알러트 지정 및 관리
Panther 콘솔에서 알러트 관리하기
개요
Panther의 알러트 관리 기능을 사용하면 Panther 사용자에게 알러트를 할당하고, 알러트 업데이트 활동 기록을 조회하고, 리치 텍스트 지원 댓글을 추가하며, 디텍션을 빠르게 조정할 수 있습니다—모두 Panther 콘솔에서 가능합니다.
알러트 분류(트리아징)
알러트 상태
다음 상태들을 Panther에서 알러트를 분류(트리아징)할 때 적용할 수 있습니다:
열림(Open): 이는 Low, Medium, High 또는 Critical 심각도 수준의 새 알러트의 기본 상태입니다.
잘못된(Invalid): 오류로 생성되었을 수 있는 시끄러운(노이즈) 알러트를 분류할 때 사용하세요.
해결됨(Resolved): 유효하지만 해결된 알러트를 분류할 때 사용하세요. 이는 Info 심각도 수준의 알러트 기본 상태입니다.
분류됨(Triaged): 추가 조사로 인해 해결 과정에 있는 유효한 알러트를 분류할 때 사용하세요.
기본적으로 알러트(Alerts) 페이지의 알러트 목록은 열림(Open) 및 분류됨(Triaged) 알러트만 표시합니다.
알러트 상태를 변경해도 관련 룰 또는 정기 룰의 중복 제거 기간(deduplication period) 은 재설정되지 않습니다. 예를 들어, 알러트가 해결됨(Resolved) 로 표시되기 전에 중복 제거 기간이 완료되지 않았고 알러트를 유발하는 이벤트가 계속 스트리밍되면, 해당 이벤트들은 새로운 것이 아닌 동일한 해결됨(Resolved) 알러트와 연관됩니다.
알러트 품질
알러트 품질은 Panther 버전 1.118부터 오픈 베타입니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.
알러트 품질을 사용하면 의도한 대로 동작하는 알러트와 조정이 필요한 알러트를 구분할 수 있습니다:
유용(Useful): 디텍션이 의도한 대로 작동했으며 이 알러트를 다시 받고 싶을 때 사용합니다. 유효한 보안 발견 사항에 사용하세요.
노이즈(Noise): 알러트가 잘못 발생했으며 조정이 필요할 때 사용합니다. 오탐(false positive)이나 가치를 제공하지 않는 알러트에 사용하세요.
알러트 품질은 알러트 상태와는 별개입니다. 알러트는 노이즈(Noise)로 표시되더라도 여전히 열림(Open) 또는 분류됨(Triaged) 상태를 가질 수 있습니다.
알러트의 품질을 수정하면 해당 내용이 알러트의 활동(Activity) 로그에 기록됩니다:
Search에서 특정 품질 값을 가진 알러트 쿼리하기
다음으로 Search에서 알러트를 쿼리하려면 특정 품질 값을 가진 알러트를 조회하려면, 키/값 필터 표현식(key/value filter expression) 을 Quality 필드와 USEFUL (만약 당신이 NOISE.
값으로 생성하세요. Search에서 quality 필드의 값은 대소문자를 구분한다는 점에 유의하세요.
컨텍스트 태그
컨텍스트 태그는 Panther 버전 1.118부터 오픈 베타입니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.
컨텍스트 태그는 알러트가 발생한 이유에 대한 추가 정보를 제공합니다. 다음을 사용할 수 있습니다: Panther가 제공하는 내장 태그 를 사용하거나 자체.
