search
Knowledge BaseRelease NotesRequest Demo

Slack에서 알러트 관리하기

Slack에서 알러트를 보고 관리하기

hashtag
개요

Panther의 Slack 봇 알러트 대상 Slack에서 직접 알러트를 보고 관리할 수 있게 해줍니다. 여기에는 Slack 사용자와 알러트에 대해 논의하기 위한 Slack 봇 부메랑 사용 및 위협 인텔리전스를 위해 IP 주소를 분석하는 Threat Intel 사용이 포함됩니다.

hashtag
Slack에서 알러트 관리

Under a "Panther" title is a red dot next to "High." Below is the text, "User reported a fraudulent Duo 2FA request," as well as buttons like "View in Panther" and a boomerang icon.

Slack 봇 알러트에는 알러트 요약, 실행 지침(Runbook), 심각도가 포함됩니다. 만약 Panther AI 알러트 분류 동기화, 활성화되어 있다면 AI 알러트 분류 요약.

Slack 봇 알러트에는 또한 다음 옵션이 있습니다:

  • Panther에서 보기: Panther 콘솔에서 알러트에 대한 직접 링크를 엽니다.

  • 담당자 지정: 알러트의 담당자를 변경합니다.

  • 상태 업데이트: 알러트의 상태를 다음으로 변경합니다 열림, 분류됨, 해결됨, 또는 무효.

  • 알러트 상세 표시: 알러트에 대한 자세한 정보를 검색합니다.

  • Threat Intel 보기: 알러트의 특정 속성에 대한 위협 인텔리전스를 확인합니다.

  • 부메랑 (🪃): 지정된 사람에게 알러트에 대한 추가 정보를 요청합니다.

담당자를 지정하거나 상태를 업데이트하면 해당 변경 사항을 나타내는 새 답글로 Slack 스레드가 업데이트됩니다.

"Panther에서 보기" 및 "Threat Intel 보기" 버튼 아래에 "@Linus가 @Auston에게 알러트를 지정했습니다"라는 텍스트가 있습니다

Slack 내에서 상태 업데이트, 담당자 지정, 부메랑 메시지 전송과 같은 알러트와의 상호작용은 Panther 콘솔과 동기화됩니다. 알러트를 "해결됨"으로 표시할 때의 해결 코멘트는 알러트의 활동 스레드에 Panther 콘솔에 동기화됩니다.

또한 알러트 상태, 담당자 및 댓글에 대해 양방향 동기화를 활성화할 수 있습니다. 이는 알러트의 상태나 담당자가 Panther 콘솔(또는 Panther API)에서 변경되거나 댓글이 남겨질 때 해당 변경 사항이 관련 Slack 봇 알러트에 동기화된다는 의미입니다. 마찬가지로 Jira와 같은 외부 목적지에서 알러트 댓글이 추가되면 양방향 댓글 동기화가 활성화된 경우 해당 댓글도 Slack으로 동기화됩니다.

Three toggles are shown: Two-Way Status Syncing, Two-Way Assignee Syncing, and Two-Way Comment Syncing

hashtag
부메랑 전송(🪃)

Panther Slack 봇 알러트 내에서 부메랑 기능을 사용하여 계정과 관련된 활동의 정당성 등 알러트에 대한 정보를 요청하기 위해 다른 Slack 사용자에게 요청할 수 있습니다.

질문 및 응답을 포함한 모든 부메랑 통신은 Slack의 원본 알러트 메시지 스레드와 Panther 콘솔의 알러트 상세 페이지에 있는 활동 피드에 기록됩니다.

hashtag
Slack 봇 부메랑 사용 방법

  1. Panther Slack 봇 알러트 내에서 🪃 를 클릭합니다.

  2. 부메랑 모달에서 수신자를 선택하고 메시지를 작성합니다. The boomerang modal contains a dropdown field for the recipient, and a text field for the message. There are cancel and send buttons.

    • 특정 알러트 유형의 경우, 부메랑 수신자와 함께 알러트를 트리거한 첫 번째 이벤트의 JSON을 포함할 수 있습니다. 이를 위해 수신자와 이벤트 세부정보 공유. There is a checkbox for Share Event Details with Recipient. The beginning of an event's JSON, including an additionalFields key, is shown.

  3. 를 선택합니다. 🪃.

    • 전송 A Panther Slack Bot message says "Your help has been requested!" The requestor's Slack handle is provided, along with the message or question they sent. There is a textfield for the recipient to write a response. There are two buttons: "Confirm" and "Report Suspicious Activity"

hashtag
알러트 상세 표시

circle-info

수신자는 Panther Slack 봇으로부터 메시지를 받게 됩니다. IP 주소의 지리 위치 정보(예: 🇺🇸 California, USA)는 IPInfo 위치

  • 강화 제공자가 활성화되어 있어야 합니다. 알러트 상세 표시 클릭

하여 요약 필드, 이벤트 세부정보 및 첫 번째 이벤트를 포함한 알러트에 대한 추가 세부정보를 확인합니다.

hashtag
Slack 봇 위협 인텔리전스

정보가 검색된 후 관련된 Slack 스레드는 업데이트됩니다: Threat Intel 보기 알러트와 연결된 하나 이상의 요약 속성(예: 지리적 위치, ASN 등)을 위협 인텔리전스로 분석할 수 있는 경우 Slack의 알러트에

옵션이 표시됩니다. 표시되는 위협 인텔리전스 옵션은 귀하의 Panther 배포에서 활성화된 강화(Enrichment)

hashtag
데이터셋에 따라 달라집니다.

