# 알러트 및 대상

## 개요

알러트는 다음 항목이 [룰, 예약된 룰 또는 정책](https://docs.panther.com/ko/detections) 의심스러운 행동을 탐지할 때 생성됩니다. 알러트가 트리거되면 적절한 [알러트 대상](https://docs.panther.com/ko/alerts/destinations) 으로 [알러트 라우팅 시나리오](https://docs.panther.com/ko/destinations#alert-routing-scenarios). Panther Console에서는 [알러트의 AI 생성 분류](https://docs.panther.com/ko/ai/panther-ai-and-alerts#panther-ai-triage-of-alerts-list) 를 확인하고 [AI 알러트 분류](https://docs.panther.com/ko/ai/panther-ai-and-alerts#panther-ai-alert-triage) 를 사용하여 알러트에 대한 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 받을 수 있습니다.

Panther는 세 가지 유형의 알러트를 생성할 수 있습니다:

* **알러트**: 이 분류에는 활성화된 [디택션](https://docs.panther.com/ko/detections).
* **디택션 오류:** 이 오류는 잘못된 코드 또는 권한 문제로 인해 생성됩니다. 이 경우 룰은 오류를 반환하고 룰은 실행을 성공적으로 완료하지 못합니다. 여기에는 [룰 오류 및 예약된 룰 오류](https://docs.panther.com/ko/detections/rules#rule-errors-and-scheduled-rule-errors).
* **시스템 오류:** Panther의 시스템 오류는 Panther 플랫폼의 일부가 올바르게 작동하지 않을 때 사용자에게 알립니다. 여기에는 로그 소스 비활성, 로그 분류 실패, 로그 소스 권한 실패, 알러트 전달 실패, 클라우드 계정 스캔 실패가 포함됩니다.
  * 이러한 오류에 대해 자세히 알아보려면 다음을 참조하세요. [시스템 오류](https://docs.panther.com/ko/system-configuration/notifications/system-errors).

또한 Panther [REST API](https://docs.panther.com/ko/panther/api/rest/alerts) 및 [GraphQL API](https://docs.panther.com/ko/panther/api/graphql/alerts-and-errors).

## 를 사용하여 알러트와 상호작용할 수도 있습니다.

알러트 사용자 지정 [다음 항목을 사용하여 디텍션 매치에 대해 받는 알러트의 내용을 사용자 지정할 수 있습니다.](https://docs.panther.com/ko/detections/rules/python#alert-functions-in-python-detections) 또는 [YAML 디텍션의 알러트 키](https://docs.panther.com/ko/detections/rules/writing-simple-detections#dynamic-alert-keys-in-yaml-detections).

이 함수들은 예를 들어, 다음을 사용해 일치한 이벤트를 포함하거나 [`alert_context()`](https://docs.panther.com/ko/detections/rules/python#alert_context) 또는 [`AlertContext`](https://docs.panther.com/ko/detections/rules/writing-simple-detections#alertcontext)또는 다음을 사용해 알러트 제목에 이벤트 값을 추가할 수 있게 해줍니다. [`title()`](https://docs.panther.com/ko/detections/rules/python#title) 또는 [`AlertTitle`](https://docs.panther.com/ko/detections/rules/writing-simple-detections#alerttitle)).

## 알러트 제한

알러트 제한 기능은 (아마도) 잘못 구성된 디텍션으로 인해 발생하는 "알러트 폭주"를 방지하기 위한 것입니다.

하나의 디텍션이 1시간 내에 1,000개의 알러트를 생성하면 해당 디텍션의 `CreateAlert` 필드(또는 **알러트 생성** 토글이 콘솔에서) `False` (또는 `OFF` 로 설정되며, 이로 인해 디텍션이 추가 알러트를 생성하지 못하게 됩니다. (디텍션은 일치 항목에 대해 계속 [시그널](https://docs.panther.com/ko/detections/signals) 을 생성합니다.) 이 경우 변경 사항을 알리는 [시스템 오류](https://docs.panther.com/ko/system-configuration/notifications/system-errors) 알림과 알러트를 받게 됩니다.

준비가 되면 값을 다시 `CreateAlert`/**알러트 생성** 로 설정할 수 있습니다. `True`/`ON` —아마도 디텍션 튜닝 후에 말입니다.

이 알러트 한도를 1,000보다 더 낮게 설정하려면 Panther 지원 팀에 문의하세요.

