알러트 대상

개요

대상은 룰 및 정책으로부터 알러트를 받는 통합입니다.

기본적으로 알러트는 심각도에 따라 라우팅되며 동시에 여러 대상에 전송될 수 있습니다. 예를 들어 단일 알러트가 Jira 티켓을 생성하고, PagerDuty 인시던트를 생성하며, Amazon Simple Notification Service(SNS)를 통해 이메일을 전송합니다.

감지기의 Python 함수나 메타데이터에서 대상(destination)을 설정하여 룰별 또는 정책별로 대상을 재정의할 수 있습니다. 라우팅이 어떻게 결정되는지에 대한 자세한 설명은 알러트 라우팅 시나리오 아래를 참고하세요.

알러트에서 해당 알러트를 수동으로 특정 대상으로 라우팅할 수 있습니다. 수동으로 알러트를 라우팅하려는 각 대상에는 수동 알러트 라우팅이 활성화되어 있어야 합니다. 자세한 내용은 수동 전송 시나리오를 참조하세요.

대상 구성 방법

아래 페이지를 따라 특정 알러트 대상을 설정하는 방법을 알아보세요.

지원되는 대상

Panther는 다음 대상에 대한 통합을 지원합니다:

• Amazon SNS

• Amazon SQS

• Asana

• Blink Ops

• Discord

• Expel

• GitHub

• Google Pub/Sub

• Incident.io

• Jira Cloud

• Jira Data Center

• Microsoft Teams

• Mindflow

• OpsGenie

• PagerDuty

• Rapid7

• ServiceNow(맞춤형 Webhook을 통해)

• Slack(Webhook)

• Slack Bot

• Splunk

• Tines

• Torq

기본적으로 지원되지 않는 대상 설정

Panther에서 기본적으로 지원하지 않는 대상으로 알러트를 수신하려면 Custom Webhook 또는 API 워크플로를 사용하는 것을 고려하세요.

Panther의 Custom Webhook

Panther의 Custom Webhook 대상을 사용하여 Tines, TheHive 또는 SOCless와 같은 타사(API 제공)를 연결할 수 있습니다.

Panther API

도달하려는 대상에 공개 API가 없는 경우(예: 내부 애플리케이션) 예약에 따라 Panther API 에서 알러트를 폴링하여 알러트를 수신할 수 있습니다. 알러트를 보고 조작하기 위한 사용 가능한 API 작업은 Alerts (REST) 및 Alerts & Errors (GraphQL)에서 확인하세요.

그러나 이 방법은 알러트를 Panther에서 n 분 또는 시간 단위로 가져오기 때문에, Custom Webhook 및 지원되는 통합과 같이 알러트가 생성되는 즉시 대상으로 전송되는 방식이 아니라 지연이 발생할 수 있습니다.

대상 수정 또는 삭제

1. Panther 콘솔에 로그인하세요.

2. 왼쪽 사이드바 메뉴에서 구성 > 알러트 대상.

3. 대상의 오른쪽에 있는 줄임표(… ) 아이콘을 클릭하세요.

   • 표시되는 드롭다운 메뉴에서 삭제 를 클릭하여 대상을 삭제하세요.

   • 를 클릭하세요 편집 을 클릭하여 표시 이름, 심각도 수준 및 기타 구성을 수정하세요.

   

알러트 라우팅 시나리오

알러트가 라우팅되는 대상은 감지기에 설정된 대상 구성(있는 경우) 또는 대상 자체의 구성에 따라 달라집니다.

라우팅 시나리오는 아래에 우선 순위가 높은 것부터 낮은 것 순서대로 설명되어 있습니다. 한 시나리오가 충족되면 알러트 라우팅은 중지됩니다(즉, 이후 시나리오는 호출되지 않습니다).

시나리오 1: 감지기에서 동적으로 정의된 대상

Python 감지기는 destinations() 함수 를 정의하여 어떤 대상이 알러트를 받아야 하는지를 결정할 수 있습니다. 이 방식으로 정의된 대상은 다른 모든 구성보다 우선합니다.

감지기의 Python 본문에 destinations() 함수가 정의되어 있지 않거나, 함수가 정의되어 있지만 destinations() None 을 반환하는 경우, Panther는아래의 시나리오 2 로 넘어가 대상(들을) 찾습니다.함수에서 반환된 목록이 비어 있으면 (

) 알러트는 어떤 대상으로도 라우팅되지 않습니다. destinations() 시나리오 2: 감지기에서 정적으로 정의된 대상[]시나리오 1이 충족되지 않는 경우 Panther는 이 시나리오로 넘어갑니다.

정적 대상 재정의는 감지기의 YAML 파일 내에서 또는 콘솔에서 정의할 수 있습니다:

CLI 워크플로에서는 감지기의 YAML 파일에서 필드를 설정하여 대상을 정적으로 정의할 수 있습니다. 에 대해 더 알아보려면

규칙 명세 참조에서

• Python 감지기에 대한 항목은 여기 OutputIds 에서, 그리고

  • YAML 감지기에 대한 항목은 여기 OutputIds 에서 확인하세요. 콘솔에서는 대상이 감지기의룰 설정 내에서.

