# Panther AI 및 알러트

## 개요

{% hint style="info" %}
Panther AI 기능 사용은 다음의 적용을 받습니다. [법적 페이지에서 확인할 수 있는 AI 고지사항](/ko/resources/help/legal.md#ai-disclaimer).
{% endhint %}

Panther Console에서 알러트를 보는 동안, 알러트 목록 페이지에서 알러트의 AI 생성 트리아지를 볼 수 있으며, 특정 알러트에 대한 정보 수집 및 분석을 가속화하기 위해 AI 알러트 트리아지를 사용할 수도 있습니다. 하나 이상의 알러트를 트리아지하면 다음을 볼 수 있습니다. [위험 분류 점수](/ko/ai/risk-scoring-and-classification-framework.md).

AI 추론 수준 구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면 다음을 참조하세요. [Panther AI](/ko/ai.md).

## 알러트 목록에 대한 Panther AI 트리아지

Panther Console에서 알러트 목록을 볼 때 AI 트리아지를 생성할 수 있습니다. 새 AI 트리아지를 실행하려면 트리아지하려는 각 알러트 옆의 체크박스를 선택한 다음 다음을 클릭하세요. **AI로 트리아지**.

단일 알러트에 대한 조사 및 분석을 수행하려면 다음을 참조하세요. [Panther AI 알러트 트리아지](#panther-ai-alert-triage).

<figure><img src="/files/906d145e9e892a9003db29c58b611dedfc0f511c" alt="Panther Console alert list page with an arrow pointing to Triage with AI button"><figcaption></figcaption></figure>

이전 AI 트리아지를 보려면 오른쪽 상단에서 다음을 클릭하세요. **다중 알러트 트리아지 보기**.

<figure><img src="/files/a2e2f0445a37f8c628e520a68973a180092e19e4" alt="Panther Console alert list page with arrow pointing to View AI Summaries"><figcaption></figcaption></figure>

두 경우 모두, 새 트리아지 또는 가장 최근 트리아지가 포함된 슬라이드아웃 패널이 열립니다. 트리아지 제목을 클릭하면 이전 AI 트리아지 목록을 보고 [AI 응답 기록을 관리할 수 있습니다](/ko/ai/managing-ai-response-history.md).

## Panther AI 알러트 트리아지

[Panther AI](/ko/ai.md) 알러트 트리아지는 알러트에 대한 조사 및 분석을 수행합니다. 이를 통해 알러트에 대한 더 많은 정보를 수집하고 다음에 무엇을 해야 할지 결정하는 데 도움이 될 수 있습니다. AI 알러트 트리아지를 다음과 같이 구성할 수 있습니다. [모든 알러트 또는 일부 알러트에 대해 자동 실행](#auto-run-ai-alert-triage)또는 [요청 시 실행](#run-ai-alert-triage-on-demand). [AI 알러트 트리아지의 전체 영상 데모는 여기에서 시청하세요](/ko/ai/examples.md#ai-alert-triage).

AI 알러트 트리아지는 알러트 요약, 알러트가 거짓 양성인지 참 양성인지에 대한 판단, 권장 후속 조치, 신뢰도 수준 표시를 제공할 수 있습니다. 특정 알러트에 대한 Panther AI 분석에는 Panther AI의 "사고 과정" 및/또는 알러트를 유발한 이벤트를 시각화한 다이어그램이 포함될 수 있습니다. 분석에는 적절한 경우 Panther 엔터티(예: 알러트, 디택션, 검색)에 대한 내용이 포함됩니다. [인용](/ko/ai.md#citations-and-fact-checking) 적절한 경우 Panther 엔터티(예: 알러트, 디택션, 검색)에.

{% hint style="info" %}
설명적인 `런북` 를 디택션에 제공하는 것이 권장됩니다. Panther AI가 이를 읽고 알러트 트리아지 중에 자율적으로 실행하기 때문입니다. [Panther AI에 적합한 `런북` 작성하는 방법은 여기에서 알아보세요](/ko/alerts/alert-runbooks.md#tips-for-writing-an-effective-runbook).

[디택션의 데모를 보세요 `런북` AI 알러트 트리아지에 영향을 미치는 내용을 여기에서 확인하세요](/ko/ai/examples.md#using-a-detection-runbook-to-direct-ai-alert-triage).
{% endhint %}

쓰기 작업에 대해 Panther AI가 어떻게 작동하는지, 그리고 어떤 도구에 대해 사람의 승인이 필요한지 알아보려면 다음을 참조하세요. [쓰기 작업에 대한 도구 승인](/ko/ai.md#tool-approval).

