> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/alerts.md). # 알러트 및 대상 ## 개요 알러트는 생성됩니다 [규칙, 예약된 규칙 또는 정책](/ko/detections.md) 의심스러운 행위를 탐지합니다. 알러트가 트리거되면 적절한 [알러트 대상(들)](/ko/alerts/destinations.md) 다음을 사용하여 [알러트 라우팅 시나리오](/ko/alerts/destinations.md#alert-routing-scenarios). Panther 콘솔에서 하나의 [당신의 알러트에 대한 AI 생성 분류](/ko/ai/using-panther-ai/panther-ai-and-alerts.md#panther-ai-triage-of-alerts-list) 하고 다음을 사용하세요 [AI 알러트 분류](/ko/ai/using-panther-ai/panther-ai-and-alerts.md#panther-ai-alert-triage) 알러트에 대한 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 주기 위해. Panther는 세 가지 유형의 알러트를 생성할 수 있습니다: * **알러트**: 이 분류에는 활성화된 룰 일치, 정책 일치, 그리고 예약된 룰 일치가 포함됩니다 [디택션](/ko/detections.md). * **디택션 오류:** 이것들은 잘못된 코드 또는 권한 문제로 인해 생성됩니다. 이러한 경우, 룰은 오류를 반환하며 룰은 실행을 성공적으로 완료하지 못합니다. 여기에는 [룰 오류 및 예약된 룰 오류](/ko/detections/rules.md#rule-errors-and-scheduled-rule-errors). * **시스템 오류:** Panther의 시스템 오류는 Panther 플랫폼의 일부가 제대로 작동하지 않을 때 사용자에게 알러트를 보냅니다. 여기에는 로그 소스 비활성, 로그 분류 실패, 로그 소스 권한 실패, 알러트 전달 실패, 그리고 클라우드 계정 스캔 실패가 포함됩니다. * 이러한 오류에 대해 자세히 알아보려면 다음을 참조하세요 [시스템 오류](/ko/system-configuration/notifications/system-errors.md). 또한 Panther를 사용하여 알러트와 상호 작용할 수도 있습니다 [REST API](/ko/panther/api/rest/alerts.md) 그리고 [GraphQL API](/ko/panther/api/graphql/alerts-and-errors.md). ## 알러트 사용자 지정 디택션 일치 항목에 대해 수신하는 알러트의 내용을 다음을 사용하여 사용자 지정할 수 있습니다 [Python 탐지의 알러트 함수](/ko/detections/rules/python.md#alert-functions-in-python-detections) 또는 [YAML 디택션의 알러트 키](/ko/detections/rules/writing-simple-detections.md#dynamic-alert-keys-in-yaml-detections). 이러한 함수를 사용하면, 예를 들어, 일치하는 이벤트를 포함할 수 있습니다(다음을 사용하여 [`알러트_context()`](/ko/detections/rules/python.md#alert_context) 또는 [`알러트Context`](/ko/detections/rules/writing-simple-detections.md#alertcontext)) 또는 이벤트 값을 알러트 제목에 추가할 수 있습니다(다음을 사용하여 [`title()`](/ko/detections/rules/python.md#title) 또는 [`알러트Title`](/ko/detections/rules/writing-simple-detections.md#alerttitle)). ## 알러트 제한 알러트 제한기 기능은 (아마도) 잘못 구성된 디택션으로 인해 발생하는 "알러트 폭주"로부터 보호하기 위한 것입니다. 하나의 디택션이 1시간 내에 1,000개의 알러트를 생성하면, 해당 `Create알러트` 필드 (또는 **알러트 생성** Console의 토글)이 다음으로 설정되어 `거짓` (또는 `끔` Console에서), 이는 디택션이 추가 알러트를 생성하지 못하게 합니다. (디택션은 계속해서 [신호](/ko/detections/signals.md) 일치 시.) 이 경우, 다음을 받게 됩니다: [시스템 오류](/ko/system-configuration/notifications/system-errors.md) 변경 사항을 알려주는 알림 및 알러트를 받게 됩니다. 다음을 설정할 수 있습니다 `Create알러트`/**알러트 생성** 값을 다시 `True`/`켬` 로 되돌릴 수 있습니다—아마도 몇 차례의 디택션 조정 후에. 이 알러트 한도를 1,000보다 낮게 설정하고 싶으시면 Panther 지원팀에 문의해 주세요. ## 여러 이벤트가 있는 알러트 디택션이 [중복 제거 기간과 중복 제거 문자열을 설정한 경우](/ko/detections/rules.md#deduplication-of-alerts), 디택션과 일치하며 동일한 중복 제거 문자열을 공유하는 모든 이벤트는 중복 제거 기간 동안 처음 생성된 알러트에 추가됩니다. 이로 인해 하나 이상의 이벤트가 연결된 알러트가 생성될 수 있습니다. 디택션에서 동적으로 생성된 모든 알러트 정보는(에 의해 [Python 탐지의 알러트 함수](https://docs.panther.com/detections/rules/python#alert-functions-in-python-detections) 또는 [Simple Detections의 동적 알러트 키](https://docs.panther.com/detections/rules/writing-simple-detections#dynamic-alert-keys-in-simple-detections)) 첫 번째로 일치한 이벤트의 출력에 의해 생성됩니다. 