Slack에서 알림 관리하기
Slack에서 알림 보기 및 관리하기
개요
을 선택하면 담당자 드롭다운은 사라집니다. 만약 Slack에서 경고를 직접 보고 관리할 수 있도록 해줍니다. 여기에는 Slack 봇 Boomerang을 사용하여 다른 Slack 사용자와 경고에 대해 토론하고, 위협 인텔리전스를 위해 IP 주소를 분석하는 Threat Intel을 사용하는 것이 포함됩니다.
Slack에서 경고 관리
Slack 봇 경고에는 경고 요약, 실행 절차(Runbook) 및 심각도가 포함됩니다. 만약 당신이 Panther AI 경고 분류 동기화를 활성화했다면, 그것에는 AI 경고 분류 요약.
이 포함될 수 있습니다. Slack 봇 경고에는 또한 다음 옵션들이 있습니다:
Panther에서 보기: Panther 콘솔에서 경고로 가는 직접 링크를 엽니다.
담당자 설정: 경고의 담당자를 변경합니다.
상태 업데이트: 경고의 상태를 다음으로 변경합니다
열림,분류됨,해결됨또는무효.경고 세부정보 표시: 경고에 대한 자세한 정보를 조회합니다.
참조 경고 세부정보 표시 자세한 정보는 아래를 참조하세요.
Threat Intel 보기: 경고의 특정 속성에 대한 위협 인텔리전스를 조회합니다.
참조 Slack 봇 위협 인텔리전스 자세한 정보는 아래를 참조하세요.
Boomerang (🪃): 지정된 사람에게 경고에 대한 추가 정보를 요청하도록 유도합니다.
참조 Boomerang 보내기 자세한 정보는 아래를 참조하세요.
담당자를 설정하거나 상태를 업데이트하면 Slack 스레드가 변경을 나타내는 새 응답으로 업데이트됩니다.
Slack 내에서 경고와의 상호작용(상태 업데이트, 담당자 설정, Boomerang 메시지 전송 등)은 Panther 콘솔과 동기화됩니다. 경고를 "해결(Resolved)"로 표시할 때의 해결 코멘트는 경고의 활동 스레드에 Panther 콘솔로 동기화됩니다.
또한 경고 상태, 담당자 및 코멘트에 대한 양방향 동기화를 활성화할 수 있습니다. 이는 경고의 상태나 담당자가 변경되거나 Panther 콘솔(또는 Panther API)에 코멘트가 남겨지면 해당 변경 사항이 관련 Slack 봇 경고에 동기화된다는 것을 의미합니다. 유사하게 Jira와 같은 외부 대상에서 경고 코멘트가 추가되면 양방향 코멘트 동기화가 활성화된 경우 Slack에도 동기화됩니다.
Boomerang(🪃) 보내기
Panther Slack 봇 경고 내에서 Boomerang 기능을 사용하여 다른 Slack 사용자에게 그들의 계정과 관련된 활동에 대한 정당성 등 경고에 대한 정보를 요청할 수 있습니다.
질문과 응답을 포함한 모든 Boomerang 통신은 Slack의 원래 경고 메시지에 대한 스레드와 Panther 콘솔의 활동 경고 세부정보 페이지의 피드
에 기록됩니다.
Slack 봇 Boomerang 사용 방법
Panther Slack 봇 경고 내에서 🪃를 클릭합니다.
Boomerang 모달에서 수신자를 선택하고 메시지를 작성합니다. 일부 경고 유형의 경우.
수신자와 이벤트 세부정보 공유 를 선택하여 경고를 유발한 첫 번째 이벤트의 JSON을 포함할 수 있습니다..
🪃 클릭
경고 세부정보 표시
클릭 경고 세부정보 표시 IPInfo 위치
보강(enrichment) 제공자를 활성화해야 합니다.
Slack 봇 위협 인텔리전스
요약 필드, 이벤트 세부정보 및 첫 번째 이벤트를 포함한 경고에 대한 추가 세부정보를 보려면 Threat Intel 보기 를 사용하세요.
정보가 조회된 후 관련 Slack 스레드는 다음과 같이 업데이트됩니다: 다음 옵션이 다음과 같이 Slack의 경고에 표시됩니다. 이는 경고와 연관된 하나 이상의 요약 속성(Summary Attribute)이 위협 인텔리전스로 분석될 수 있을 때(예: 지리적 위치, ASN 등)
표시될 수 있습니다.
표시되는 위협 인텔리전스 옵션은 귀하의 Panther 배포에서 어떤 Threat Intel 보기.
보강
데이터셋이 활성화되어 있는지에 따라 달라집니다.
Threat Intel 사용 방법
Slack 경고에서
나타나는 프롬프트에서 분석할 값을 선택합니다.