다음이 있는 경우 [Slack Bot 알러트 대상](/ko/alerts/destinations/slack-bot.md) 가 설정되어 있으면 [AI 트리아지 콘텐츠를 수신하도록 구성할 수 있습니다](/ko/alerts/alert-management/slack.md#ai-alert-triage-sync).

구성 방법을 포함한 Panther AI에 대해 자세히 알아보려면 [AI 추론 수준 구성](/ko/ai.md#ai-prompt-settings) 및 AI 응답 관리 방법은 다음을 참조하세요. [Panther AI](/ko/ai.md) 및 [Panther AI 응답 기록 관리](/ko/ai/managing-ai-response-history.md).

### AI 알러트 트리아지 자동 실행

{% hint style="warning" %}
자동 실행 AI 트리아지는 다음 사용자에게만 제공됩니다. [Cloud Connected](/ko/system-configuration/panther-deployment-types/cloud-connected.md) 고객 및 [SaaS](/ko/system-configuration/panther-deployment-types/saas.md) 패스스루 청구를 사용하는 고객.
{% endhint %}

알러트가 생성될 때 AI 알러트 트리아지를 자동으로 실행하도록 구성할 수 있습니다. 즉, 알러트를 볼 때 직접 트리아지를 실행하고 결과를 기다릴 필요가 없습니다.

모든 알러트에 대해 또는 특정 심각도 및/또는 태그가 있는 알러트에 대해서만 자동 실행 AI 트리아지를 활성화할 수 있습니다. [이 기준을 설정하는 방법에 대해 자세히 알아보려면 시스템 구성에서 확인하세요](/ko/system-configuration.md#panther-ai).

The [추론 수준](/ko/ai.md#reasoning-level) 특정 디택션에 의해 트리거된 알러트에 대한 자동 실행 AI 트리아지의 수준은 다음 태그 중 하나를 디택션에 추가하여 설정할 수 있습니다.

* `ai:output:short`
* `ai:output:medium`
* `ai:output:long`

{% hint style="info" %}
자동 실행 AI 알러트 트리아지가 예상대로 자율적으로 실행되지 않거나 출력에 오류가 있는 경우, 다음이 필요할 수 있습니다. [Amazon Bedrock 할당량 증액 요청](/ko/ai.md#amazon-bedrock-service-quotas).
{% endhint %}

#### 자동 트리아지 권한 및 run-as 구성

기본적으로 자동 실행 AI 알러트 트리아지는 시스템 수준 권한으로 실행됩니다. 그러나 다음 권한이 있는 관리자는 **AI Run As** 권한을 사용해 대신 특정 사용자 또는 API 토큰으로 실행되도록 자동 트리아지를 구성할 수 있습니다. 이는 다음과 같은 여러 이점을 제공합니다.

* **범위가 제한된 권한**: 제한된 권한을 가진 사용자로 실행하여 자동 트리아지 중 AI가 접근할 수 있는 데이터와 도구를 제한합니다
* **감사 추적**: 자동 트리아지 작업은 시스템이 아니라 지정된 run-as 사용자와 연결됩니다
* **일관성**: 모든 자동 트리아지 실행에서 예측 가능한 권한 수준을 보장합니다

<figure><img src="/files/0a3623de3f22925fab944d61a507f865a93f3689" alt="" width="563"><figcaption></figcaption></figure>

run-as 사용자가 구성되면 AI 알러트 트리아지는 run-as 사용자의 역할이 허용하는 로그 유형, 알러트 및 디택션에만 접근할 수 있습니다. run-as 사용자의 계정이 삭제되거나 비활성화되면 유효한 run-as 사용자가 구성되거나 설정이 지워져 시스템 수준 실행이 복원될 때까지 자동 트리아지는 중단됩니다.

#### 자동 실행 AI 알러트 트리아지 지연

기본적으로 AI 알러트 트리아지는 알러트가 생성되자마자 실행됩니다. 그러나 서로 다른 소스의 데이터는 서로 다른 지연 시간으로 도착할 수 있으므로, 즉시 실행하면 AI 분석이 직후에 사용 가능해지는 관련 컨텍스트를 놓칠 수 있습니다. 디택션에 지연 태그를 추가하면 AI 알러트 트리아지가 시작되기 전에 모든 관련 데이터가 도착할 시간을 제공합니다.

