search
Knowledge BaseRelease NotesRequest Demo

Slack 로그

Panther는 Slack에서 로그를 직접 가져오는 것을 지원합니다

hashtag
개요

Panther는 다음의 Slack 로그를 가져올 수 있습니다:

circle-info

접속 및 통합 로그는 Panther에서 동일한 Slack 로그 소스를 통해 수집할 수 있지만, 감사 로그는 별도의 Slack 로그 소스를 통해 수집해야 합니다. 그러나 모든 세 가지 유형의 로그를 모두 수집해야 할 가능성은 낮습니다, 감사 로그arrow-up-right 는 접속 및 통합 로그로 표현된 모든 작업을 포함할 가능성이 높습니다.

Panther는 1분마다 API를 쿼리합니다. Panther가 Slack API에 액세스하려면 Panther에서 새 Slack 소스를 생성하고 Slack 앱을 생성한 후 앱 자격증명을 Panther에 제공해야 합니다.

hashtag
비디오 안내

Slack 로그를 Panther에 온보딩하는 방법을 보여주는 안내 동영상

hashtag
Slack 로그를 Panther에 온보딩하는 방법

hashtag
Panther에서 새 Slack 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. "Slack"을 검색한 다음 해당 타일을 클릭하세요.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

  5. 페이지에서 구성 화면에서 다음 필드에 대한 값을 입력하세요:

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

  7. 페이지에서 자격증명 설정 페이지, 복사 리디렉트 URL을 복사하여 안전한 곳에 저장하세요. 다음 단계에서 필요합니다.

  8. 다음 단계를 진행하는 동안 이 브라우저 창을 열어 두세요.

hashtag
새 Slack 앱 생성

Slack에서 로그를 가져올 권한이 있는 Slack 앱을 생성하세요. 보안성과 가용성을 위해, 우리는 새로운 Panther 전용으로만 사용될 Slack 앱을 만드는 것을 권장합니다.

앱을 다음 용도로 생성할 수 있습니다:

hashtag
감사 로그를 가져오기 위한 Slack 앱 생성 방법

아래 지침을 따라 감사 로그를 Panther 계정으로 가져오는 Slack 앱을 생성하세요. 감사 로그 API는 Slack Enterprise+ 플랜 보유 고객에게만 제공됩니다.

접속 또는 통합 로그를 가져오려면 다음 섹션을 참조하세요: 접속 또는 통합 로그를 가져오기 위한 Slack 앱 생성 방법.

  1. 모니터링하려는 Enterprise에 속한 Slack 작업공간에 로그인하세요.arrow-up-right 모니터링하려는 Enterprise에 속한 작업공간입니다.

    • 다음으로 로그인해야 합니다: 소유자 조직의

  2. Enterprise의 모든 작업공간을 표시하는 화면에서 모니터링하려는 작업공간에서 Slack에서 실행 를 클릭하세요.

  3. 로 이동합니다 Slack 앱arrow-up-right 를 클릭하고 새 앱 생성을 클릭한 다음 처음부터. In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).

    • 다음 항목을 입력하세요 앱 이름 예: Panther 모니터링.

    • 이전에 로그인한 작업공간을 선택하세요.

    "Slack 앱 생성" 양식에는 앱 이름 필드가 있으며 그 안에 "Panther monitoring"이 적혀 있습니다. "개발용 Slack 작업공간"이라는 드롭다운 메뉴가 있습니다. 페이지 하단에 회색 "앱 생성" 버튼이 있습니다.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 앱 생성.

    • 앱은 선택한 작업공간에 생성되며 나중에 전체 Enterprise 조직을 모니터링할 수 있습니다.

  5. 왼쪽 사이드바 메뉴에서 OAuth 및 권한.

  6. 을 클릭하세요. 아래로 스크롤하여 섹션의 명령을 실행하세요.

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 리디렉트 URL 을 추가하고 리디렉트 URL 을 이전 섹션의 Panther 콘솔에서 복사한 값을 입력하세요. In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.

  8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. URL 저장.

  9. 을 클릭하세요. 사용자 토큰 범위 섹션. 다음을 추가하세요, auditlogs:read 범위. In the Slack admin console, there is a header called "User Token Scopes." In the image, there is a red circle around a field labeled "Add permission by Scope or API Method...". The option "auditlogsread" is selected.

  10. 왼쪽 사이드바에서 설정 > 배포 관리

  11. 로 이동하세요."앱을 다른 작업공간과 공유"라는 섹션 아래에서, 다음 옵션을 활성화하세요:앱을 다른 작업공간과 공유

    • 기능 및 기능 활성화

    • OAuth 리디렉트 URL 추가

    • 하드 코딩된 정보 제거

    • 기능에 HTTPS 사용

  12. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 공개 배포 활성화.

    • 참고: 이 설정은 Slack 앱을 다른 조직에서 접근 가능하게 만들지 않습니다. Slack은 감사 로그arrow-up-right. In the Slack admin portal, there is a section labeled "Share your App with Other Workspaces." It displays a list of steps, which all have green checkmarks next to them. At the bottom, there is a green button labeled "Activate Public Distribution."

