 발생할 수 있습니다. 대량 작업의 최종 결과를 확인하려면 페이지를 새로고침하세요. Slack에서 경보 보기 및 분류 만약

Slack Bot Alert Destination 이 구성되어 있으면 경보를 Slack에서 직접 보고 관리할 수 있습니다:.

자세한 내용은

Slack에서 경보 관리 를 참조하세요. , 경보 요약 사용 방법, 경보 요약은 선택한 요약 속성에 따라 경보의 이벤트에서 발견된 가장 일반적인 값들을 보여줍니다. 경보 요약은 규칙 일치에서 일치하는 이벤트를 분류할 때 누가

무엇을

어디서 라는 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다. 이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 본질을 이해하기 어려울 때 특히 유용합니다. 경보 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.

이 기능은 Panther 콘솔의

AI가 생성한 경보 요약 과 다르다는 점에 유의하세요.:

탐지에 요약 속성 추가

요약 속성은

1. 규칙 또는 예약 규칙 생성 경보.

2. 시 정의할 수 있습니다

3. 규칙의 요약 속성을 정의할 때는 경보의 성격을 한눈에 이해하는 데 도움이 되는 속성을 선택해야 합니다. 경보 요약 보기 Panther 콘솔의 왼쪽 탐색 막대에서

를 클릭하세요 경보 요약 보기 경보의 제목을 클릭하여 세부 정보 페이지를 봅니다.

클릭하세요

요약

탭. 해당탭은 각 선언된 요약 속성에 대해 상위 다섯 속성을 표시합니다. Search로 피벗하기 경보 요약을 보는 동안 경보 위에 마우스를 올리면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하여 속성 값을 복사하고 Data Explorer에서 사용하세요.

p_

로 시작하는 필드의 경우 오른쪽에 "검색" 아이콘도 표시됩니다. "검색" 아이콘을 클릭하여 Search 를 열고 해당 속성에 대한 모든 적중을 데이터 레이크에서 확인하세요.

경보를 할당 및 할당 해제하는 방법

1. 규칙 또는 예약 규칙 생성 경보.

   • 다음 권한을 가진 사용자는

2. 경보 보기 권한을 가진 사용자는 Panther 사용자에게 경보를 할당할 수 있습니다. 경보가 할당되면 사용자는 할당을 알리는 이메일 알림을 받습니다. 이메일에는 Panther 콘솔에서 경보를 열 수 있는 링크가 포함됩니다. 경보 할당

   • 경보 목록이 표시됩니다.

목록의 경보 오른쪽에서 권한을 가진 사용자는 Panther 사용자에게 경보를 할당할 수 있습니다. 경보가 할당되면 사용자는 할당을 알리는 이메일 알림을 받습니다. 이메일에는 Panther 콘솔에서 경보를 열 수 있는 링크가 포함됩니다. 담당자

드롭다운 메뉴를 클릭하세요.

1. 규칙 또는 예약 규칙 생성 경보.

   • 다음 권한을 가진 사용자는

2. 경보를 할당하려는 사용자를 선택하세요. 또한 Panther 콘솔의 경보 세부 정보 페이지에서 경보를 할당할 수 있습니다. 드롭다운 메뉴는 페이지 상단에 위치합니다.

경보 할당 해제

1. 규칙 또는 예약 규칙 생성 경보.

2. 목록의 경보 오른쪽에서 담당자 드롭다운 메뉴를 클릭하세요. 드롭다운에서 모두 선택 할당 해제됨

   • 을 선택하세요. 여러 경보를 한 번에 할당개별 경보 옆의 체크박스를 여러 개 선택하거나 왼쪽 상단의 옆에 있는 체크박스를 선택하여 현재 페이지에 로드된 모든 경보를 선택하세요. (원문에 있는 항목 이름이 비어 있을 경우 페이지 상단의 체크박스를 의미합니다.)

3. 경보 목록 상단에서 권한을 가진 사용자는 Panther 사용자에게 경보를 할당할 수 있습니다. 경보가 할당되면 사용자는 할당을 알리는 이메일 알림을 받습니다. 이메일에는 Panther 콘솔에서 경보를 열 수 있는 링크가 포함됩니다. 드롭다운 메뉴를 클릭합니다. 경보를 할당할 사람을 선택하세요.