## 여러 이벤트가 있는 알러트

디텍션에 [중복 제거 기간 및 중복 제거 문자열](https://docs.panther.com/ko/detections/rules#deduplication-of-alerts)이 설정되어 있으면, 같은 중복 제거 문자열을 공유하는 디텍션과 일치하는 모든 이벤트는 중복 제거 기간 동안 처음 생성된 알러트에 추가됩니다. 이로 인해 하나의 알러트에 둘 이상의 이벤트가 연결될 수 있습니다.

디텍션에서 동적으로 생성된 알러트 정보는 ( [다음 항목을 사용하여 디텍션 매치에 대해 받는 알러트의 내용을 사용자 지정할 수 있습니다.](https://docs.panther.com/detections/rules/python#alert-functions-in-python-detections) 또는 [Simple Detections의 동적 알러트 키](https://docs.panther.com/detections/rules/writing-simple-detections#dynamic-alert-keys-in-simple-detections)) 첫 번째로 일치한 이벤트의 출력에 의해 생성됩니다. 알러트에 연결된 *추가* 이벤트에 대한 알러트 함수/키의 출력은 알러트를 변경하지 않습니다.

예를 들어, 디텍션이 다음을 사용하는 경우 [`severity()`](https://docs.panther.com/ko/detections/rules/python#severity) 를 사용하여 이벤트 속성을 기반으로 알러트 심각도를 동적으로 설정하고 첫 번째로 일치한 이벤트가 `LOW` 심각도를 결정하면, 알러트 심각도는 `LOW` 로 설정됩니다. 이후 같은 `severity()` 함수를 통해 실행되어 알러트에 나중에 연결된 이벤트가 `HIGH` 심각도를 결정하더라도 마찬가지입니다.

## 알러트 작업하기

### 알러트 받기

Panther Console 외부에서 알러트를 받으려면 알러트 대상을 설정하고, 해당 대상이 다음을 기준으로 알러트를 받도록 구성되었는지 확인하세요. [알러트 라우팅 시나리오](https://docs.panther.com/ko/destinations#alert-routing-scenarios).

알러트를 받는 방법을 결정할 때 다음 옵션을 고려하세요:

* **기본 지원 대상**: Panther는 Slack, Jira, Amazon SNS와 같이 여러 알러트 대상을 기본적으로 지원합니다. 지원되는 대상의 전체 목록은 [알러트 대상 문서](https://docs.panther.com/ko/alerts/destinations) 를 참조하세요.
* **사용자 지정 Webhook**: 기본적으로 지원되지 않지만 API가 있는 대상으로 알러트를 라우팅하려면 사용자 지정 Webhook 옵션을 사용해 알러트 알림을 보낼 수 있습니다. 구성 방법은 [사용자 지정 Webhook 문서](https://docs.panther.com/ko/alerts/destinations/custom_webhook) 를 참조하세요.
* **Panther API**: 기본적으로 지원되지 않고 API도 없는 대상으로 Panther 알러트를 받으려면, 일정에 따라 [Panther API](https://docs.panther.com/ko/panther/api) 를 폴링하여 알러트를 받을 수 있습니다. 다음에서 알러트를 가져오고 조작할 수 있는 사용 가능한 API 작업을 참조하세요. [알러트](https://docs.panther.com/ko/panther/api/rest/alerts) (REST) 및 [알러트 및 오류](https://docs.panther.com/ko/panther/api/graphql/alerts-and-errors) (GraphQL).

알러트는 알러트가 생성된 후에도 대상에 전달될 수 있으며 [수동 알러트 전송](#manual-alert-dispatch).

### 알러트 조사

설정한 대상에서 알러트를 받으면 이제 조사를 시작할 때입니다. 일반적인 조사 워크플로에는 다음이 포함됩니다:

* 사용하여 [AI 알러트 분류](https://docs.panther.com/ko/ai/panther-ai-and-alerts#panther-ai-alert-triage).
* 사용하여 [검색](https://docs.panther.com/ko/search/search-tool) 으로 침해 지표(IoC)를 조사합니다.
* 사용하여 [데이터 탐색기](https://docs.panther.com/ko/search/data-explorer) 를 사용하여 SQL로 강력하게 검색합니다.
* 다음에서 데이터를 검토합니다. [Panther Console 개요 대시보드](https://docs.panther.com/ko/search/visualization-and-dashboards/panther-managed).

다음을 참조하세요. [조사 및 검색 문서](https://docs.panther.com/ko/search) 에서 Panther의 데이터 분석 도구에 대한 자세한 정보를 확인하세요.

