Orca Security 로그

개요

Panther는 수집합니다 Orca Security 알러트를 Panther HTTP URL로 이벤트를 게시하도록 웹후크를 구성하여 전송합니다.

Orca Security 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Orca Security 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. “Orca Security”를 검색한 다음 해당 타일을 클릭하세요.

4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

   
5. 다음을 따르세요 Panther의 HTTP 소스 구성에 대한 지침5단계부터 시작하여.

   • 의 경우 인증 방법 , 당신은 를 사용해야 합니다 Bearer 인증 . 이것은 Orca Security가 지원하는 유일한 인증 방법입니다.

   • 이 소스로 전송된 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.

   • HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.

HTTP 소스를 생성한 후 Panther 콘솔은 HTTP 소스 URL을 표시합니다. 다음 단계에서 필요하니 이 값을 안전한 위치에 보관하세요.

2단계: Orca Security에서 새 Panther 통합 생성

1. Orca Security 콘솔에서 다음으로 이동하세요 설정 > 통합.

2. 오른쪽 상단의 검색창에서 "Panther"를 검색한 다음, Panther 타일에서 구성.

   
3. 페이지에서 Panther 팝업 모달에서 클릭하세요 Python 함수를 입력한 다음.

   
4. 에서 Panther 통합에서 양식 필드를 작성하세요:

   • 템플릿 이름: 설명적인 이름을 입력하세요. 예: Panther SIEM 통합.

   • 트리거 URL: Panther에서 생성한 HTTP URL을 입력하세요 1단계.

   • API 키: "Bearer" 다음에 공백을 넣고 Panther에서 생성하거나 입력한 Bearer 토큰을 입력하세요 1단계완전한 값은 다음과 같이 보여야 합니다: Bearer SomeTokenHere.

   • Panther AI에게 디택션 조정을 요청하면 일반적으로 귀하의 Panther 템플릿 , 항목을 사용자화하세요 본문 와 커스텀 헤더 Orca의 필드를 끌어다 놓아 내용을 구성하세요 Orca 선택적 필드 섹션의 명령을 실행하세요.

   
5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

6. 오른쪽 상단에서 클릭하세요 템플릿 생성.

3단계: Orca Security에서 알러트 전달 자동화

1. Orca 콘솔의 왼쪽 네비게이션 바에서 선택하세요 자동화.

2. 다음에서(From the) Orca 권장 템플릿 섹션에서 통합을 통해 알러트 전달.

3. 페이지에서 쿼리 생성 페이지에서 기본값을 업데이트하세요 쿼리 원하는 대로 값.

   • 이 쿼리는 Panther로 전달될 알러트를 결정합니다. 와일드카드(*), 더 구체적인 값 사용, 조건 추가/삭제가 가능합니다.

1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

2. 페이지에서 자동화 세부사항 페이지에서 원하는 자동화 이름.

1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.

2. 페이지에서 결과 정의 페이지에서, 아래 SIEM/SOAR:

   1. 선택하세요 Panther.

   2. 일반 구성 Panther 트리거 선택 드롭다운 필드에서 2단계에서 생성한 Panther 통합을 선택하세요.

1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Python 함수를 입력한 다음.

Panther 관리 디텍션

참조 Panther 관리 에서 Orca Security 룰 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

Orca.AlertEvent

Orca.Alert (레거시)