# Panther AI 및 알러트
## 개요
{% hint style="info" %}
Panther AI 기능 사용은 다음의 적용을 받습니다. [법적 페이지에서 확인할 수 있는 AI 고지사항](https://docs.panther.com/ko/resources/help/legal#ai-disclaimer).
{% endhint %}
Panther Console에서 알러트를 보는 동안, 알러트 목록 페이지에서 알러트의 AI 생성 트리아지를 볼 수 있으며, 특정 알러트에 대한 정보 수집 및 분석을 가속화하기 위해 AI 알러트 트리아지를 사용할 수도 있습니다. 하나 이상의 알러트를 트리아지하면 다음을 볼 수 있습니다. [위험 분류 점수](https://docs.panther.com/ko/ai/risk-scoring-and-classification-framework).
AI 추론 수준 구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면 다음을 참조하세요. [Panther AI](https://docs.panther.com/ko/ai).
## 알러트 목록에 대한 Panther AI 트리아지
Panther Console에서 알러트 목록을 볼 때 AI 트리아지를 생성할 수 있습니다. 새 AI 트리아지를 실행하려면 트리아지하려는 각 알러트 옆의 체크박스를 선택한 다음 다음을 클릭하세요. **AI로 트리아지**.
단일 알러트에 대한 조사 및 분석을 수행하려면 다음을 참조하세요. [Panther AI 알러트 트리아지](#panther-ai-alert-triage).
이전 AI 트리아지를 보려면 오른쪽 상단에서 다음을 클릭하세요. **다중 알러트 트리아지 보기**.
두 경우 모두, 새 트리아지 또는 가장 최근 트리아지가 포함된 슬라이드아웃 패널이 열립니다. 트리아지 제목을 클릭하면 이전 AI 트리아지 목록을 보고 [AI 응답 기록을 관리할 수 있습니다](https://docs.panther.com/ko/ai/managing-ai-response-history).
## Panther AI 알러트 트리아지
[Panther AI](https://docs.panther.com/ko/ai) 알러트 트리아지는 알러트에 대한 조사 및 분석을 수행합니다. 이를 통해 알러트에 대한 더 많은 정보를 수집하고 다음에 무엇을 해야 할지 결정하는 데 도움이 될 수 있습니다. AI 알러트 트리아지를 다음과 같이 구성할 수 있습니다. [모든 알러트 또는 일부 알러트에 대해 자동 실행](#auto-run-ai-alert-triage)또는 [요청 시 실행](#run-ai-alert-triage-on-demand). [AI 알러트 트리아지의 전체 영상 데모는 여기에서 시청하세요](https://docs.panther.com/ko/examples#ai-alert-triage).
AI 알러트 트리아지는 알러트 요약, 알러트가 거짓 양성인지 참 양성인지에 대한 판단, 권장 후속 조치, 신뢰도 수준 표시를 제공할 수 있습니다. 특정 알러트에 대한 Panther AI 분석에는 Panther AI의 "사고 과정" 및/또는 알러트를 유발한 이벤트를 시각화한 다이어그램이 포함될 수 있습니다. 분석에는 적절한 경우 Panther 엔터티(예: 알러트, 디택션, 검색)에 대한 내용이 포함됩니다. [인용](https://docs.panther.com/ko/ai/..#citations-and-fact-checking) 적절한 경우 Panther 엔터티(예: 알러트, 디택션, 검색)에.
{% hint style="info" %}
설명적인 `런북` 를 디택션에 제공하는 것이 권장됩니다. Panther AI가 이를 읽고 알러트 트리아지 중에 자율적으로 실행하기 때문입니다. [Panther AI에 적합한 `런북` 작성하는 방법은 여기에서 알아보세요](https://docs.panther.com/ko/alerts/alert-runbooks#tips-for-writing-an-effective-runbook).
[디택션의 데모를 보세요 `런북` AI 알러트 트리아지에 영향을 미치는 내용을 여기에서 확인하세요](https://docs.panther.com/ko/examples#using-a-detection-runbook-to-direct-ai-alert-triage).