맞춤 태그를 생성할 수 있습니다
알러트당 최대 10개의 컨텍스트 태그를 추가할 수 있습니다. 활동(Activity) 로그에 기록됩니다:
알러트의 컨텍스트 태그를 수정하면 해당 내용이 알러트의
내장 알러트 컨텍스트 태그
다음 태그들이 내장되어 있습니다:
운영상 문제(Operational issues)
alert-delivery-failure
classification-error
configuration-error
rule-error
tuning-needed
정상 활동(Legitimate activity)
admin-activity
approved-change
automated-process
service-account
testing-activity
탐지된 위협(Detected threats)
account-takeover
credential-compromise
data-exfiltration
lateral-movement
malicious-binary
persistence-mechanism
privilege-escalation
맞춤 알러트 컨텍스트 태그 Panther가 제공하는 내장 태그만으로는 충분하지 않은 경우 맞춤 알러트 컨텍스트 태그를 생성할 수 있습니다. 맞춤 태그:
조직 전체에서 공유됩니다
고유해야 합니다(대소문자 구분 없는 매칭)
태그는 자동으로 소문자 및 밑줄로 정규화됩니다(예: "My Custom Tag"는 "my_custom_tag"가 됩니다)
길이는 3-30자여야 하며 문자, 숫자, 공백, 대시 및 밑줄을 포함할 수 있습니다
맞춤 태그는 두 가지 방법으로 생성할 수 있습니다:
Search에서 특정 태그를 가진 알러트 쿼리하기
다음으로 Search에서 알러트를 쿼리하려면 특정 태그를 가진 알러트를 쿼리하려면, 키/값 필터 표현식(key/value filter expression) 을 contextTags 필드와 위에 나열된 하나 이상의 컨텍스트 태그를 사용하세요.
contextTag 필드의 값은 대소문자를 구분한다는 점에 유의하세요.
Panther에서 알러트 일괄 업데이트하기
알러트 그룹의 상태 또는 담당자를 일괄로 업데이트하는 것이 가능합니다.
다음 방법으로 할 수 있습니다: 스크립트 또는 API또는 Panther 콘솔에서:
현재 페이지의 알러트만 선택하려면, Select All:
체크하세요.
기본적으로 일괄 선택기는 페이지에 현재 로드된 모든 항목을 선택합니다. 로드된 페이지를 넘어 모든 필터링된 결과를 선택하려면, 클릭하세요
이 검색과 일치하는 모든 알러트 선택(Select all Alerts that match this search).
이렇게 하면 필터링된 결과 내의 모든 항목이 선택됩니다.
이 옵션을 사용해 대량 작업을 수행하면 많은 수의 알러트를 분류하는 경우 대량 작업 완료에 약간의 지연이 있을 수 있습니다. 대량 작업의 최종 결과를 보려면 페이지를 새로 고치세요.
Slack에서 알러트 보기 및 분류하기 다음이 구성된 경우, Slack Bot Alert Destination
알러트를 Slack에서 직접 보고 관리할 수 있습니다: 자세한 내용은.
Slack에서 알러트 관리하기(Managing Alerts in Slack)
알러트 요약 사용 방법 알러트 요약은 선택한 요약 속성에 기반해 알러트의 이벤트에서 발견된 가장 일반적인 값들을 보여줍니다. 알러트 요약은 룰 매치에서 일치하는 이벤트를 분류할 때 , 누가(Who), 무엇을(What) 어디서(Where)
와 같은 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다.
이 기능은 룰이 대량의 일치 이벤트를 생성하여 위협의 성격을 이해하기 어려운 경우에 특히 유용합니다. 알러트 요약은 모든 일치 이벤트의 개요를 제공하여 각 이벤트를 수동으로 검토할 필요를 줄여줍니다. 예시 사용 사례는 이 페이지 하단의 예시(Examples)
섹션을 참조하세요. 이 기능은 Panther 콘솔의 AI 생성 알러트 요약
과는 다르다는 점에 유의하세요.
디텍션에 요약 속성 추가하기 룰 또는 정기 룰을:
생성할 때 요약 속성(Summary Attributes)을 정의할 수 있습니다
룰에 대한 요약 속성을 정의할 때는 알러트의 성격을 한눈에 이해하는 데 도움이 되는 속성을 선택해야 합니다.
Panther 콘솔에서 매크로를 활성화하려면, 해당 알러트(Alerts).
알러트 요약 보기
알러트 제목을 클릭하여 세부 정보 페이지를 보세요. 다음 탭을 클릭하세요: 요약(Summary)
이 다음 탭을 클릭하세요: 탭.