• 대상 재정의 를 사용하여 정의됩니다."재정의(Overrides)"는 이 방법으로 정의된 대상이 아래의 시나리오 3 에서, 그리고

보다 우선한다는 의미입니다. 시나리오 3: 대상 구성감지기에 대상이 정의되어 있지 않은 경우(

시나리오 1

및 시나리오 2 에서 설명된 바와 같이), 대상 자체의 구성이 호출됩니다. 특정 대상으로 알러트가 라우팅되려면 다음 조건들이 충족되어야 합니다: 2대상에 구성된

• 심각도 수준 에는 알러트의 심각도 수준이 포함되어야 합니다. 알러트의 심각도는 감지기의

  • Severity 키 내에 정적으로 정의되어 있거나, 감지기의 severity() (Python 감지기의 경우) 또는 함수 DynamicSeverities 값( YAML 감지기의 경우)으로 동적으로 정의될 수 있습니다. 대상에 구성된

• 심각도 수준 알러트 유형 에는 알러트의 유형이 포함되어야 합니다.

• 대상이 특정 로그 유형에서만 알러트를 수락하도록 구성된 경우, 그 목록에는 알러트와 연관된 로그 유형이 포함되어야 합니다.

시나리오 4: 수동 알러트 전송

수동으로 알러트를 대상에 전송해야 하는 여러 이유가 있을 수 있습니다. 때로는 의도한 모든 대상으로 자동으로 전달되지 않은 알러트를 받게 될 수 있습니다. 이는 잘못된 구성, 일회성 특수 사례이거나 대상을 테스트하려는 경우일 수 있습니다.

알러트를 수동으로 대상에 전송하도록 허용하려면:

1. 로 이동하세요 구성 > 알러트 대상.

2. 수동 전송을 활성화하려는 대상을 클릭하세요.

3. 다음을 활성화하세요: 수동 전송 허용 토글(스위치).

1. 팝업에서 활성화.

1. 를 클릭하세요 하단에서.

대상 업데이트 를 클릭하세요. 이제 이 대상으로 알러트를 수동으로 전송할 수 있습니다. Dispatch Alert 사용 방법에 대한 정보는

수동 전송 알러트

를 참조하세요.

대상 예시

• 다음 예시는 사용자가 Okta에 여러 번 로그인 실패를 시도하여 잠긴 경우 사용자를 기반으로 알러트를 대상에 수신하는 방법을 설명합니다.

  • 다음과 같이 구성했습니다:대상:

  • 규칙 매치에 대해 알러트를 받도록 구성된 Slack Custom WebhookTines(으로 설정됨

• )은 규칙 매치에 대해 알러트를 받도록 구성되어 있습니다.

  • 로그 소스: 귀하의 Panther 인스턴스는 Okta

• 로그를 수집하고 있습니다.

  • 감지기:

  • 심각도 수준 "id": deep_get(event, "actor", "id") alert_context()

에는 사용자 이름과 사용자의 Okta ID 값이 포함되어 있습니다.

1. 이벤트 발생

사용자 중 한 명이 Okta에 여러 번 로그인 시도를 실패합니다. 결국 해당 계정이 잠깁니다.

2. Panther가 로그를 수집하고 구성한 룰과 일치하는 이벤트를 감지합니다

Okta 감사 로그가 Panther 인스턴스로 스트리밍되는 동안 “Okta User Locked Out” 룰이 사용자가 잠긴 것을 감지합니다.

3. 룰 매치가 알러트를 트리거합니다

감지된 룰 매치는 Slack 대상과 Tines 대상으로 알러트를 트리거합니다.

이벤트가 발생한 지 몇 분 내에 알러트가 대상으로 구성한 Slack 채널에 나타납니다: Custom Webhook 알러트는 또한 당신이 대상으로 구성한 "id": deep_get(event, "actor", "id") 를 통해 Tines로 전송됩니다. Tines는

함수에서 값을 수신하며, 자동으로 사용자의 Okta 계정을 잠금 해제한 다음 Slack에 확인 메시지를 보내도록 설정되어 있습니다.

대상 스키마

워크플로 자동화

알러트 페이로드는 일반적으로 다음 형식을 따릅니다. 맞춤형 웹훅, SNS, SQS 또는 기타 워크플로 자동화 중심 대상의 경우 이는 알러트를 처리하는 방법을 정의하는 데 중요합니다.

심각도 수준 AWSDateTime 스칼라 타입은 유효한 확장 ISO 8601 DateTime 문자열을 나타냅니다. 다음 형식의 datetime 문자열을 허용합니다 YYYY-MM-DDThh:mm:ss.sssZ. 초 필드 다음의 필드는 나노초 필드입니다. 1자리에서 9자리 사이의 숫자를 허용할 수 있습니다. 초와 나노초 필드는 선택 사항입니다. 이 스칼라에는 시간대 오프셋이 필수입니다. 시간대 오프셋은 Z (UTC 시간대를 나타냄) 이거나 다음 형식이어야 합니다 ±hh:mm:ss. 시간대 오프셋의 초 필드는 ISO 8601 표준의 일부가 아님에도 불구하고 유효한 것으로 간주됩니다.

예시 JSON 페이로드:

알러트 전송 대상 문제 해결

Panther 지식 베이스를 방문하여 알러트 전송 대상에 관한 문서를 확인하세요 자주 묻는 질문에 대한 답변과 일반적인 오류 및 문제 해결에 도움이 되는 자료입니다.