  1. Threat Intel 사용 방법 Threat Intel 보기.

  2. Slack 알러트에서

    • 클릭합니다.

hashtag
나타나는 프롬프트에서 분석할 값을 선택합니다.

값을 선택하면 해당 값이 자동으로 분석되고 사용 가능한 위협 인텔리전스가 반환됩니다:

hashtag
ASN

circle-exclamation

TOR 종료 노드 양방향 댓글 동기화.

Panther 버전 1.115 이전에 Slack 봇 대상지를 설정했고 양방향 댓글 동기화를 활성화하려면, 필요한 권한을 포함한 새 매니페스트로 Slack 앱을 업데이트해야 합니다 설정되어 있을 때 양방향 댓글 동기화:

  • 활동 Panther 콘솔의 알러트 활동 섹션 내에서 댓글을 남기면 해당 메시지가 Slack 봇 알러트의 스레드로 동기화됩니다.

    • Slack 봇 알러트의 스레드에 메시지를 보내면 해당 메시지는 Panther 콘솔의 알러트

      • 섹션에 댓글로 동기화됩니다.

      • 등록된 Panther 사용자와 외부 Slack 사용자 모두의 댓글이 동기화됩니다.

    • 댓글에는 댓글을 게시한 Slack 사용자의 이름이 포함됩니다.

    • Panther에 등록되지 않은 Slack 사용자의 댓글은 시스템 사용자에 귀속되며 원본 게시자의 이름이 포함됩니다.

    • Slack에서 댓글이 편집되면 변경 사항이 Panther로 동기화되어 이전 버전을 대체합니다. 활동 Slack에서 메시지가 삭제되면 Panther에서는 아무 작업도 수행되지 않습니다(댓글은 그대로 표시됩니다).

    • Slack 봇 스레드에서 파일이 공유되면 Panther의

    • 섹션에 댓글 텍스트와 첨부 파일에 대한 알림이 표시됩니다. 코드 블록(일반 텍스트로 변환됨)을 제외한 Slack의 메시지 서식은 Panther에서 유지됩니다.사용자 멘션 및 채널 링크는 Panther에서 원시 식별자(예:

hashtag
<@U0949SWJQ6B>

circle-info

)로 표시됩니다.

AI 알러트 분류 동기화(베타) Panther AI 알러트 분류의 Slack 봇 동기화는 Panther 버전 1.114부터 오픈 베타이며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원팀에 공유해 주세요. 만약 Panther AI 가 귀하의 Panther 배포에서 활성화되어 있다면,

AI 생성 알러트 분류

  • 가 알러트와 연결된 Slack 스레드 내에 답글로 자동으로 추가될 수 있습니다. 초기 AI 알러트 분류만 Slack 봇 스레드로 동기화되며 이후의 후속 응답은 동기화되지 않습니다.동기화된 AI 분류에는 다음 섹션이 포함됩니다:

  • 요약: 알러트에 대한 간결한 개요.

  • 핵심 발견: AI가 식별한 주목할 만한 패턴, 행동 또는 이상 징후.

  • 보안적 영향: 잠재적 위험 및 영향에 대한 분석.

  • 권장 조치: AI의 평가에 따른 권장 다음 단계 또는 완화책.

Under an "AI Analysis" header are "Summary" and "Key Findings" sub-headers.

Panther 콘솔 링크 : Panther 콘솔에서 전체 AI 분류 보고서를 보기 위한 직접 링크. 양방향 댓글 동기화 이 기능을 활성화하려면 Panther 콘솔의 Slack 봇 알러트 대상 구성 페이지에서

To the right of "AI Triage Syncing" text is a toggle set to ON.

hashtag
AI 분류 동기화

를 전환하십시오.

알러트를 여러 Slack 봇 대상지로 전송하기 동일한 알러트에 대해 여러 Slack 채널을 Slack 봇 알러트 대상지로 구성한 경우, 한 Slack 봇 알러트에서 상호작용(예: 담당자 지정 또는 부메랑 메시지 전송)을 하면 다른 Slack 봇 알러트도 업데이트됩니다(변경 사항이 Panther 콘솔에 동기화되는 것 외에). 예를 들어, 알러트 ID 12345가 #channel-one동일한 알러트에 대해 여러 Slack 채널을 Slack 봇 알러트 대상지로 구성한 경우, 한 Slack 봇 알러트에서 상호작용(예: 담당자 지정 또는 부메랑 메시지 전송)을 하면 다른 Slack 봇 알러트도 업데이트됩니다(변경 사항이 Panther 콘솔에 동기화되는 것 외에).#channel-two 열림 에 전송되었다고 가정해 보겠습니다. 분류됨에서 알러트 ID 12345의 상태를

  • 에서 동일한 알러트에 대해 여러 Slack 채널을 Slack 봇 알러트 대상지로 구성한 경우, 한 Slack 봇 알러트에서 상호작용(예: 담당자 지정 또는 부메랑 메시지 전송)을 하면 다른 Slack 봇 알러트도 업데이트됩니다(변경 사항이 Panther 콘솔에 동기화되는 것 외에). 예를 들어, 알러트 ID 12345가 #channel-one로 업데이트합니다. 다음과 같은 결과가 발생합니다: 분류됨두 채널 모두에서 알러트 ID 12345에 상태가

  • 로 표시되며 두 알러트의 스레드가 상태 변경을 나타내도록 업데이트됩니다. In the Panther Console, the status of alert ID 12345 is changed to 분류됨.

이전알러트 할당 및 관리다음알러트 런북

마지막 업데이트

도움이 되었나요?