이 탭은 선언된 각 요약 속성에 대해 상위 다섯 개 속성을 표시합니다.
Search로 전환하기
알러트 요약을 보는 동안 알러트 위에 마우스를 올리면 오른쪽에 "복사(Copy)" 아이콘이 나타납니다. 아이콘을 클릭하면 속성 값을 복사하여 데이터 익스플로러에서 사용할 수 있습니다. p_로 시작하는 필드의 경우 오른쪽에 "검색(Search)" 아이콘도 나타납니다. "검색" 아이콘을 클릭하면Search 가 열리고 해당 속성에 대한 모든 히트를 데이터 레이크에서 볼 수 있습니다. 알러트 할당 및 할당 해제 방법
다음 권한이 있는 사용자는,
알러트 보기(View Alerts) 알러트를 Panther 사용자에게 할당할 수 있습니다. 알러트가 할당되면 해당 사용자에게 할당을 알리는 이메일 알림이 전송됩니다. 이메일에는 Panther 콘솔에서 알러트를 열 수 있는 링크가 포함됩니다. 알러트 할당하기
알러트 목록이 표시됩니다.
Panther 콘솔에서 매크로를 활성화하려면, 해당 알러트(Alerts).
목록에서 알러트의 오른쪽에 있는
담당자(Assignee) 드롭다운 메뉴를 클릭하세요. 알러트를 할당하려는 사용자를 선택하세요.
또한 Panther 콘솔의 알러트 세부 정보 페이지에서 알러트를 할당할 수 있습니다. 해당
드롭다운 메뉴는 페이지 상단에 위치합니다. 드롭다운 메뉴를 클릭하세요. 알러트 할당 해제하기
목록에서 알러트의 오른쪽에 있는 담당자 드롭다운 메뉴를 클릭하세요. 드롭다운에서
Panther 콘솔에서 매크로를 활성화하려면, 해당 알러트(Alerts).
목록에서 알러트의 오른쪽에 있는
미할당(Unassigned)
을 선택하세요.여러 알러트를 한 번에 할당하기
여러 개 개별 알러트 옆의 체크박스를 선택하거나, 현재 페이지에 로드된 모든 알러트를 선택하려면 왼쪽 상단에 있는
Panther 콘솔에서 매크로를 활성화하려면, 해당 알러트(Alerts).
체크박스를 선택하세요. Select All 한 번에 할당할 수 있는 것은 현재 페이지에 로드된 알러트에 한정됩니다. 추가 알러트가 필터 기준과 일치하고 사용자가
이 검색과 일치하는 모든 항목 선택(Select all that match this search) 를 선택하면 담당자 드롭다운 메뉴는 사라집니다.알러트 목록 상단에서 다음
드롭다운 메뉴를 클릭하세요. 알러트를 할당할 사람을 선택하세요. 드롭다운 메뉴를 클릭하세요. 외부에서 알러트 관리하기
Slack
Panther의
기능을 사용하면 Slack에서 알러트를 직접 보고 관리할 수 있으며, Slack Bot Boomerang 및 위협 인텔 기능 사용도 포함됩니다. 자세한 내용은 다음이 구성된 경우, Asana 자세한 내용은 를 추가할 수도 있습니다. 이렇게 하면 매크로가 소스 코드로 확장되어 쿼리 문제 해결에 유용합니다. 자세한 내용은
Asana 알러트 대상(Alert Destination)
기능을 사용하면 Slack에서 알러트를 직접 보고 관리할 수 있으며, Slack Bot Boomerang 및 위협 인텔 기능 사용도 포함됩니다. 자세한 내용은 는 관련 Asana 작업의 상태를 동기화하여 해당 작업의 상태를 업데이트하는 기능을 포함합니다. Jira
Jira 알러트 대상(Alert Destination)
기능을 사용하면 Slack에서 알러트를 직접 보고 관리할 수 있으며, Slack Bot Boomerang 및 위협 인텔 기능 사용도 포함됩니다. 자세한 내용은 는 관련 Jira 이슈의 상태를 동기화하여 해당 이슈의 상태를 업데이트하는 기능을 포함합니다. 알러트 활동 기록 보기
Panther 콘솔에서 왼쪽 사이드바의
을 클릭하세요. 알러트(Alerts) 알러트 세부 정보 페이지를 보려면 알러트를 클릭하세요.