다음 형식의 태그를 디택션에 추가하세요 `ai:delay:<duration>`, 여기서 `<duration>` 은 시간 값입니다. 예를 들면 다음과 같습니다.

* `ai:delay:30s` — AI 알러트 트리아지를 30초 지연
* `ai:delay:1m` — AI 알러트 트리아지를 1분 지연
* `ai:delay:10m` — AI 알러트 트리아지를 10분 지연

지연 태그를 추가하면 Panther AI는 AI 알러트 트리아지를 호출하기 전에 지정된 시간만큼 기다립니다. 최소 지연 시간은 1초이고 최대 지연 시간은 30일입니다. 여러 개의 `ai:delay` 태그가 디택션에 있으면 첫 번째 태그가 사용됩니다.

{% hint style="info" %}
지연 태그는 같은 디택션에서 `ai:output:*` 추론 수준 태그와 함께 사용할 수 있습니다. 예를 들어, 다음 두 태그가 모두 있는 디택션은 `ai:delay:5m` 및 `ai:output:long` 고급 수준 AI 알러트 트리아지를 실행하기 전에 5분을 기다립니다.
{% endhint %}

### 요청 시 AI 알러트 트리아지 실행

알러트에서 Panther AI 트리아지를 실행하려면:

1. 알러트 상세 페이지에서 다음을 클릭하세요. **Panther AI Triage 시작**.

   * 이 알러트에 대해 이미 AI 알러트 트리아지를 실행한 경우 다음을 클릭하세요. **Panther AI 트리아지 보기**.

     <figure><img src="/files/7f1144ab642d8824255b7ea8de7dc8bb8000965d" alt="On a page titled &#x22;Panos Test: User PSAKKOS logged in without MFA&#x22; a button labeled &#x22;Start Panther AI Triage&#x22; is circled." width="563"><figcaption></figcaption></figure>
   * 슬라이드아웃 패널이 나타나며, Panther AI가 그 결과를 출력합니다.

   <figure><img src="/files/155e55408009ff817a37347d2ab19ba7f6bdc912" alt="On the right side is a slide-out panel titled &#x22;ALB Web Scanning Analysis.&#x22; Below, there are various sections, like Summary, Key Findings, and Security Implications."><figcaption></figcaption></figure>
2. (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에 후속 질문을 하거나 Panther AI에게 알러트에 대해 어떤 작업을 수행하도록 지시하세요. 이러한 프롬프트와 그 응답은 다음에 보존됩니다. [AI 응답 기록](/ko/ai/managing-ai-response-history.md). 예를 들면 다음과 같습니다.
   * `이 알러트를 트리거한 디택션은 어떻게 조정해야 하나요?`
     * Panther AI에게 디택션 조정을 요청하는 것은 일반적으로 다음이 [추론 수준](/ko/ai.md#reasoning-level) 설정이 **고급**.
   * `이 이벤트 전후 1시간 동안 이 사용자가 AWS에서 다른 작업을 수행했나요?`
   * `이 알러트의 상태를 "무효"로 업데이트하고 "거짓 양성"이라고 댓글을 남겨주세요.`\
     ![](/files/3ab09c0d8a1d51eb18d9d7c0e0f09cc216fd6dfe)
3. (선택 사항) 아래에서 **다음 단계**, 다음 작업 버튼 중 하나를 클릭하세요:\
   ![](/files/9a1bba7d7aef0679f1380126625bcebe1657179e)
   * **트리아지 요약을 알러트 댓글로 추가(알러트를 닫지 않음)**:
     * 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
   * (알러트의 상태가 **열린** 또는 **분류됨**) **알러트 닫기, 댓글 추가 및 해결됨으로 표시**:
     * 알러트 상태를 다음으로 업데이트합니다 **해결됨**. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
     * 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
     * 만약 **닫을 때 나에게 알러트 할당** 토글이 `ON`로 설정되어 있으면 알러트 담당자가 귀하로 설정됩니다. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
   * (알러트의 상태가 **열린** 또는 **분류됨**) **알러트 닫기, 댓글 추가 및 무효로 표시**:
     * 알러트 상태를 다음으로 업데이트합니다 **무효**. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
     * 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.
     * 만약 **닫을 때 나에게 알러트 할당** 토글이 `ON`로 설정되어 있으면 알러트 담당자가 귀하로 설정됩니다. 이는 알러트의 **활동** 로그에 고수준 알러트 요약이 포함된 댓글을 생성합니다.\
       ![Under an "Activity" title, there is a text box and three comments with a circle around them.](/files/2b61d9d7afc989be201aad6075f0614775953782)

