# 알러트 및 대상

## 개요

알러트는 다음의 경우 생성됩니다: 귀하의 [규칙, 예약된 규칙 또는 정책이](/ko/detections.md) 의심스러운 행동을 감지할 때. 알러트가 트리거되면, 적절한 [알러트 대상](/ko/alerts/destinations.md) 를 사용하여 [알러트 라우팅 시나리오](/ko/alerts/destinations.md#alert-routing-scenarios). Panther Console에서, 귀하는 하나의 [AI가 생성한 알러트 분류](/ko/ai/panther-ai-and-alerts.md#panther-ai-triage-of-alerts-list) 및 사용 [AI 알러트 분류](/ko/ai/panther-ai-and-alerts.md#panther-ai-alert-triage) 알러트에 대한 정보를 수집하고 다음에 무엇을 할지 결정하는 데 도움을 줍니다.

Panther는 세 가지 유형의 알러트를 생성할 수 있습니다:

* **알러트**: 이 분류에는 활성화된 룰 일치, 정책 일치, 예약된 룰 일치가 포함됩니다 [디택션](/ko/detections.md).
* **디택션 오류:** 이들은 잘못된 코드 또는 권한 문제로 인해 생성됩니다. 이런 경우 룰이 오류를 반환하고 룰 실행이 성공적으로 완료되지 않습니다. 여기에는 [룰 오류와 예약된 룰 오류](/ko/detections/rules.md#rule-errors-and-scheduled-rule-errors).
* **시스템 오류:** Panther의 시스템 오류는 Panther 플랫폼의 일부가 제대로 작동하지 않을 때 사용자에게 알러트를 보냅니다. 여기에는 로그 소스 비활성, 로그 분류 실패, 로그 소스 권한 실패, 알러트 전달 실패, 그리고 클라우드 계정 스캔 실패가 포함됩니다.
  * 이러한 오류에 대해 자세히 알아보려면 다음을 참조하세요 [시스템 오류](/ko/system-configuration/notifications/system-errors.md).

또한 Panther의 알러트를 사용하여 상호작용할 수 있습니다 [REST API](/ko/panther/api/rest/alerts.md) 및 [GraphQL API](/ko/panther/api/graphql/alerts-and-errors.md).

## 알러트 사용자 지정

다음을 사용하여 디택션 일치에 대해 받는 알러트의 내용을 사용자 지정할 수 있습니다 [Python 디택션의 알러트 함수](/ko/detections/rules/python.md#alert-functions-in-python-detections) 또는 [YAML 탐지의 알러트 키](/ko/detections/rules/writing-simple-detections.md#dynamic-alert-keys-in-yaml-detections).

이러한 함수는 예를 들어 일치하는 이벤트를 포함할 수 있게 해줍니다(사용 [`알러트_context()`](/ko/detections/rules/python.md#alert_context) 또는 [`AlertContext`](/ko/detections/rules/writing-simple-detections.md#alertcontext)) 또는 이벤트 값을 알러트 제목에 추가할 수 있습니다(사용 [`title()`](/ko/detections/rules/python.md#title) 또는 [`AlertTitle`](/ko/detections/rules/writing-simple-detections.md#alerttitle)).

## 알러트 제한

알러트 제한기 기능은 (아마도) 잘못 구성된 탐지로 인해 발생하는 "알러트 폭주"로부터 보호하기 위한 것입니다.

단일 디택션이 한 시간 내에 1,000개의 알러트를 생성하면, 해당 `Create알러트` 필드(또는 **Create 알러트** 콘솔의 토글)은 다음으로 설정되어 있습니다 `False` (또는 `OFF` 콘솔에서), 이로 인해 디택션이 추가 알러트를 생성하지 않습니다. (디택션은 계속해서 [시그널](/ko/detections/signals.md) on matches.) 이 경우, [시스템 오류](/ko/system-configuration/notifications/system-errors.md) 알러트 및 변경 사항을 알려주는 알림을 받게 됩니다.

다음의 값을 설정할 수 있습니다. `Create알러트`/**Create 알러트** 값을 다시 `True`/`ON` 준비가 되었을 때—아마도 어느 정도 디택션 튜닝을 한 후에.

이 알러트 한도를 1,000보다 낮게 설정하려면 Panther 지원 팀에 문의해 주세요.

## 여러 이벤트가 포함된 알러트

디택션에 [중복 제거 기간 및 중복 제거 문자열이](/ko/detections/rules.md#deduplication-of-alerts)설정되어 있다면, 동일한 중복 제거 문자열을 공유하는 디택션 일치 모든 이벤트는 중복 제거 기간 동안 생성된 첫 번째 알러트에 추가됩니다. 이로 인해 하나의 알러트에 둘 이상의 이벤트가 연결될 수 있습니다.