값을 선택하면 해당 값이 자동으로 분석되고 사용 가능한 위협 인텔리전스가 반환됩니다:
Slack 봇 위협 인텔리전스는 다음 데이터셋 사용을 지원합니다:
위치 ASN.
TOR 종료 노드 양방향 코멘트 동기화 가 ON:
양방향 코멘트 동기화는 Panther 버전 1.115부터 공개 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고서나 기능 요청은 Panther 지원 팀과 공유해 주세요.
만약 Panther 버전 1.115 이전에 Slack 봇 대상을 설정했고 양방향 코멘트 동기화를 활성화하려면, 필요한 권한을 포함한 새 매니페스트로 활동 Slack 앱을 업데이트해야 합니다.
언제
양방향 코멘트 동기화
경고의 활동(Activity) 섹션 내에서 코멘트를 남기면 해당 메시지는 Slack 봇 경고의 스레드로 동기화됩니다.
Slack 봇 경고의 스레드에 메시지를 보내면 그 메시지는 Panther 콘솔의 경고
섹션에 코멘트로 동기화됩니다.
등록된 Panther 사용자와 외부 Slack 사용자 모두의 코멘트가 동기화됩니다. 활동 코멘트에는 게시한 Slack 사용자의 이름이 포함됩니다.
Panther에 등록되지 않은 Slack 사용자의 코멘트는 시스템 사용자에게 귀속되며 원 게시자의 이름이 포함됩니다.
Slack에서 코멘트가 편집되면 변경 사항이 Panther로 동기화되어 이전 버전을 대체합니다.
Slack에서 메시지가 삭제되면 Panther에서는 아무 조치도 취하지 않습니다(코멘트는 그대로 표시됩니다).Slack 봇 스레드에서 파일이 공유되면 Panther
섹션은 코멘트 텍스트와 첨부된 파일에 대한 알림을 표시합니다.
다중 시리즈: 각기 다른 색의 여러 선으로 표현되는 Panther AI 사용자 언급과 채널 링크는 Panther에 원시 식별자(예: <@U0949SWJQ6B> )로 표시됩니다.
AI 경고 분류 동기화(베타)
Panther 콘솔의 왼쪽 탐색 바에서Panther AI 경고 분류의 Slack 봇 동기화는 Panther 버전 1.114부터 공개 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고서나 기능 요청은 Panther 지원 팀과 공유해 주세요.
귀하의 Panther 배포에서가 활성화되어 있으면,
AI 생성 경고 분류가 자동으로 경고와 연결된 Slack 스레드 내의 응답으로 추가될 수 있습니다. 후속 응답이 아닌 초기 AI 경고 분류만 Slack 봇 스레드로 동기화됩니다.
동기화된 AI 분류에는 다음 섹션이 포함됩니다:: 경고에 대한 간결한 개요.
주요 발견사항: AI가 식별한 주목할 만한 패턴, 행동 또는 이상 징후.
보안적 함의 : 잠재적 위험 및 영향에 대한 분석. ON 권장 조치
: AI 평가를 기반으로 한 다음 단계 또는 완화 권장 사항.
Panther 콘솔 링크
: Panther 콘솔에서 전체 AI 분류 보고서를 볼 수 있는 직접 링크. 이 기능을 활성화하려면 Panther 콘솔의 Slack 봇 경고 대상 구성 페이지에서 및 AI 분류 동기화를 토글하세요. 이 기능을 활성화하려면 Panther 콘솔의 Slack 봇 경고 대상 구성 페이지에서경고를 여러 Slack 봇 대상으로 전송하기 열림 를 분류됨동일한 경고에 대해 여러 Slack 채널을 Slack 봇 경고 대상으로 구성한 경우, 하나의 Slack 봇 경고와 상호작용(예: 담당자 설정 또는 Boomerang 메시지 전송)을 하면 다른 Slack 봇 경고도 업데이트됩니다(해당 변경 사항이 Panther 콘솔로 동기화되는 것 외에).
예를 들어 경고 ID 12345가 다음 두 곳에 전송되었다고 가정합니다:
이 기능을 활성화하려면 Panther 콘솔의 Slack 봇 경고 대상 구성 페이지에서및AI 분류 동기화#channel-one분류됨#channel-two. 경고 ID 12345에서 당신이 상태를 다음에서 다음으로 업데이트하면, 다음과 같은 작업이 발생합니다: 위 두 채널 모두에서 경고 ID 12345는 상태가 다음과 같이 표시되며, 두 경고의 스레드가 상태 변경을 나타내도록 업데이트됩니다. Panther 콘솔에서는 경고 ID 12345의 상태가
분류됨.
Last updated
Was this helpful?