경보를 외부에서 관리하기

Slack

Panther의 Slack에서 경보 보기 및 분류 을(를) 사용하면 Slack에서 직접 경보를 보고 관리할 수 있으며, Slack Bot Boomerang 및 위협 인텔 기능을 사용할 수 있습니다. 자세한 내용은 이 구성되어 있으면 경보를 Slack에서 직접 보고 관리할 수 있습니다: 를 참조하세요.

Asana

Panther의 Asana 경보 대상 에는 경보 상태를 동기화하여 해당 Asana 작업의 상태를 업데이트하는 기능이 포함되어 있습니다.

Jira

Panther의 Jira 경보 대상 에는 경보 상태를 동기화하여 해당 Jira 이슈의 상태를 업데이트하는 기능이 포함되어 있습니다.

경보 활동 기록 보기

1. Panther 콘솔에서 왼쪽 사이드바의 경보 를 클릭합니다.

2. 경보를 클릭하여 해당 경보의 경보 상세 페이지를 확인합니다.

3. 아래로 스크롤하여 경보 기록 에서 모든 상태 변경 및 댓글의 기록을 확인합니다. 활동은 역연대순으로 정렬되어 최신 변경사항이 상단에 표시됩니다.

할당된 경보의 상태가 변경되면, 담당자는 변경 세부정보와 Panther 콘솔에서 경보를 열 수 있는 링크가 포함된 이메일 알림을 받습니다.

경보에 댓글 추가하기

다음 권한을 가진 사용자: 경보 관리 권한이 있는 사용자는 경보 상세 페이지에서 경보에 리치 텍스트 댓글을 추가할 수 있습니다. 또한 경보 댓글과 REST API를 사용하여 상호작용할 수 있습니다.

댓글 업데이트는 다음의 경우에만 가능합니다 REST API를 사용하여 상호작용할 수 있습니다입니다. 댓글 삭제 및 사용자 멘션은 지원되지 않습니다.

텍스트 서식은 굵게, 기울임, 목록, 코드 블록, 인용 블록 및 하이퍼링크에 대해 지원됩니다. 구문과 서식 출력에 대한 자세한 내용은 아래에 설명되어 있습니다.

구문:

위 구문으로부터의 서식 결과:

경보에서 빠른 규칙 튜닝(베타)

경보 자체에서 규칙 필터를 추가하여 경보를 트리거한 규칙을 빠르게 튜닝할 수 있습니다. 이는 경보가 오탐인 경우 트리거된 탐지를 조정하여 향후 유사한 이벤트에 매치되지 않도록 하는 데 특히 유용합니다. 지침은 경보 이벤트에서 필터 추가 를 참조하세요.

경보에서 빠른 탐지 튜닝은 정책이나 예약된 규칙이 아닌 규칙에 의해 트리거된 경보에서만 사용할 수 있습니다.

라는 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다.

경보 요약 사용 사례 예시

예를 들어 로드 밸런서를 향한 의심스러운 트래픽을 찾기 위해 규칙을 작성했다고 가정합니다. 이 규칙은AWS.ALB 로그에 대해 실행됩니다. Panther 표준 필드 p_any_ip_addresses 와 userAgent를 선택하면 경보를 볼 때 일치하는 이벤트에서 상위 다섯 개 값을 빠르게 확인할 수 있습니다. 이는 경보 분류 속도를 크게 향상시킬 수 있습니다.

이 예에서 첫 번째 요약은 p_any_ip_addreses입니다. 요약에서 막대 위에 마우스를 올리면 "복사" 및 "검색" 아이콘이 나타납니다—속성 값을 복사하여 SQL 검색에 사용하거나 빠르게 다음으로 피벗할 수 있습니다. Search로 피벗하기.

차트 위의 화살표를 클릭하여 다음 요약으로 이동하고 오른쪽 상단의 "속성" 드롭다운 메뉴를 사용하여 다른 속성을 선택하세요.

규칙에 요약 속성이 정의되어 있지 않으면, 요약은 대상 로그 유형과 관련된 모든 Panther 표준 p_any 필드에 대해 계산됩니다.