### 알러트 분류 및 관리

알러트를 분류, 할당 및 관리하는 방법에 대한 자세한 내용은 다음 문서 페이지를 참조하세요:

* [알러트 할당 및 관리](https://docs.panther.com/ko/alerts/alert-management)
  * 분류하고, 알러트 요약을 사용하며, 할당, 할당 해제, 알러트 기록 보기 및 알러트에 댓글 추가하기.
  * [디텍션을 빠르게 조정](https://docs.panther.com/ko/detections/rules/inline-filters#add-filters-from-an-alert-event) 알러트에서 바로.
  * 또한 [Slack에서 알러트 관리](https://docs.panther.com/ko/alerts/alert-management/slack) 할 수 있으며 [Slack Bot 알러트 대상](https://docs.panther.com/ko/alerts/destinations/slack-bot).
* [알러트 런북](https://docs.panther.com/ko/alerts/alert-runbooks)
  * 많은 Panther 관리 디텍션의 경우, 알러트를 트리거한 문제를 해결하기 위한 권장 단계를 찾을 수 있습니다.

## 알러트 보기

### Panther Console에서 알러트 목록 보기

1. Panther Console에 로그인합니다.
   * 랜딩 페이지는 [개요 대시보드](https://docs.panther.com/ko/search/visualization-and-dashboards/panther-managed)이며, 여기에서 알러트 지표와 자신에게 할당된 알러트 목록을 볼 수 있습니다. 모든 알러트 목록을 보려면 다음 단계로 진행하세요.
2. 왼쪽 탐색 모음에서 **알러트**.
   * 기본적으로 이 페이지는 알러트를 최신순에서 오래된 순으로 나열하고 다음 항목만 표시합니다. **열림** 및 **분류됨** 알러트.
   * 이 페이지 상단 근처에서 [AI 생성 알러트 목록 분류](https://docs.panther.com/ko/ai/panther-ai-and-alerts#panther-ai-triage-of-alerts-list).
3. 를 볼 수 있습니다. 필요에 따라 목록을 필터링하여 결과를 좁히세요.<br>

   <div align="left"><figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2FsiVtesT6BcWPZLoRAOIs%2FScreenshot%202025-12-11%20at%209.40.16%E2%80%AFAM.png?alt=media&#x26;token=4d49a64e-fb01-41dd-b4b9-b22920e683cd" alt="" width="375"><figcaption></figcaption></figure></div>
4. 목록 상단의 탭을 클릭하여 알러트 유형별로 필터링하세요: **알러트**, **디택션 오류**또는 **시스템 오류**.<br>

   <div align="left"><figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2FzLZiH97zDLnJLYtq37zn%2FScreenshot%202025-12-11%20at%209.41.22%E2%80%AFAM.png?alt=media&#x26;token=42571a01-161a-44a3-b5b8-b68cde3a42db" alt="" width="375"><figcaption></figcaption></figure></div>

### Search에서 알러트 보기

{% hint style="warning" %}
이 기능은 현재 [Databricks 백엔드와 호환되지 않습니다.](https://docs.panther.com/ko/search/backend/databricks)
{% endhint %}

Search에서 알러트를 보려면 [검색](https://docs.panther.com/ko/search/search-tool):

1. 에서 [데이터베이스 필터](https://docs.panther.com/ko/search/search-tool#using-database-table-and-date-range-filters)를 선택하세요. **시그널**.
2. 에서 [테이블 필터](https://docs.panther.com/ko/search/search-tool#using-database-table-and-date-range-filters)를 선택하세요. **알러트**.
3. 원하는 만큼 추가 필터 칩을 만드세요.
4. 클릭하세요. **검색**.

### Panther Console에서 알러트 세부정보 보기

위에서 설명한 대로 알러트 목록을 보는 동안 알러트 제목을 클릭하여 알러트 세부정보 페이지를 봅니다:

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2FwDH5SlKnhtC1Btz32THD%2FScreenshot%202025-12-11%20at%209.46.54%E2%80%AFAM.png?alt=media&#x26;token=e753d237-35fc-45ac-9080-4922e4716298" alt="An alert tile on the alerts list page is shown, with a title reading &#x22;AWS login detected without MFA for x in x account x&#x22;. This title is circled. Below and next to the title are fields like Severity, Assignee and Alert Status."><figcaption></figcaption></figure>

알러트 세부정보 페이지에는 다음이 포함됩니다:

* 기본 정보
  * 여기에는 알러트를 트리거한 디텍션, 관련 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, [MITRE 전술](https://docs.panther.com/ko/detections/report-mapping), 그리고 [알러트 런북](https://docs.panther.com/ko/alerts/alert-runbooks).
* 이 포함됩니다. **Panther AI 분류 시작** 옵션
  * 다음을 참조하세요. [AI 알러트 분류](https://docs.panther.com/ko/ai/panther-ai-and-alerts#panther-ai-alert-triage).
* 이 포함됩니다. **알러트 전송** 옵션
  * 다음을 참조하세요. [수동 알러트 전송](#manual-alert-dispatch).
* 이벤트 일치 목록
  * 각 이벤트에 대해 이벤트 시간, 이벤트 소스, 관련 `p_log_type` 및 `p_source_label`및 IP 정보를 볼 수 있습니다.
* 외부 대화
  * 알러트가 전달된 [Slack Boomerang](https://docs.panther.com/ko/alert-management/slack#send-boomerang), Jira 티켓 또는 Asana 작업에 추가 컨텍스트가 있으면 이 섹션의 링크를 클릭하여 해당 정보를 볼 수 있습니다.
  * 또한 [알러트에 댓글 추가](https://docs.panther.com/ko/alert-management#adding-comments-to-alerts) 를 이 섹션에서 할 수 있습니다.
* 알러트 기록
  * 여기에는 모든 상태 변경 및 댓글 기록이 포함됩니다.
  * 알러트가 구성된 알러트 대상 중 하나로 전달되지 못한 경우, 기록 위에 "알러트 전달 실패" 오류가 표시됩니다.
  * 수동으로 대상에 전달된 알러트도 이 섹션에 표시됩니다. 같은 대상으로 알러트를 여러 번 전달해도 표의 해당 항목의 마지막 전달 시간은 업데이트되지만, 목록에 두 번째 항목으로 나타나지는 않습니다.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-0b8722428147049065ebea96660d14fe0f2e1fd8%2Falert-details-page.png?alt=media" alt=""><figcaption></figcaption></figure>

알러트 세부정보 페이지의 요약 탭은 [알러트 할당 및 관리](https://docs.panther.com/ko/alerts/alert-management).

## 수동 알러트 전송

{% hint style="info" icon="circle-exclamation" %}
수동 전송이 지원됩니다 `pypanther` 알러트.
{% endhint %}

알러트 세부정보 페이지에서 "알러트 전송" 버튼을 사용하면 구성된 대상으로 알러트를 수동으로 전달할 수 있습니다.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2FG8bg0aje10RMVAkfe40D%2F2026-01-16_13-11-37.png?alt=media&#x26;token=e7eb7af0-d64b-4edc-ba26-b3b43eb7ca2c" alt="Alert details page with &#x22;Dispatch Alert&#x22; button highlighted"><figcaption></figcaption></figure>

알러트 대상은 수동 알러트 라우팅을 허용하도록 개별적으로 업데이트해야 합니다. 아직 활성화된 대상이 없으면 **알러트 전송** 을 클릭한 후 대상 페이지로 이동하는 팝업이 표시됩니다.

다음을 참조하세요. [시나리오 4: 수동 알러트 전송](https://docs.panther.com/ko/destinations#scenario-4-manual-alert-dispatch) 에서 수동 전송을 위해 알러트 대상을 활성화하는 단계를 확인하세요.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fg5zpBPOikTmYJ9uKu2rh%2Fimage.png?alt=media&#x26;token=4b412649-d515-4118-8b4e-c81a7030f8f2" alt="Dispatch Alert manual setting not enabled popup" width="375"><figcaption></figcaption></figure>

을 클릭한 후 **알러트 전송**알러트를 전달할 하나 이상의 대상을 선택합니다. **# 대상에 보내기** 를 슬라이드아웃 하단에서 클릭하여 전송하세요. 알러트 활동에서 수동 알러트 전달 기록을 볼 수 있습니다.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2F4mndpPVOZw4ttq93rGkV%2FScreenshot%202026-01-16%20at%201.07.47%E2%80%AFPM.png?alt=media&#x26;token=66b754af-994a-407e-82d3-5cdd076e1160" alt="" width="375"><figcaption></figcaption></figure>

## 참고

### 알러트 타임스탬프

Panther에서 생성된 각 알러트에는 다음 타임스탬프가 추가됩니다:

<table data-header-hidden><thead><tr><th width="353"></th><th></th></tr></thead><tbody><tr><td><code>p_alert_creation_time</code></td><td>이 룰과 이벤트가 처음 일치한 시간</td></tr><tr><td><code>p_event_time</code></td><td>이벤트가 발생했다고 보고한 시간</td></tr><tr><td><code>p_parse_time</code></td><td>Panther가 이벤트를 처리한 시간</td></tr><tr><td><code>p_alert_update_time</code></td><td>이 룰과 이벤트가 마지막으로 일치한 시간(중복 제거의 경우)</td></tr></tbody></table>