{% endhint %}
쓰기 작업에 대해 Panther AI가 어떻게 작동하는지, 그리고 어떤 도구에 대해 사람의 승인이 필요한지 알아보려면 다음을 참조하세요. [쓰기 작업에 대한 도구 승인](https://docs.panther.com/ko/ai/..#tool-approval).
다음이 있는 경우 [Slack Bot 알러트 대상](https://docs.panther.com/ko/alerts/destinations/slack-bot) 가 설정되어 있으면 [AI 트리아지 콘텐츠를 수신하도록 구성할 수 있습니다](https://docs.panther.com/ko/alerts/alert-management/slack#ai-alert-triage-sync).
구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면 [AI 추론 수준 구성](https://docs.panther.com/ko/ai/..#ai-prompt-settings) 및 AI 응답 관리 방법은 다음을 참조하세요. [Panther AI](https://docs.panther.com/ko/ai) 및 [Panther AI 응답 기록 관리](https://docs.panther.com/ko/ai/managing-ai-response-history).
### AI 알러트 트리아지 자동 실행
{% hint style="warning" %}
자동 실행 AI 트리아지는 다음 사용자에게만 제공됩니다. [Cloud Connected](https://docs.panther.com/ko/system-configuration/panther-deployment-types/cloud-connected) 고객 및 [SaaS](https://docs.panther.com/ko/system-configuration/panther-deployment-types/saas) 패스스루 청구를 사용하는 고객.
{% endhint %}
알러트가 생성될 때 AI 알러트 트리아지를 자동으로 실행하도록 구성할 수 있습니다. 즉, 알러트를 볼 때 직접 트리아지를 실행하고 결과를 기다릴 필요가 없습니다.
모든 알러트에 대해 또는 특정 심각도 및/또는 태그가 있는 알러트에 대해서만 자동 실행 AI 트리아지를 활성화할 수 있습니다. [이 기준을 설정하는 방법에 대해 자세히 알아보려면 시스템 구성에서 확인하세요](https://docs.panther.com/ko/system-configuration#panther-ai).
The [추론 수준](https://docs.panther.com/ko/ai/..#reasoning-level) 특정 디택션에 의해 트리거된 알러트에 대한 자동 실행 AI 트리아지의 수준은 다음 태그 중 하나를 디택션에 추가하여 설정할 수 있습니다.
* `ai:output:short`
* `ai:output:medium`
* `ai:output:long`
{% hint style="info" %}
자동 실행 AI 알러트 트리아지가 예상대로 자율적으로 실행되지 않거나 출력에 오류가 있는 경우, 다음이 필요할 수 있습니다. [Amazon Bedrock 할당량 증액 요청](https://docs.panther.com/ko/ai/..#amazon-bedrock-service-quotas).
{% endhint %}
#### 자동 트리아지 권한 및 run-as 구성
기본적으로 자동 실행 AI 알러트 트리아지는 시스템 수준 권한으로 실행됩니다. 그러나 다음 권한이 있는 관리자는 **AI Run As** 권한을 사용해 대신 특정 사용자 또는 API 토큰으로 실행되도록 자동 트리아지를 구성할 수 있습니다. 이는 다음과 같은 여러 이점을 제공합니다.
* **범위가 제한된 권한**: 제한된 권한을 가진 사용자로 실행하여 자동 트리아지 중 AI가 접근할 수 있는 데이터와 도구를 제한합니다
* **감사 추적**: 자동 트리아지 작업은 시스템이 아니라 지정된 run-as 사용자와 연결됩니다
* **일관성**: 모든 자동 트리아지 실행에서 예측 가능한 권한 수준을 보장합니다
run-as 사용자가 구성되면 AI 알러트 트리아지는 run-as 사용자의 역할이 허용하는 로그 유형, 알러트 및 디택션에만 접근할 수 있습니다. run-as 사용자의 계정이 삭제되거나 비활성화되면 유효한 run-as 사용자가 구성되거나 설정이 지워져 시스템 수준 실행이 복원될 때까지 자동 트리아지는 중단됩니다.
