search
Knowledge BaseRelease NotesRequest Demo

Slack 로그

Panther는 Slack에서 로그를 직접 가져오는 것을 지원합니다

hashtag
개요

Panther는 다음 Slack 로그를 가져올 수 있습니다:

circle-info

접근 및 통합 로그는 Panther에서 동일한 Slack 로그 소스를 통해 수집할 수 있는 반면, 감사 로그는 별도의 Slack 로그 소스를 통해 수집되어야 합니다. 그러나 모든 세 가지 유형의 로그를 모두 수집해야 하는 경우는 드뭅니다, 왜냐하면 감사 로그arrow-up-right 에는 접근 및 통합 로그에 나타난 모든 작업이 포함되어 있을 가능성이 높기 때문입니다.

Panther는 API를 매 1분마다 쿼리합니다. Panther가 Slack API에 접근하려면 Panther에서 새 Slack 소스를 생성하고, Slack 앱을 생성한 다음 앱 자격 증명을 Panther에 제공해야 합니다.

hashtag
비디오 안내

Slack 로그를 Panther에 온보딩하는 방법을 보여주는 안내 영상

hashtag
Slack 로그를 Panther에 온보딩하는 방법

hashtag
Panther에서 새 Slack 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 클릭 새로 만들기.

  3. "Slack"을 검색한 다음 해당 타일을 클릭합니다.

  4. 슬라이드 아웃 패널에서, 클릭하세요 설정 시작.

  5. 페이지에서 구성 화면에서 다음 필드에 대한 값을 입력합니다:

  6. 클릭 설정.

  7. 페이지에서 자격 증명 설정 페이지, 복사 리디렉트 URL을 복사하여 안전한 곳에 저장하세요. 다음 단계에서 필요합니다.

  8. 다음 단계를 진행하는 동안 이 브라우저 창을 열어 두세요.

hashtag
새 Slack 앱 생성

Slack에서 로그를 가져올 수 있는 권한을 가진 Slack 앱을 생성하세요. 보안 및 가용성 상의 이유로, 우리는 새로운 Panther와만 함께 사용할 Slack 앱을 생성할 것을 권장합니다.

다음 용도로 앱을 생성할 수 있습니다:

hashtag
감사 로그를 가져오기 위한 Slack 앱 생성 방법

아래 지침을 따라 감사 로그를 Panther 계정으로 가져오는 Slack 앱을 생성하세요. 감사 로그 API는 Slack Enterprise+ 플랜 만 해당 고객에게 제공됩니다.

접근 또는 통합 로그를 가져오려면, 다음 섹션을 참조하세요: 접근 또는 통합 로그를 가져오기 위한 Slack 앱 생성 방법.

  1. 모니터링하려는 Enterprise에 속한 Slack 워크스페이스에 로그인하세요.arrow-up-right 모니터링하려는 Enterprise에 속한 워크스페이스에 로그인하세요.

    • 다음으로 로그인해야 합니다, 소유자 조직의 소유자로 로그인해야 합니다.

  2. Enterprise의 모든 워크스페이스를 표시하는 화면에서, 모니터링하려는 워크스페이스에서 Slack에서 실행 을 클릭하세요.

  3. 로 이동하세요 Slack 앱arrow-up-right 을 클릭하고 새 앱 생성을 클릭한 다음 처음부터. In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).

    • 를 클릭하세요 앱 이름을 입력하세요 예: Panther 모니터링.

    • 이전에 로그인한 워크스페이스를 선택하세요.

    "Slack 앱 생성" 양식에 앱 이름 필드가 표시되며, 그 안에 "Panther monitoring"이 적혀 있습니다. "개발 Slack 워크스페이스"라는 드롭다운 메뉴가 있습니다. 페이지 하단에는 회색의 "앱 생성" 버튼이 있습니다.

  4. 클릭 앱 생성.

    • 앱은 선택한 워크스페이스에 생성되며 이후 전체 Enterprise 조직을 모니터링할 수 있게 됩니다.

  5. 왼쪽 사이드바 메뉴에서 OAuth & 권한.

  6. 을 클릭하세요 아래로 스크롤하여 섹션.

  7. 클릭 리디렉트 URL 을 추가하고 리디렉트 URL 에 이전 섹션에서 Panther 콘솔에서 복사한 값을 입력하세요. In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.

  8. 클릭 URL 저장.

  9. 을 클릭하세요 사용자 토큰 범위 섹션에. 다음 범위를 추가하세요, auditlogs:read 권한. In the Slack admin console, there is a header called "User Token Scopes." In the image, there is a red circle around a field labeled "Add permission by Scope or API Method...". The option "auditlogsread" is selected.

  10. 왼쪽 사이드바에서, 설정 > 배포 관리

  11. 으로 이동하세요.섹션 제목 "앱을 다른 워크스페이스와 공유

    • "에서 다음 옵션을 활성화하세요:

    • 기능 및 기능 활성화

    • OAuth 리디렉트 URL 추가

    • 하드코딩된 정보 제거

  12. 클릭 기능에 HTTPS 사용.

  13. 왼쪽 사이드바에서, 설정 > 이것은 Slack 앱을 다른 조직에서 접근할 수 있도록 만드는 것은 아닙니다. Slack은 다음을 가져오기 위해 이 설정을 요구합니다,.

  14. 다음 기본 정보 앱 자격 증명 섹션에서, 다음을 복사하세요,클라이언트 ID.

  15. 클라이언트 시크릿 이 프로세스를 완료하려면arrow-up-right Panther에서 Slack 온보딩 마무리하기

In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.

hashtag
아래 단계를 따르세요.

