Rapid7 대상

개요

대상은 룰, 정책, 시스템 상태 알림 및 룰 오류로부터 알러트를 수신하는 통합입니다. Panther는 다음 내에서 워크플로를 구성하는 것을 지원합니다 Rapid7의 InsightConnect 제품을 Panther 내의 알러트에 의해 트리거되는 대상으로 설정할 수 있습니다.

Panther에서 Rapid7 InsightConnect 대상을 설정하는 방법

1단계: InsightConnect에서 워크플로 구성하기

이 단계에서는 Panther 알러트를 수신하여 트리거되는 간단한 워크플로를 생성합니다. 일반적으로 워크플로에 단계를 추가하여 필요한 작업(예: InsightIDR에 위협 생성 또는 다른 워크플로 실행)을 수행하도록 확장할 것입니다.

1. Rapid7 InsightConnect에 로그인합니다.

2. 샘플 로그 워크플로우(Workflows).

3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 워크플로 추가.

4. 다운로드 Panther 샘플 알러트 대상 워크플로 파일 찾음 이 단계의 끝에서.

   • 이 파일에는 Panther가 워크플로를 트리거하기 시작하는 객체 스키마가 포함되어 있으며, 워크플로를 부트스트랩하는 가장 간단한 방법입니다.

5. 일반 구성 워크플로 추가 모달에서 클릭하세요 파일에서 가져오기, 그런 다음 Panther 샘플 알러트 대상 워크플로 다운로드한 파일을 선택합니다.

6. 워크플로가 채워지면, 클릭합니다 빌더에서 편집.

7. 오른쪽 상단에서 편집을 클릭.

8. 을 클릭하세요 Panther 알러트 트리거(워크플로의 첫 번째 노드).

9. 일반 구성 세부정보 구성 양식에서, 다음을 확인하세요 API 키 인증 필요 체크박스. Panther는 인증되지 않은 워크플로 실행을 지원하지 않습니다.

10. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 단계 저장.

11. 일반 구성 사용 방법 창 오른쪽의 섹션에서, 다음을 복사합니다 API 트리거 URL 그리고 안전한 위치에 보관하세요. 이 값을 나중 단계에서 Panther에 입력할 것입니다.

12. 위협 생성이나 다른 워크플로 트리거와 같이 워크플로에 원하는 다른 수정 사항을 적용하세요.

13. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 변경사항 게시.

14. 워크플로의 토글을 클릭하여 활성화하세요.

Panther 샘플 워크플로 파일

아래는 Rapid7에서 내보낸 아이콘 파일로, 간단한 Panther 워크플로가 포함되어 있습니다:

2단계: Rapid7 API 키 생성

다음 단계에서 Panther에 Rapid7 API 키를 제공해야 합니다.

1. Rapid7 콘솔에서, 이동하세요 Insight 제어판.

2. 네비게이션 바에서, 다음 아래 API 키 관리, 다음 중 하나를 선택하세요 조직 키 이전에 생성한 Snowflake 사용자 이름, 예를 들면 사용자 키.

   • 이 용도로는 권한 범위가 좁은 사용자 키를 생성하는 것이 권장되지만, 워크플로를 실행할 권한이 있는 모든 키를 사용할 수 있습니다.

   • Rapid7 API 키에 대해 자세히 알아보기: 플랫폼 API 키 관리 문서.

3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새 <사용자 또는 조직> 키 생성. 에 있는 지침을 따르세요 Rapid7의 플랫폼 API 키 관리 문서 키 생성을 완료하려면

   • 생성된 키를 복사하여 안전한 장소에 보관하세요. 다음 단계에서 필요합니다.

3단계: Panther에서 Rapid7 알러트 대상을 구성하기

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 알러트 대상.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. +첫 번째 대상 추가.

   • 이미 대상(Destinations)을 생성한 경우, 새로 만들기 페이지 오른쪽 상단에서 새 대상을 추가하려면 클릭하세요.

3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Rapid7.

4. 대상을 구성하려면 양식을 작성하세요:

   • 표시 이름: 설명적인 이름을 입력하세요.

   • 워크플로 URL: 이 문서의 이전 섹션에서 구성한 워크플로의 트리거 URL을 입력하세요.

   • API 키: 이 문서의 이전 섹션에서 생성한 API 키를 입력하세요.

   • 심각도: 이 대상으로 전송할 알러트의 심각도 수준을 선택하세요.

   • 알러트 유형: 이 대상으로 전송할 알러트 유형을 선택하세요.

   • 로그 유형: 기본적으로 모든 로그 유형으로부터의 알러트를 전송합니다. 특정 로그 유형에서만 알러트를 전송하려면 여기서 로그 유형을 지정하세요.

   • 수동 발송 허용: 이 토글을 ON으로 설정하면 이 대상에 대해 알러트를 수동으로 전송 할 수 있습니다.

5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 대상 추가(Add Destination).

6. 마지막 페이지에서 선택적으로 클릭하세요 테스트 알러트 전송(Send Test Alert) 통합을 테스트하려면.

   • 시작된 워크플로는 InsightConnect의 작업 섹션의 명령을 실행하세요.

7. 작업이 완료되면 클릭하세요 설정 완료.

대상(Destinations)에 대한 추가 정보

알러트 라우팅 순서, 대상 수정 또는 삭제, 워크플로 자동화에 대한 자세한 내용은 Panther 문서를 참조하세요: 대상(Destinations).