#### 자동 실행 AI 알러트 트리아지 지연
기본적으로 AI 알러트 트리아지는 알러트가 생성되자마자 실행됩니다. 그러나 서로 다른 소스의 데이터는 서로 다른 지연 시간으로 도착할 수 있으므로, 즉시 실행하면 AI 분석이 직후에 사용 가능해지는 관련 컨텍스트를 놓칠 수 있습니다. 디택션에 지연 태그를 추가하면 AI 알러트 트리아지가 시작되기 전에 모든 관련 데이터가 도착할 시간을 제공합니다.
다음 형식의 태그를 디택션에 추가하세요 `ai:delay:`, 여기서 `` 은 시간 값입니다. 예를 들면 다음과 같습니다.
* `ai:delay:30s` — AI 알러트 트리아지를 30초 지연
* `ai:delay:1m` — AI 알러트 트리아지를 1분 지연
* `ai:delay:10m` — AI 알러트 트리아지를 10분 지연
지연 태그를 추가하면 Panther AI는 AI 알러트 트리아지를 호출하기 전에 지정된 시간만큼 기다립니다. 최소 지연 시간은 1초이고 최대 지연 시간은 30일입니다. 여러 개의 `ai:delay` 태그가 디택션에 있으면 첫 번째 태그가 사용됩니다.
{% hint style="info" %}
지연 태그는 같은 디택션에서 `ai:output:*` 추론 수준 태그와 함께 사용할 수 있습니다. 예를 들어, 다음 두 태그가 모두 있는 디택션은 `ai:delay:5m` 및 `ai:output:long` 고급 수준 AI 알러트 트리아지를 실행하기 전에 5분을 기다립니다.
{% endhint %}
### 요청 시 AI 알러트 트리아지 실행
알러트에서 Panther AI 트리아지를 실행하려면:
1. 알러트 상세 페이지에서 다음을 클릭하세요. **Panther AI Triage 시작**.
* 이 알러트에 대해 이미 AI 알러트 트리아지를 실행한 경우 다음을 클릭하세요. **Panther AI 트리아지 보기**.
* 슬라이드아웃 패널이 나타나며, Panther AI가 그 결과를 출력합니다.
2. (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에 후속 질문을 하거나 Panther AI에게 알러트에 대해 어떤 작업을 수행하도록 지시하세요. 이러한 프롬프트와 그 응답은 다음에 보존됩니다. [AI 응답 기록](https://docs.panther.com/ko/ai/managing-ai-response-history). 예를 들면 다음과 같습니다.
* `이 알러트를 트리거한 디택션은 어떻게 조정해야 하나요?`
* Panther AI에게 디택션 조정을 요청하는 것은 일반적으로 다음이 [추론 수준](https://docs.panther.com/ko/ai/..#reasoning-level) 설정이 **고급**.
* `이 이벤트 전후 1시간 동안 이 사용자가 AWS에서 다른 작업을 수행했나요?`
* `이 알러트의 상태를 "무효"로 업데이트하고 "거짓 양성"이라고 댓글을 남겨주세요.`\
3. (선택 사항) 아래에서 **다음 단계**, 다음 작업 버튼 중 하나를 클릭하세요:\
* **트리아지 요약을 알러트 댓글로 추가(알러트를 닫지 않음)**:
* 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
* (알러트의 상태가 **열린** 또는 **분류됨**) **알러트 닫기, 댓글 추가 및 해결됨으로 표시**:
* 알러트 상태를 다음으로 업데이트합니다 **해결됨**. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
* 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
* 만약 **닫을 때 나에게 알러트 할당** 토글이 `ON`로 설정되어 있으면 알러트 담당자가 귀하로 설정됩니다. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
* (알러트의 상태가 **열린** 또는 **분류됨**) **알러트 닫기, 댓글 추가 및 무효로 표시**:
* 알러트 상태를 다음으로 업데이트합니다 **무효**. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
* 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
* 만약 **닫을 때 나에게 알러트 할당** 토글이 `ON`로 설정되어 있으면 알러트 담당자가 귀하로 설정됩니다. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.\
### 위험 점수에 따라 알러트를 자동 해결
{% hint style="info" %}
위험 점수에 따른 알러트 자동 해결은 Panther 버전 1.119부터 폐쇄형 베타로 제공됩니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.