다음의 알러트 함수/키 출력은 *추가* 알러트에 연결된 이벤트는 알러트를 변경하지 않습니다. 예를 들어, 디택션이 사용 [`severity()`](/ko/detections/rules/python.md#severity) 하여 이벤트 속성을 기반으로 알러트 심각도를 동적으로 설정하고, 첫 번째로 일치하는 이벤트가 `낮음` 심각도를 지정하면, 알러트 심각도는 `낮음` 무기한으로 설정됩니다—나중에 알러트와 연관된 이벤트가 동일한 `severity()` 함수를 거치더라도, 이는 `HIGH` 심각도를 지정하게 됩니다. ## 알러트를 다루기 ### 알러트 받기 Panther Console 외부에서 알러트를 받으려면, 알러트 목적지를 설정하고 해당 목적지가 다음을 기반으로 알러트를 수신하도록 구성되어 있는지 확인하세요 [알러트 라우팅 시나리오](/ko/alerts/destinations.md#alert-routing-scenarios). 알러트를 받는 방법을 결정할 때는 다음 옵션을 고려하세요: * **기본 지원 목적지**: Panther는 Slack, Jira, Amazon SNS와 같이 여러 알러트 목적지를 기본으로 지원합니다. 다음을 참조하세요 [알러트 목적지 문서](/ko/alerts/destinations.md) 에서 지원되는 목적지의 전체 목록을 확인하세요. * **Custom Webhook**: 기본적으로 지원되지는 않지만 API가 있는 목적지로 알러트를 라우팅하려면, Custom Webhook 옵션을 사용하여 알러트 알림을 보낼 수 있습니다—다음을 참조하세요 [Custom Webhook 문서](/ko/alerts/destinations/custom_webhook.md) 에서 구성 지침을 확인하세요. * **Panther API**: 기본적으로 지원되지 않고 API도 없는 목적지에서 Panther 알러트를 받으려면, 다음을 폴링하여 알러트를 받을 수 있습니다 [Panther API](/ko/panther/api.md) 정해진 일정에 따라 알러트를 폴링할 수 있습니다. 알러트를 가져오고 조작하기 위한 사용 가능한 API 작업은 [알러트](/ko/panther/api/rest/alerts.md) (REST) 및 [알러트 & 오류](/ko/panther/api/graphql/alerts-and-errors.md) (GraphQL). 알러트는 알러트가 생성된 후에도 다음을 사용하여 목적지로 전달될 수 있습니다 [수동 알러트 전송](#manual-alert-dispatch). ### 알러트 조사하기 구성한 목적지로 알러트를 받으면, 이제 조사할 때입니다. 일반적인 조사 워크플로에는 다음이 포함됩니다: * 사용 시 [AI 알러트 분류](/ko/ai/using-panther-ai/panther-ai-and-alerts.md#panther-ai-alert-triage). * 사용 시 [검색](/ko/search/search-tool.md) 침해 지표(IoC)를 조사하는 데. * 사용 시 [Data Explorer](/ko/search/data-explorer.md) SQL을 사용하여 강력하게 검색하는 데. * 다음의 데이터를 검토하는 것: [Panther Console 개요 대시보드](/ko/search/visualization-and-dashboards/panther-managed.md). 다음을 참조하세요 [조사 및 검색 문서](/ko/search.md) 에서 Panther의 데이터 분석 도구에 대해 자세히 알아보세요. ### 알러트 분류 및 관리 알러트를 분류하고, 할당하고, 관리하는 방법에 대한 자세한 내용은 다음 문서 페이지를 참조하세요: * [알러트 할당 및 관리](/ko/alerts/alert-management.md) * 알러트를 분류하고, 알러트 요약을 사용하고, 할당/할당 해제하고, 알러트 기록을 보고, 알러트에 댓글을 추가합니다. * [디택션을 신속하게 조정](/ko/detections/rules/inline-filters.md#add-filters-from-an-alert-event) 알러트에서 직접. * 또한 [Slack에서 알러트를 관리](/ko/alerts/alert-management/slack.md) 을 사용할 때 [Slack Bot 알러트 목적지](/ko/alerts/destinations/slack-bot.md). * [알러트 런북](/ko/alerts/alert-runbooks.md) * 많은 Panther 관리 디택션의 경우, 알러트를 유발한 문제를 수정하기 위한 권장 단계를 찾을 수 있습니다. ## 알러트 보기 ### Panther Console에서 알러트 목록 보기 1. Panther Console에 로그인하세요. * 랜딩 페이지는 [개요 대시보드](/ko/search/visualization-and-dashboards/panther-managed.md)이며, 여기서 알러트 지표와 할당된 알러트 목록을 볼 수 있습니다. 다음 단계로 계속하여 모든 알러트 목록을 보세요. 2. 왼쪽 탐색 막대에서 다음을 클릭하세요 **알러트**. * 기본적으로 이 페이지는 최신 알러트부터 오래된 알러트 순으로 나열하며, **열기** 그리고 **분류됨** 알러트만 표시합니다. * 이 페이지 상단 근처에서 다음을 볼 수 있습니다 [AI가 생성한 알러트 목록 분류](/ko/ai/using-panther-ai/panther-ai-and-alerts.md#panther-ai-triage-of-alerts-list). 3. 결과를 좁히기 위해 필요에 따라 목록을 필터링하세요.
