# Slack에서 알러트 관리

## 개요

Panther의 [Slack Bot 알러트 대상](https://docs.panther.com/ko/alerts/destinations/slack-bot) Slack에서 직접 알러트를 보고 관리할 수 있게 해줍니다. 여기에는 Slack Bot Boomerang을 사용해 다른 Slack 사용자와 알러트에 대해 논의하는 것과 Threat Intel을 사용해 위협 인텔리전스를 위해 IP 주소를 분석하는 것이 포함됩니다.

## Slack에서 알러트 관리

<div align="left"><figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-24ee49a9b51c8e21558830d879a8405ecfbfe0af%2Fimage.png?alt=media" alt="Under a &#x22;Panther&#x22; title is a red dot next to &#x22;High.&#x22; Below is the text, &#x22;User reported a fraudulent Duo 2FA request,&#x22; as well as buttons like &#x22;View in Panther&#x22; and a boomerang icon."><figcaption></figcaption></figure></div>

Slack Bot 알러트에는 알러트 요약, Runbook, 심각도가 포함됩니다. 이미 [Panther AI 알러트 분류 동기화](#ai-alert-triage-sync-beta)를 사용하도록 설정했다면, [AI 알러트 분류 요약](https://docs.panther.com/ko/alerts/..#panther-ai-alert-triage).

Slack Bot 알러트에는 다음 옵션도 있습니다:

* **Panther에서 보기**: Panther Console에서 해당 알러트로 직접 연결되는 링크를 엽니다.
* **담당자 설정**: 알러트의 담당자를 변경합니다.
* **상태 업데이트**: 알러트의 상태를 다음으로 변경합니다 `열림`, `분류됨`, `해결됨`, 또는 `유효하지 않음`.
* **알러트 세부정보 표시**: 알러트에 대한 자세한 정보를 가져옵니다.
  * 다음을 참조하세요 [알러트 세부정보 표시](#show-alert-details) 자세한 내용은 아래를 참조하세요.
* **Threat Intel 보기**: 알러트의 특정 속성에 대한 위협 인텔리전스를 봅니다.
  * 다음을 참조하세요 [Slack Bot Threat Intel](#slack-bot-threat-intel) 자세한 내용은 아래를 참조하세요.
* **Boomerang** (🪃): 지정된 사람에게 알러트에 대한 추가 정보를 제공하도록 요청합니다.
  * 다음을 참조하세요 [Boomerang 보내기](#send-boomerang) 자세한 내용은 아래를 참조하세요.

담당자 설정이나 상태를 업데이트하면 Slack 스레드가 변경 사항을 나타내는 새 답글로 업데이트됩니다.

<div align="center"><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-788d2d6d203dad6f8c4a8020d3d3a7436766c365%2Fimage.png?alt=media" alt="&#x22;Panther에서 보기&#x22; 및 &#x22;Threat Intel 보기&#x22; 버튼 아래에는 &#x22;@Linus가 알러트를 @Auston에게 할당했습니다&#x22;라는 텍스트가 있습니다."></div>

상태 업데이트, 담당자 설정, Boomerang 메시지 전송과 같은 Slack 내의 알러트 상호작용은 Panther Console로 다시 동기화됩니다. 알러트를 "해결됨"으로 표시할 때의 해결 코멘트는 알러트의 **활동** 스레드로 Panther Console에 동기화됩니다.

알러트 상태, 담당자, [댓글](#two-way-comment-syncing)에 대한 양방향 동기화도 활성화할 수 있습니다. 이는 Panther Console(또는 Panther API)에서 알러트의 상태 또는 담당자가 변경되거나 댓글이 남겨지면, 해당 변경 사항이 관련 Slack Bot 알러트에 동기화된다는 뜻입니다. 마찬가지로 Jira와 같은 외부 대상에서 알러트 댓글이 추가되면, 양방향 댓글 동기화가 활성화되어 있을 경우 Slack에도 동기화됩니다.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-6ad0b4cd66b0ed4ccf30046f4c7752470d146203%2Fslack%20bot%20config%20options.png?alt=media" alt="Three toggles are shown: Two-Way Status Syncing, Two-Way Assignee Syncing, and Two-Way Comment Syncing" width="375"><figcaption></figcaption></figure>

### Boomerang 보내기 (🪃)

Panther Slack Bot 알러트 내의 Boomerang 기능을 사용하여 다른 Slack 사용자에게 자신의 계정과 관련된 활동의 정당성 등 알러트에 대한 정보를 요청합니다.

질문과 응답을 포함한 모든 Boomerang 통신은 Slack의 원본 알러트 메시지 스레드와 **활동** Panther Console의 알러트 세부정보 페이지에 있는 피드에 기록됩니다.