  13. 왼쪽 사이드바에서 설정 > 기본 정보.

  14. 일반 구성 앱 자격증명 섹션에서, 클라이언트 ID클라이언트 시크릿.

  15. 을 복사하세요. 이 프로세스를 완료하려면arrow-up-right Panther에서 Slack 온보딩 마무리

In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.

hashtag
의 단계를 따르세요.

접속 또는 통합 로그를 가져오기 위한 Slack 앱 생성 방법

접속 로그와 통합 로그 API는 모든 유료 Slack 플랜에서 사용할 수 있습니다. 감사 로그를 가져오기 위한 Slack 앱 생성 방법.

  1. 모니터링하려는 Enterprise에 속한 Slack 작업공간에 로그인하세요.arrow-up-right 감사 로그를 가져오려면 이전 섹션을 참조하세요:

    • 다음으로 로그인해야 합니다: 소유자 조직의

  2. 모니터링하려는 작업공간. Slack에서 실행 를 클릭하세요.

  3. 로 이동합니다 Slack 앱arrow-up-right 를 클릭하고 새 앱 생성을 클릭한 다음 처음부터. In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).

    • 다음 항목을 입력하세요 앱 이름 예: Panther 모니터링.

    • 이전에 로그인한 작업공간을 선택하세요.

    "Slack 앱 생성" 양식에는 앱 이름 필드가 있으며 그 안에 "Panther monitoring"이 적혀 있습니다. "개발용 Slack 작업공간"이라는 드롭다운 메뉴가 있습니다. 페이지 하단에 회색 "앱 생성" 버튼이 있습니다.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 앱 생성.

    • 선택한 작업공간에 앱이 생성됩니다.

  5. 왼쪽 사이드바 메뉴에서 OAuth 및 권한.

  6. 을 클릭하세요. 아래로 스크롤하여 섹션의 명령을 실행하세요.

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 리디렉트 URL 을 추가하고 리디렉트 URL 을 이전 섹션의 Panther 콘솔에서 복사한 값을 입력하세요. In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.

  8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. URL 저장.

  9. 아래로 스크롤하여 범위 > 사용자 토큰 범위섹션을 찾으세요. 다음을 추가하세요, admin 범위, Slack API 문서의 지침에 따라 Accessarrow-up-rightIntegrationarrow-up-right 로그.

  10. 왼쪽 사이드바에서 설정 > 기본 정보.

  11. 일반 구성 앱 자격증명 섹션에서, 클라이언트 ID클라이언트 시크릿. In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.

  12. 을 복사하세요. 이 프로세스를 완료하려면arrow-up-right Panther에서 Slack 온보딩 마무리

hashtag
Panther에서 Slack 온보딩 마무리

  1. Panther 콘솔로 돌아가세요.

  2. "자격증명 설정" 페이지에서 Slack의 클라이언트 ID를 클라이언트 ID 필드에 붙여넣고 Slack의 클라이언트 시크릿을 클라이언트 시크릿 필드에 붙여넣으세요.

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 소스 저장.

  5. 페이지에서 설정 확인 화면에서 액세스 허용.

    • 을 클릭하세요.

    • 앱 설치를 위한 Slack 페이지로 리디렉션됩니다. 감사 로그의 경우, 반드시 앱을Enterprise 조직 에 설치하세요,

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 특정 작업공간에

  7. 설치하지 마세요! 설정. 성공 화면으로 이동합니다:

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

    • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
circle-exclamation

참고: 허용.

  • Panther 콘솔에서

  • 을 클릭하세요.

hashtag
다음의 경우 통합에 제한이 발생할 수 있습니다:

Panther의 내장된 앱을 조직에 설치한 사용자의 계정이 비활성화된 경우arrow-up-right.

hashtag
지원되는 로그 유형

hashtag
Slack.AccessLogs

앱이 삭제되었거나 액세스 토큰이 취소되었거나 앱 자격증명이 교체된 경우 참고: Panther 제작 디텍션 GitHub의 panther-analysis에 있는 Slack용 룰, Slack 작업공간 사용자의 접속 로그. Slack의 속도 제한으로 인해 Panther는 사용자 또는 접속 위치 또는 접속 기기가 새로워진 이벤트만 가져옵니다. Panther는 이벤트의

참고: date_lastarrow-up-right

hashtag
Slack.AuditLogs

설명: 브라우저 또는 클라이언트 애플리케이션에서 보고된 사용자 에이전트 문자열.

참고: 설명: IP 주소를 소유한 인터넷 서비스 제공업체에 대한 추정치.arrow-up-right

hashtag
Slack.IntegrationLogs

설명: 위치 도메인

참고: 설명: 위치 이름arrow-up-right

이전SentinelOne 로그다음Snowflake 감사 로그

마지막 업데이트

도움이 되었나요?