4. 알러트 유형별로 필터링하려면 목록 상단의 탭을 클릭하세요: **알러트**, **디택션 오류**, 또는 **시스템 오류**.
### Search에서 알러트 보기 {% hint style="warning" %} 이 기능은 현재 다음과 호환되지 않습니다 [Databricks 백엔드.](/ko/search/backend/databricks.md) {% endhint %} 다음에서 알러트를 보려면 [검색](/ko/search/search-tool.md): 1. 다음의 [데이터베이스 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters), 다음을 선택합니다: **시그널**. 2. 다음의 [테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters), 다음을 선택합니다: **알러트**. 3. 원하는 대로 추가 필터 칩을 만드세요. 4. 다음을 클릭합니다: **검색**. ### Panther Console에서 알러트 세부 정보 보기 위에서 설명한 대로 알러트 목록을 보는 동안 알러트 제목을 클릭하여 알러트 세부 정보 페이지를 봅니다:
An alert tile on the alerts list page is shown, with a title reading "AWS login detected without MFA for x in x account x". This title is circled. Below and next to the title are fields like Severity, Assignee and Alert Status.
알러트 세부 정보 페이지에는 다음이 포함됩니다: * 기본 정보 * 여기에는 알러트를 트리거한 디택션, 관련 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, 그리고 [MITRE 전술](/ko/detections/report-mapping.md), 그리고 [알러트 런북](/ko/alerts/alert-runbooks.md). * A **Panther AI 트리아주 시작** 옵션 * 참조 [AI 알러트 분류](/ko/ai/using-panther-ai/panther-ai-and-alerts.md#panther-ai-alert-triage). * A **알러트 전달** 옵션 * 참조 [수동 알러트 전송](#manual-alert-dispatch). * 이벤트 일치 항목 목록 * 각 이벤트마다 이벤트 시간, 이벤트 소스, 관련된 `p_log_type` 그리고 `p_source_label`, 그리고 IP 정보를. * 외부 대화 * 추가적인 문맥이 있는 [Slack Boomerang](/ko/alerts/alert-management/slack.md#send-boomerang), Jira 티켓 또는 알러트가 전달된 Asana 작업에서 이 섹션의 링크를 클릭하여 해당 정보를 볼 수 있습니다. * 또한 [알러트에 댓글 추가](/ko/alerts/alert-management.md#adding-comments-to-alerts) 이 섹션에서. * 알러트 기록 * 여기에는 모든 상태 변경과 댓글의 기록이 포함됩니다. * 구성된 알러트 대상 중 하나로 알러트를 전송하는 데 실패하면, 기록 위에 "알러트 전송 실패" 오류가 표시됩니다. * 대상으로 수동 전송된 알러트도 이 섹션에 표시됩니다. 같은 대상으로 알러트를 여러 번 전송하면 표의 항목에 있는 마지막 전송 시간이 업데이트되지만, 목록에는 두 번째 항목으로 표시되지 않습니다.
알러트 세부 정보 페이지의 요약 탭은 다음에서 설명합니다 [알러트 할당 및 관리](/ko/alerts/alert-management.md). ## 수동 알러트 전송 알러트 세부 정보 페이지에서 "알러트 전송" 버튼을 사용하면 구성된 대상으로 알러트를 수동으로 전송할 수 있습니다.
Alert details page with "Dispatch Alert" button highlighted
수동 알러트 라우팅을 허용하려면 알러트 대상별로 개별적으로 업데이트해야 합니다. 아직 활성화된 대상이 없으면, 클릭한 후 팝업이 표시됩니다 **알러트 전달** 그러면 대상 페이지로 이동합니다. 참조 [시나리오 4: 수동 알러트 전송](/ko/alerts/destinations.md#scenario-4-manual-alert-dispatch) 수동 전송을 위해 알러트 대상을 활성화하는 단계는
Dispatch Alert manual setting not enabled popup
클릭한 후 **알러트 전달**, 알러트를 전달할 하나 이상의 대상을 선택합니다. 클릭 **#개 대상에게 보내기** 전송하려면 슬라이드아웃 하단의 버튼을 클릭합니다. 수동 알러트 전송 기록은 알러트 활동에서 확인할 수 있습니다.
## 참조 ### 알러트 타임스탬프 Panther에서 생성된 각 알러트에는 다음 타임스탬프가 추가됩니다:
p_알러트_creation_time이벤트가 이 룰과 처음 일치한 시점
p_event_time이벤트가 발생했다고 자체적으로 보고한 시간
p_parse_time이벤트가 Panther에서 처리된 시간
p_알러트_update_time중복 제거의 경우, 이벤트가 이 룰과 마지막으로 일치한 시간
--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/alerts.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.