Orca Security 로그

개요

Panther는 수집합니다 Orca Security Orca Security 경보를 Panther HTTP URL로 이벤트를 게시하도록 웹후크를 구성하여 수집합니다.

Orca Security 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Orca Security 소스 생성

1. Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스.

2. 를 클릭하세요 새로 만들기(Create New).

3. “Orca Security”를 검색한 다음 해당 타일을 클릭합니다.

4. 슬라이드아웃 패널에서 클릭합니다 설정 시작.

   
5. 다음 지침을 따르세요 HTTP 소스 구성에 대한 Panther의 지침따르되 5단계부터 시작하세요.

   • 에 대한 인증 방법, 다음을 사용해야 합니다 Bearer 인증. 이것이 Orca Security가 지원하는 유일한 인증 방법입니다.

   • 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 모든 HTTP 소스에 대한 페이로드 요구사항.

   • HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마십시오.

HTTP 소스를 생성한 후 Panther 콘솔이 HTTP 소스 URL을 표시합니다. 다음 단계에서 필요하므로 이 값을 안전한 장소에 저장하세요.

2단계: Orca Security에서 새 Panther 통합 생성

1. Orca Security 콘솔에서 다음으로 이동합니다 설정 > 통합(Integrations).

2. 오른쪽 상단의 검색창에 "Panther"를 검색한 다음, Panther 타일에서 구성.

   
3. 에 있는 Panther 팝업 모달에서 클릭합니다 생성.

   
4. 다음에 따라 Panther 통합, 양식 필드를 작성합니다:

   • 템플릿 이름: 설명이 포함된 이름을 입력하세요(예:) Panther SIEM 통합.

   • 트리거 URL: Panther에서 생성한 HTTP URL을 입력하세요 1단계.

   • API 키: "Bearer" 다음에 공백을 넣고 Panther에서 생성하거나 입력한 Bearer 토큰을 입력하세요 1단계. 전체 값은 다음과 같이 보여야 합니다: Bearer SomeTokenHere.

   • 를 클릭하세요. 귀하의 Panther 템플릿, 다음을 사용자화하세요 본문 및 사용자 지정 헤더 Orca의 필드를 끌어다 놓아 내용을 구성합니다 Orca 선택적 필드 섹션을 참조하세요.

   
5. 를 클릭하세요 다음.

6. 오른쪽 상단에서 클릭합니다 템플릿 생성.

3단계: Orca Security에서 경보 전달 자동화

1. Orca 콘솔의 왼쪽 네비게이션 바에서 선택합니다 자동화.

2. 에서 Orca 권장 템플릿 섹션에서 선택하세요 통합을 통해 경보 전달.

3. 에 있는 쿼리 생성 페이지에서 기본값을 업데이트하세요 쿼리 원하는 값으로.

   • 이 쿼리는 Panther로 전달될 경보를 결정합니다. 별표(*)를 입력하거나 더 구체적인 값을 사용하거나 조건을 추가/제거할 수 있습니다.

1. 를 클릭하세요 다음.

2. 에 있는 자동화 세부정보 페이지에서, 자동화 이름.

1. 를 클릭하세요 다음.

2. 에 있는 결과 정의 페이지에서, 아래의 SIEM/SOAR:

   1. 다음 선택: Panther.

   2. 에서 Panther 트리거 선택 드롭다운 필드에서 2단계에서 생성한 Panther 통합을 선택하세요.

1. 를 클릭하세요 생성.

Panther 관리형 탐지

참조 Panther 관리형 Orca Security 규칙에 대한 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

Orca.AlertEvent

Orca.Alert (레거시)