접근 또는 통합 로그를 가져오기 위한 Slack 앱 생성 방법

접근 로그 및 통합 로그 API는 모든 유료 Slack 플랜에서 사용할 수 있습니다. 감사 로그를 가져오기 위한 Slack 앱 생성 방법.

  1. 모니터링하려는 Enterprise에 속한 Slack 워크스페이스에 로그인하세요.arrow-up-right 감사 로그를 가져오려면 이전 섹션을 참조하세요:

    • 다음으로 로그인해야 합니다, 소유자 조직의 소유자로 로그인해야 합니다.

  2. 모니터링하려는 워크스페이스에서 Slack에서 실행 을 클릭하세요.

  3. 로 이동하세요 Slack 앱arrow-up-right 을 클릭하고 새 앱 생성을 클릭한 다음 처음부터. In the Slack admin portal, the "Create an App" popup dialog is displayed. There are two options: From scratch, and From an app manifest (beta).

    • 를 클릭하세요 앱 이름을 입력하세요 예: Panther 모니터링.

    • 이전에 로그인한 워크스페이스를 선택하세요.

    "Slack 앱 생성" 양식에 앱 이름 필드가 표시되며, 그 안에 "Panther monitoring"이 적혀 있습니다. "개발 Slack 워크스페이스"라는 드롭다운 메뉴가 있습니다. 페이지 하단에는 회색의 "앱 생성" 버튼이 있습니다.

  4. 클릭 앱 생성.

    • 앱은 선택한 워크스페이스에 생성됩니다.

  5. 왼쪽 사이드바 메뉴에서 OAuth & 권한.

  6. 을 클릭하세요 아래로 스크롤하여 섹션.

  7. 클릭 리디렉트 URL 을 추가하고 리디렉트 URL 에 이전 섹션에서 Panther 콘솔에서 복사한 값을 입력하세요. In Slack, the "Oauth and Permissions" tab on the left sidebar is highlighted. There is a red arrow pointing to a header in the middle of the page labeled "Redirect URLs." There is a red circle around a Redirect URL field.

  8. 클릭 URL 저장.

  9. 아래로 스크롤하여 제목이 있는 섹션으로 이동하세요, 범위 > 사용자 토큰 범위. 다음 권한을 추가하세요, admin 범위, Slack API 문서에 표시된 대로 접근arrow-up-right통합arrow-up-right 로그.

  10. 왼쪽 사이드바에서, 설정 > 이것은 Slack 앱을 다른 조직에서 접근할 수 있도록 만드는 것은 아닙니다. Slack은 다음을 가져오기 위해 이 설정을 요구합니다,.

  11. 다음 기본 정보 앱 자격 증명 섹션에서, 다음을 복사하세요,클라이언트 ID. In the Slack admin console, the App Credentials page is open. There are fields for App ID, Date of App Creation, Client ID, Client Secret, and Signing Secret. There is a red circle around the Client ID and Client Secret fields.

  12. 클라이언트 시크릿 이 프로세스를 완료하려면arrow-up-right Panther에서 Slack 온보딩 마무리하기

hashtag
Panther에서 Slack 온보딩 마무리하기

  1. Panther 콘솔로 돌아가세요.

  2. "자격 증명 설정" 페이지에서 Slack의 클라이언트 ID를 Client ID 필드에 붙여넣고 Slack의 클라이언트 시크릿을 클라이언트 ID 필드에 붙여넣으세요.

  3. 클릭 설정.

  4. 클릭 소스 저장.

  5. 페이지에서 설정 확인 화면에서, 클릭하세요 액세스 허용.

    • 앱을 설치하기 위한 Slack 페이지로 리디렉션됩니다.

    • 감사 로그의 경우, 앱을 반드시 Enterprise 조직에 설치해야 하며 특정 워크스페이스에

  6. 클릭 설치하지 마세요!

  7. 허용. 설정. 성공 화면으로 이동합니다:\

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 선택적으로 하나 이상의 탐지 팩(Detection Packs)arrow-up-right.

    • 설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 . 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
circle-exclamation

공개 배포 활성화 Panther 콘솔에서, 클릭하세요

  • 다음과 같은 경우 통합에 제한이 발생합니다:

  • 앱을 조직에 설치한 사용자의 계정이 비활성화된 경우

hashtag
앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

Panther의 내장된 Panther 제작 탐지arrow-up-right.

hashtag
지원되는 로그 유형

hashtag
Slack.AccessLogs

Github의 panther-analysis에 있는 Slack용 규칙 공개 배포 활성화 Slack 워크스페이스 사용자의 접근 로그. Slack의 속도 제한으로 인해 Panther는 사용자 또는 접근 위치 또는 접근 장치가 새로 생긴 이벤트만 가져옵니다. Panther는 이벤트의, date_last count

참조: 필드를 업데이트하지 않습니다.'arrow-up-right

hashtag
Slack.AuditLogs

설명: IP 주소를 기반으로 접근이 발생한 위치에 대한 추정치.

참조: Slack 감사 로그는 Enterprise 조직에서 사용자가 수행하는 작업을 보여줍니다.arrow-up-right

hashtag
Slack.IntegrationLogs

설명: 감사 로그 이벤트에 대한 추가 세부 정보

참조: 팀의 통합 활동 로그로, 통합이 추가, 수정 및 제거된 시점을 포함합니다.arrow-up-right

PreviousSentinelOne 로그NextSnowflake 감사 로그

Last updated

Was this helpful?