Slack에서 알러트 관리하기

개요

Panther의 Slack Bot 알러트 대상이 있는 경우 Slack에서 알러트를 직접 보고 관리할 수 있습니다. 여기에는 Slack 봇 Boomerang을 사용해 다른 Slack 사용자와 알러트를 논의하는 것과 IP 주소를 위협 인텔리전스(Threat Intel)로 분석하는 기능이 포함됩니다.

Slack에서 알러트 관리하기

Slack 봇 알러트에는 알러트 요약(Alert Summary), 런북(Runbook), 심각도(Severity)가 포함되어 있습니다. 만약 Panther AI 알러트 트리아지 동기화를 활성화했다면, AI 알러트 트리아지 요약.

Slack 봇 알러트에는 또한 다음 옵션들이 있습니다:

• Panther에서 보기: Panther 콘솔에서 해당 알러트에 대한 직접 링크를 엽니다.

• 담당자 지정(Set Assignee): 알러트의 담당자를 변경합니다.

• 상태 업데이트(Update Status): 알러트의 상태를 열림, 분류됨, (알러트 상태가, 또는 로그에 기록됩니다..

• 알러트 세부정보 표시(Show Alert Details): 알러트에 대한 자세한 정보를 가져옵니다.

  • 참조 알러트 세부정보 표시(Show Alert Details) 자세한 정보는 아래를 참조하세요.

• 위협 인텔 보기(See Threat Intel): 알러트의 특정 속성에 대한 위협 인텔리전스를 확인합니다.

  • 참조 Slack 봇 위협 인텔(Threat Intel) 자세한 정보는 아래를 참조하세요.

• 부메랑(Boomerang) (🪃): 지정된 사람에게 알러트에 대한 추가 정보를 요청합니다.

  • 참조 부메랑 전송(Send Boomerang) 자세한 정보는 아래를 참조하세요.

담당자를 지정하거나 상태를 업데이트하면 Slack 스레드가 변경 내용을 나타내는 새 답글로 업데이트됩니다.

Slack 내에서의 알러트 상호작용(예: 상태 업데이트, 담당자 지정, 부메랑 메시지 전송)은 Panther 콘솔과 동기화됩니다. 알러트를 "해결(Resolved)"로 표시할 때의 해결 코멘트는 해당 알러트의 (선택 사항) 아래의 Panther 콘솔의 스레드에 동기화됩니다.

알러트 상태, 담당자 및 코멘트에 대해 양방향 동기화를 활성화할 수도 있습니다. 이는 알러트의 상태나 담당자가 Panther 콘솔(또는 Panther API)에서 변경되거나 코멘트가 남겨지면 해당 변경사항이 관련 Slack 봇 알러트로 동기화된다는 의미입니다. 마찬가지로 Jira와 같은 외부 대상에서 알러트 코멘트가 추가되면 두 방향 코멘트 동기화가 활성화되어 있는 경우 Slack으로도 동기화됩니다.

부메랑 전송(🪃)

Panther Slack 봇 알러트 내에서 Boomerang 기능을 사용하여 다른 Slack 사용자에게 계정 관련 활동의 정당성 등 알러트에 관한 정보를 요청할 수 있습니다.

질문과 응답을 포함한 모든 부메랑 통신은 Slack의 원본 알러트 메시지 스레드와 Panther 콘솔의 (선택 사항) 아래의 알러트 세부정보 페이지의 피드(feed)에 기록됩니다.

Slack 봇 부메랑 사용 방법

1. Panther Slack 봇 알러트 내에서 🪃를 클릭합니다.

2. 부메랑 모달에서 수신자를 선택하고 메시지를 작성합니다.

   • 특정 알러트 유형의 경우 수신자와 이벤트 세부정보 공유(Share Event Details with Recipient).

3. 를 선택하여 알러트를 유발한 첫 번째 이벤트의 JSON을 포함할 수 있습니다. 콜렉션에서 요청을 선택한 다음,.

   • 🪃를 클릭합니다.

알러트 세부정보 표시(Show Alert Details)

• 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 알러트 세부정보 표시(Show Alert Details) enrichment 공급자가 활성화되어 있어야 합니다.

요약 필드(Summary Fields), 이벤트 세부정보(Event Details), 첫 번째 이벤트(First Event)를 포함한 알러트의 추가 세부정보를 보려면

Slack 봇 위협 인텔(Threat Intel)

정보를 가져온 후 관련 Slack 스레드는 업데이트됩니다: 위협 인텔 보기(See Threat Intel) 다음 옵션

은(는) 지리적 위치, ASN 등과 같이 알러트와 연관된 하나 이상의 요약 속성(Summary Attribute)을 위협 인텔리전스로 분석할 수 있을 때 Slack의 알러트에 표시됩니다. 인리치먼트 표시되는 위협 인텔 옵션은 Panther 배포에서 어떤

데이터셋이 활성화되어 있는지에 따라 달라집니다.

1. 위협 인텔 사용 방법 위협 인텔 보기(See Threat Intel).

2. Slack 알러트에서

   • 나타나는 프롬프트에서 분석할 값을 선택합니다.