아래로 스크롤하여
알러트 기록(Alert History) 을 확인하여 모든 상태 변경 및 댓글의 기록을 보세요. 활동은 역연대기 순(reverse chronological order)으로 정렬되어 가장 최근 변경 사항이 상단에 표시됩니다. 할당된 알러트의 상태가 변경되면, 담당자는 변경 세부 정보가 포함된 이메일 알림을 받으며 이메일에는 Panther 콘솔에서 알러트를 열 수 있는 링크가 포함됩니다.
알러트에 댓글 추가하기
다음 권한이 있는 사용자는,
알러트 관리(Manage Alerts) 권한을 가진 사용자는 알러트 세부 정보(Alerts Details) 페이지에서 리치 텍스트 댓글을 알러트에 추가할 수 있습니다. 또한 REST API를 사용하여 알러트 댓글과 상호작용할 수 있습니다 댓글 업데이트는 다음의 경우에만 가능합니다 . 댓글 삭제와 사용자 멘션은 지원되지 않습니다..
텍스트 서식은 굵게, 기울임, 목록, 코드 블록, 인용 블록 및 하이퍼링크를 지원합니다. 구문과 서식 출력은 아래에 자세히 설명되어 있습니다. . 댓글 삭제와 사용자 멘션은 지원되지 않습니다.구문(Syntax):
**굵게(Bold)** (또는: __굵게__ 또는 텍스트 선택 + CMD/CTRL+B)
*기울임(Italics)* (또는: _기울임_ 또는 텍스트 선택 + CMD/CTRL+I)
알러트를 유발한 룰을 알러트 자체에서 직접
룰 필터(Rule Filters)
를 추가하여 빠르게 조정할 수 있습니다. 이는 해당 알러트가 오탐이고 향후 유사한 이벤트에 대해 해당 디텍션이 매칭되지 않도록 조정하려는 경우에 특히 유용합니다. 지침은 알러트 이벤트에서 필터 추가(Add filters from an alert event)를 참조하세요. 알러트에서의 빠른 디텍션 조정은 룰에 의해 유발된 알러트에서만 사용할 수 있으며, 정책이나 정기 룰에서는 사용할 수 없습니다. 알러트 요약 사용 사례 예시
예를 들어, 로드 밸런서를 겨냥한 의심스러운 트래픽을 찾는 룰을 작성했다고 가정해 보겠습니다. 이 룰은
예시 사용 사례는 이 페이지 하단의
AWS.ALB
로그를 대상으로 실행됩니다. Panther 표준 필드p_any_ip_addresses userAgent 를 선택하면, 알러트를 볼 때 일치하는 이벤트의 상위 다섯 개 값을 빠르게 볼 수 있습니다. 이는 알러트 분류를 크게 가속화할 수 있습니다. 및 이 예시에서 첫 번째 요약은p_any_ip_addreses
입니다. 요약에서 막대 위에 마우스를 올리면 "복사" 및 "검색" 아이콘이 나타납니다—속성 값을 복사하여 SQL 검색에 사용하거나 빠르게 전환할 수 있습니다차트 위의 화살표를 클릭하여 다음 요약으로 이동하고, 오른쪽 상단의 "속성(Attribute)" 드롭다운 메뉴를 사용하여 다른 속성을 선택하세요. 가 열리고 해당 속성에 대한 모든 히트를 데이터 레이크에서 볼 수 있습니다..
룰에 정의된 요약 속성이 없으면, 요약은 모든 Panther 표준
p_any 대상 로그 유형과 연관된 필드에 대해 계산됩니다. fields associated with the target log types.
마지막 업데이트
도움이 되었나요?