{% endhint %}
자동 실행 AI 알러트 트리아지가 활성화되면 Panther AI는 트리아지한 각 알러트에 위험 분류 점수를 할당합니다. Panther AI가 위험도가 낮다고 판단한 알러트를 자동으로 해결되도록 구성할 수 있으며, 임계값은 직접 정의할 수 있습니다.
이는 Panther AI가 저위험이라고 판단한 알러트를 자동으로 닫아 알러트 피로를 줄이는 데 유용하며, 동시에 결정에 대한 전체 감사 추적은 보존합니다.
#### 자동 해결 구성
{% hint style="info" %}
자동 해결에는 다음이 필요합니다 **알러트에 대한 AI 트리아지 자동 실행** 가 활성화되어 있어야 합니다. 알러트는 먼저 Panther AI에 의해 트리아지되어야 위험 점수를 받을 수 있기 때문입니다.
{% endhint %}
자동 해결을 구성하려면:
1. Panther Console 오른쪽 상단에서 기어 아이콘(을) 클릭하세요.**설정**) > **Panther AI**.
2. 다음을 클릭합니다 **알러트 트리아지** 탭.
3. 다음을 설정하세요. **위험 점수 기반 자동 해결** 토글을 다음으로 설정합니다 `ON`.
4. 다음을 설정하세요. **위험 점수 임계값** 슬라이더를 사용하여. 슬라이더에는 세 가지 영역이 표시됩니다.
* **무해** (녹색): 이 범위의 점수는 저위험 알러트를 나타냅니다. 임계값에 권장되는 범위입니다.
* **판단 불가** (노란색): 이 범위의 점수는 불확실한 위험을 나타냅니다. 이 범위에 임계값을 설정하면 경고가 표시됩니다.
* **위험** (빨간색): 이 범위의 점수는 고위험 알러트를 나타냅니다. 이 범위에는 임계값을 설정할 수 없습니다.
5. (선택 사항) 하나 이상의 **알러트 심각도** 를 선택하여 해당 심각도의 알러트로 자동 해결을 제한하세요.
6. (선택 사항) 하나 이상의 **디택션 태그** 를 입력하여 해당 태그 중 적어도 하나가 있는 디택션에 의해 트리거된 알러트로 자동 해결을 제한하세요.
자동 해결 설정에 대해 자세히 알아보려면 다음을 참조하세요. [시스템 구성](https://docs.panther.com/ko/system-configuration#alert-triage).
#### 자동 해결의 작동 방식
1. 알러트가 생성되고 그에 대해 자동 실행 AI 트리아지가 실행됩니다.
2. Panther AI는 -1(가장 benign)에서 +1(가장 risky)까지의 위험 분류 점수를 생성합니다.
3. 자동 해결이 활성화되어 있고 알러트가 구성한 필터(심각도 및/또는 디택션 태그)를 통과하면 위험 점수가 설정한 임계값과 비교됩니다.
4. 위험 점수가 임계값 이하이면 Panther AI는 다음을 수행합니다.
* 알러트 상태를 다음으로 업데이트합니다 **해결됨**.
* 알러트의 **활동** 로그에 위험 분류, 점수, 임계값 및 AI 분석 요약이 포함된 댓글을 추가합니다.
* 위험 분류를 나타내는 컨텍스트 태그를 적용합니다(예: `ai_risk_benign`).
* 자동 해결 작업에 대한 감사 로그 항목을 기록합니다.