#### Slack Bot Boomerang 사용 방법

1. Panther Slack Bot 알러트 안에서 🪃 를 클릭합니다.\
   ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-7050ea6bcb98253c5b6c33c737f4c5de5d738767%2Fimage.png?alt=media)
2. Boomerang 모달에서 수신자를 선택하고 메시지를 작성합니다.\
   ![The boomerang modal contains a dropdown field for the recipient, and a text field for the message. There are cancel and send buttons.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-102772cea7f31e5761cdf0a4c3e2d117c603d4cf%2Fspaces_-LgdiSWdyJcXPahGi9Rs-2910905616_uploads_5yvRV7vl5FJu78KcUjL9_image%201%20\(2\).png?alt=media)
   * 일부 알러트 유형의 경우 다음을 선택하면 알러트를 트리거한 첫 번째 이벤트의 JSON을 포함할 수 있습니다. **이벤트 세부정보를 수신자와 공유**.\
     ![There is a checkbox for Share Event Details with Recipient. The beginning of an event's JSON, including an additionalFields key, is shown.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-b2ea4b23a4571a696530a63dd27a3eb4e3a55a54%2Fimage.png?alt=media)
3. 🪃 클릭 **보내기**.
   * 수신자는 Panther Slack Bot에서 보낸 메시지를 받게 됩니다.\
     ![A Panther Slack Bot message says "Your help has been requested!" The requestor's Slack handle is provided, along with the message or question they sent. There is a textfield for the recipient to write a response. There are two buttons: "Confirm" and "Report Suspicious Activity"](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-7b83a23f60e3cabcef460930c364e1d1aa09b970%2Fspaces_-LgdiSWdyJcXPahGi9Rs-2910905616_uploads_mv1y9ueHj0yBRxC0pmBc_image%201%20\(1\).png?alt=media)

### 알러트 세부정보 표시

{% hint style="info" %}
IP 주소의 지리적 위치 정보(예: 🇺🇸 미국 캘리포니아)를 보려면 [IPInfo Location](https://docs.panther.com/ko/enrichment/ipinfo) 보강 제공업체가 활성화되어야 합니다.
{% endhint %}

* 클릭 **알러트 세부정보 표시** 요약 필드, 이벤트 세부 정보, 첫 번째 이벤트를 포함해 알러트에 대한 추가 세부 정보를 보려면.

![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-92721ee2581dbb14a45b91e12ef609887f95d7b5%2Fimage.png?alt=media)

정보가 검색된 후 관련 Slack 스레드가 업데이트됩니다:

![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-5f72ba5ba04ffc63fd0767a51d886424b8763aaa%2Fimage.png?alt=media)

### Slack Bot Threat Intel

다음 옵션을 **Threat Intel 보기** 는 알러트와 관련된 하나 이상의 요약 속성을 위협 인텔리전스를 위해 분석할 수 있는 경우 Slack의 알러트에 표시됩니다(예: 지리적 위치, ASN 등).

표시되는 위협 인텔리전스 옵션은 어떤 [Enrichment](https://docs.panther.com/ko/enrichment) 데이터셋이 Panther 배포에서 활성화되어 있는지에 따라 달라집니다.

#### Threat Intel 사용 방법

1. Slack 알러트에서 **Threat Intel 보기**.\
   ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-290583730fab9897d0cf0f0bdf6507be52cdb7c6%2Fimage.png?alt=media)
2. 표시되는 프롬프트에서 분석할 값을 선택합니다.\
   ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-ccf4d7f6762cfcc96aaffd79883f2955de27f601%2Fimage.png?alt=media)
   * 값을 선택하면 해당 값이 자동으로 분석되고 사용 가능한 위협 인텔리전스가 반환됩니다:\
     ![](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-3677802bd8d446086fa1a1fbf45afddd4de70295%2Fimage.png?alt=media)

### Slack Bot 위협 인텔리전스 지원 데이터셋

Slack Bot 위협 인텔리전스는 다음 데이터셋의 사용을 지원합니다:

* [IPInfo](https://docs.panther.com/ko/enrichment/ipinfo)
  * 위치
  * ASN
* [TOR 출구 노드](https://docs.panther.com/ko/enrichment/tor-exit-nodes)

### 양방향 댓글 동기화

{% hint style="warning" %}
Panther 버전 1.115 이전에 Slack Bot 대상을 설정했고 양방향 댓글 동기화를 활성화하고 싶다면, 다음 작업을 수행해야 합니다. [필요한 권한이 포함된 새 매니페스트로 Slack 앱을 업데이트해야 합니다](https://docs.panther.com/ko/destinations/slack-bot#updating-existing-slack-bot-installations).
{% endhint %}

다음 경우 **양방향 댓글 동기화** 가 **ON**:

* Panther Console의 알러트 활동 섹션 내에 댓글을 남기면 해당 메시지가 Slack Bot 알러트의 스레드와 동기화됩니다.
* Slack Bot 알러트의 스레드에 메시지를 보내면 해당 메시지는 알러트의 **활동** 섹션 내 댓글로 동기화됩니다.
  * 등록된 Panther 사용자와 외부 Slack 사용자의 댓글이 모두 동기화됩니다.
    * 댓글에는 댓글을 게시한 Slack 사용자의 이름이 포함됩니다.
    * Panther에 등록되지 않은 Slack 사용자의 댓글은 시스템 사용자에게 귀속되며, 원 작성자의 이름이 함께 포함됩니다.
  * Slack에서 댓글이 편집되면 변경 사항이 Panther에 동기화되어 이전 버전이 대체됩니다.
  * Slack에서 메시지가 삭제되면 Panther에서는 아무 작업도 수행되지 않습니다(댓글은 계속 표시됩니다).
  * Slack Bot 스레드에서 파일이 공유되면 Panther **활동** 섹션에 댓글 텍스트와 첨부된 파일에 대한 알림이 표시됩니다.
  * Slack의 메시지 서식은 Panther에서 유지됩니다(코드 블록은 일반 텍스트로 변환됨).
  * 사용자 멘션과 채널 링크는 원시 식별자(예: `<@U0949SWJQ6B>`)로 Panther에 표시됩니다.

## AI 알러트 분류 동기화(베타) <a href="#ai-alert-triage-sync" id="ai-alert-triage-sync"></a>

{% hint style="info" %}
Slack Bot으로의 Panther AI 알러트 분류 동기화는 Panther 버전 1.114부터 오픈 베타이며, 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀과 공유해 주세요.
{% endhint %}

만약 [Panther AI](https://docs.panther.com/ko/ai) 이 Panther 배포에서 활성화되어 있으면, [AI가 생성한 알러트 분류](https://docs.panther.com/ko/alerts/..#panther-ai-alert-triage) 가 알러트와 연결된 Slack 스레드의 답글로 자동 추가될 수 있습니다. 후속 응답은 동기화되지 않고, 초기 AI 알러트 분류만 Slack Bot 스레드와 동기화됩니다.

동기화된 AI 분류에는 다음 섹션이 포함됩니다:

* **요약**: 알러트에 대한 간결한 개요.
* **주요 발견 사항**: AI가 식별한 주목할 만한 패턴, 동작 또는 이상 징후.
* **보안 영향**: 잠재적 위험과 영향에 대한 분석.
* **권장 조치**: AI의 평가를 바탕으로 제안된 다음 단계 또는 완화 조치.
* **Panther Console 링크**: Panther Console에서 전체 AI 트리아지 보고서를 볼 수 있는 직접 링크입니다.

<div align="center" data-full-width="true"><figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-9ab351134e5543ea0b13da9ad7fc566583373b73%2Fimage.png?alt=media" alt="Under an &#x22;AI Analysis&#x22; header are &#x22;Summary&#x22;  and &#x22;Key Findings&#x22; sub-headers." width="375"><figcaption></figcaption></figure></div>

이 기능을 사용하려면 다음을 토글하세요 **AI 트리아지 동기화** `ON` Panther Console의 Slack Bot 알러트 대상 구성 페이지에서.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-04fcef89ccb74056b149cc834e0092e7b9e155eb%2Fimage.png?alt=media" alt="To the right of &#x22;AI Triage Syncing&#x22; text is a toggle set to ON." width="375"><figcaption></figcaption></figure>

## 알러트를 여러 Slack Bot 대상으로 보내기

동일한 알러트에 대해 여러 Slack 채널을 Slack Bot 알러트 대상으로 구성한 경우, 하나의 Slack Bot 알러트와 상호작용하면(예: 담당자를 지정하거나 Boomerang 메시지를 보내면) 다른 Slack Bot 알러트도 업데이트됩니다(Panther Console에 변경 사항이 동기화되는 것에 더해).

예를 들어, 알러트 ID 12345가 다음 두 곳 모두로 전송된다고 가정해 보겠습니다 `#channel-one` 및 `#channel-two`. 다음 위치의 알러트 ID 12345에서 `#channel-one`, 알러트 상태를 다음에서 변경하면 `열림` 를 `분류됨`. 그 결과 다음 작업이 수행됩니다:

* 둘 다에서 `#channel-one` 및 `#channel-two`, 알러트 ID 12345의 상태가 다음으로 표시되며 `분류됨`, 그리고 두 알러트의 스레드가 상태 변경을 나타내도록 업데이트됩니다.
* Panther Console에서 알러트 ID 12345의 상태가 다음으로 변경됩니다 `분류됨`.