값을 선택하면 해당 값이 자동으로 분석되고 사용 가능한 위협 인텔리전스가 반환됩니다:

Slack 봇 위협 인텔(Threat Intelligence) 지원 데이터셋

• IPInfo

  • 위치

  • Slack 봇 위협 인텔은 다음 데이터셋을 활용하는 것을 지원합니다:

• ASN

양방향 코멘트 동기화

다음 필드를 포함해야 합니다 Slack 앱을 업데이트해야 합니다. 값이 다음으로 설정되어 있습니다 켜기:

• 양방향 코멘트 동기화

• Panther 콘솔의 알러트 활동(Activity) 섹션 내에서 코멘트를 남기면 해당 메시지는 Slack 봇 알러트의 스레드에 동기화됩니다. (선택 사항) 아래의 Slack 봇 알러트의 스레드에서 메시지를 전송하면 해당 메시지는 Panther 콘솔의 알러트

  • 섹션에 코멘트로 동기화됩니다.

    • 등록된 Panther 사용자와 외부 Slack 사용자의 코멘트가 모두 동기화됩니다.

    • 코멘트에는 해당 코멘트를 게시한 Slack 사용자의 이름이 포함됩니다.

  • Panther에 등록되지 않은 Slack 사용자의 코멘트는 시스템 사용자에 귀속되며 원게시자의 이름이 포함됩니다.

  • Slack에서 코멘트를 수정하면 변경 사항이 Panther로 동기화되어 이전 버전을 대체합니다.

  • Slack에서 메시지가 삭제되면 Panther에서는 아무 조치도 취하지 않습니다(코멘트는 그대로 표시됩니다). (선택 사항) 아래의 Slack 봇 스레드에 파일이 공유되면 Panther의

  • 섹션에 코멘트 텍스트와 첨부된 파일에 대한 알림이 표시됩니다.

  • 코드 블록은 일반 텍스트로 변환되는 것을 제외하고 Slack의 메시지 서식은 Panther에 보존됩니다. 사용자 멘션과 채널 링크는 원시 식별자(예:<@U0949SWJQ6B>

)로 Panther에 표시됩니다.

만약 : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요 Panther AI 알러트 트리아지의 Slack 봇 동기화는 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요. 귀하의 Panther 배포에서 가 활성화되어 있으면,

AI 생성 알러트 트리아지

• 요약가 알러트와 연관된 Slack 스레드에 자동으로 답글로 추가될 수 있습니다. 초기 AI 알러트 트리아지(후속 응답은 아님)만이 Slack 봇 스레드로 동기화됩니다.

• 동기화된 AI 트리아지에는 다음 섹션이 포함됩니다:: 알러트에 대한 간결한 개요.

• 핵심 발견(Key Findings): AI가 식별한 주목할 만한 패턴, 동작 또는 이상징후.

• 보안 영향(Security Implications): 잠재적 위험 및 영향에 대한 분석.

• 권장 조치(Recommended Actions): AI의 평가에 기반한 권장 다음 단계 또는 완화책.

Panther 콘솔 링크(Panther Console Link) AI 분류(Triage) 동기화 켜기 : Panther 콘솔에서 전체 AI 트리아지 보고서를 볼 수 있는 직접 링크.

여러 Slack Bot 대상에 알러트 전송하기

이 기능을 활성화하려면 Panther 콘솔의 Slack 봇 알러트 대상 설정 페이지에서

를 전환하세요. 동일한 알러트에 대해 여러 Slack 채널을 Slack 봇 알러트 대상으로 구성한 경우, 한 Slack 봇 알러트에서 상호작용(예: 담당자 지정 또는 부메랑 메시지 전송)을 하면 다른 Slack 봇 알러트도 업데이트됩니다(변경 사항이 Panther 콘솔과 동기화되는 것 외에). 와 예를 들어 알러트 ID 12345가 다음 두 곳에 전송되었다고 가정합니다:#channel-one 동일한 알러트에 대해 여러 Slack 채널을 Slack 봇 알러트 대상으로 구성한 경우, 한 Slack 봇 알러트에서 상호작용(예: 담당자 지정 또는 부메랑 메시지 전송)을 하면 다른 Slack 봇 알러트도 업데이트됩니다(변경 사항이 Panther 콘솔과 동기화되는 것 외에).#channel-two 열림 에서 분류됨. 알러트 ID 12345에서

• 에서 알러트 상태를 동일한 알러트에 대해 여러 Slack 채널을 Slack 봇 알러트 대상으로 구성한 경우, 한 Slack 봇 알러트에서 상호작용(예: 담당자 지정 또는 부메랑 메시지 전송)을 하면 다른 Slack 봇 알러트도 업데이트됩니다(변경 사항이 Panther 콘솔과 동기화되는 것 외에). 와 예를 들어 알러트 ID 12345가 다음 두 곳에 전송되었다고 가정합니다:로 업데이트했습니다. 다음과 같은 결과가 발생합니다: 분류됨두 곳 모두에서

• , 알러트 ID 12345는 상태가로 표시되며 두 알러트의 스레드가 상태 변경을 나타내도록 업데이트됩니다. 분류됨.