### 위험 점수에 따라 알러트를 자동 해결

{% hint style="info" %}
위험 점수에 따른 알러트 자동 해결은 Panther 버전 1.119부터 폐쇄형 베타로 제공됩니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.
{% endhint %}

자동 실행 AI 알러트 트리아지가 활성화되면 Panther AI는 트리아지한 각 알러트에 위험 분류 점수를 할당합니다. Panther AI가 위험도가 낮다고 판단한 알러트를 자동으로 해결되도록 구성할 수 있으며, 임계값은 직접 정의할 수 있습니다.

이는 Panther AI가 저위험이라고 판단한 알러트를 자동으로 닫아 알러트 피로를 줄이는 데 유용하며, 동시에 결정에 대한 전체 감사 추적은 보존합니다.

#### 자동 해결 구성

{% hint style="info" %}
자동 해결에는 다음이 필요합니다 **알러트에 대한 AI 트리아지 자동 실행** 가 활성화되어 있어야 합니다. 알러트는 먼저 Panther AI에 의해 트리아지되어야 위험 점수를 받을 수 있기 때문입니다.
{% endhint %}

자동 해결을 구성하려면:

1. Panther Console 오른쪽 상단에서 기어 아이콘(을) 클릭하세요.**설정**) > **Panther AI**.
2. 다음을 클릭합니다 **알러트 트리아지** 탭.
3. 다음을 설정하세요. **위험 점수 기반 자동 해결** 토글을 다음으로 설정합니다 `ON`.
4. 다음을 설정하세요. **위험 점수 임계값** 슬라이더를 사용하여. 슬라이더에는 세 가지 영역이 표시됩니다.
   * **무해** (녹색): 이 범위의 점수는 저위험 알러트를 나타냅니다. 임계값에 권장되는 범위입니다.
   * **판단 불가** (노란색): 이 범위의 점수는 불확실한 위험을 나타냅니다. 이 범위에 임계값을 설정하면 경고가 표시됩니다.
   * **위험** (빨간색): 이 범위의 점수는 고위험 알러트를 나타냅니다. 이 범위에는 임계값을 설정할 수 없습니다.
5. (선택 사항) 하나 이상의 **알러트 심각도** 를 선택하여 해당 심각도의 알러트로 자동 해결을 제한하세요.
6. (선택 사항) 하나 이상의 **디택션 태그** 를 입력하여 해당 태그 중 적어도 하나가 있는 디택션에 의해 트리거된 알러트로 자동 해결을 제한하세요.

자동 해결 설정에 대해 자세히 알아보려면 다음을 참조하세요. [시스템 구성](/ko/system-configuration.md#alert-triage).

<figure><img src="/files/ffb412c54916cb88209bfc9ea01039585ccfdae3" alt=""><figcaption></figcaption></figure>

#### 자동 해결의 작동 방식

1. 알러트가 생성되고 그에 대해 자동 실행 AI 트리아지가 실행됩니다.
2. Panther AI는 -1(가장 benign)에서 +1(가장 risky)까지의 위험 분류 점수를 생성합니다.
3. 자동 해결이 활성화되어 있고 알러트가 구성한 필터(심각도 및/또는 디택션 태그)를 통과하면 위험 점수가 설정한 임계값과 비교됩니다.
4. 위험 점수가 임계값 이하이면 Panther AI는 다음을 수행합니다.
   * 알러트 상태를 다음으로 업데이트합니다 **해결됨**.
   * 알러트의 **활동** 로그에 위험 분류, 점수, 임계값 및 AI 분석 요약이 포함된 댓글을 추가합니다.
   * 위험 분류를 나타내는 컨텍스트 태그를 적용합니다(예: `ai_risk_benign`).
   * 자동 해결 작업에 대한 감사 로그 항목을 기록합니다.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/ai/panther-ai-and-alerts.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.