디택션에서 동적으로 생성된 모든 알러트 정보( [Python 디택션의 알러트 함수](https://docs.panther.com/detections/rules/python#alert-functions-in-python-detections) 또는 [Simple Detections의 동적 알러트 키를 통해](https://docs.panther.com/detections/rules/writing-simple-detections#dynamic-alert-keys-in-simple-detections))는 첫 번째로 일치한 이벤트의 출력으로 생성됩니다.  *추가* 된 이벤트의 알러트 함수/키 출력은 알러트를 변경하지 않습니다.

예를 들어, 디택션이 [`severity()`](/ko/detections/rules/python.md#severity) 를 사용하여 이벤트 속성을 기반으로 알러트 심각도를 동적으로 설정하고 첫 번째로 일치한 이벤트가 `LOW` 심각도를 지시하면, 알러트 심각도는 `LOW` 무기한 `severity()` —나중에 알러트에 연결된 이벤트가 같은 `HIGH` 심각도를 지시하더라도 마찬가지입니다.

## 알러트 작업

### 알러트 수신

Panther Console 외부에서 알러트를 수신하려면 알러트 대상( destination )을 설정하고, 해당 대상이 [알러트 라우팅 시나리오](/ko/alerts/destinations.md#alert-routing-scenarios).

알러트를 수신하도록 구성되어 있는지 확인하세요. 알러트를 수신하는 방법을 결정할 때는 다음 옵션을 고려하세요:

* **기본 지원 대상**: Panther는 Slack, Jira, Amazon SNS와 같은 여러 알러트 대상을 기본적으로 지원합니다. 지원되는 전체 대상 목록은 [알러트 대상 문서](/ko/alerts/destinations.md) 를 참조하세요.
* **사용자 지정 Webhook**: 기본적으로 지원되지 않지만 API가 있는 대상로 알러트를 라우팅하려면 사용자 지정 Webhook 옵션을 사용하여 알러트 알림을 보낼 수 있습니다— [사용자 지정 Webhook 문서](/ko/alerts/destinations/custom_webhook.md) 에서 구성 방법을 확인하세요.
* **Panther API**: 기본적으로 지원되지 않고 API도 없는 대상에서 Panther 알러트를 수신하려면, [Panther API](/ko/panther/api.md) 를 주기적으로 폴링하여 일정에 맞게 알러트를 수신할 수 있습니다.  [알러트](/ko/panther/api/rest/alerts.md) 에서 알러트를 가져오고 조작하기 위한 사용 가능한 API 작업을 확인하세요. [(REST) 및](/ko/panther/api/graphql/alerts-and-errors.md) 알러트 및 오류

(GraphQL). 알러트는 알러트가 생성된 후에도 [수동 알러트 전송](#manual-alert-dispatch).

### 알러트 조사

설정한 대상으로 알러트를 수신하면 조사를 시작할 시간입니다. 일반적인 조사 워크플로에는 다음이 포함됩니다:

* 사용 [AI 알러트 분류](/ko/ai/panther-ai-and-alerts.md#panther-ai-alert-triage).
* 사용 [검색](/ko/search/search-tool.md) 침해 지표(IoC)를 조사합니다.
* 사용 [데이터 탐색기](/ko/search/data-explorer.md) SQL을 사용하여 강력하게 검색합니다.
* 에서 데이터를 검토하기 [Panther Console 개요 대시보드](/ko/search/visualization-and-dashboards/panther-managed.md).

다음을 참조하세요. [조사 및 검색 문서](/ko/search.md) Panther의 데이터 분석 도구에 대한 자세한 내용은.

### 알러트 분류 및 관리

알러트 분류, 할당 및 관리에 대한 자세한 내용은 다음 문서 페이지를 참조하세요.

* [알러트 할당 및 관리](/ko/alerts/alert-management.md)
  * 분류하고, 알러트 요약을 사용하고, 알러트를 할당, 할당 해제하고, 알러트 기록을 보고, 알러트에 댓글을 추가합니다.
  * [디택션을 빠르게 조정](/ko/detections/rules/inline-filters.md#add-filters-from-an-alert-event) 알러트에서 직접.
  * 다음도 할 수 있습니다. [Slack에서 알러트 관리](/ko/alerts/alert-management/slack.md) 다음을 사용할 때 [Slack Bot 알러트 대상](/ko/alerts/destinations/slack-bot.md).
* [알러트 실행 가이드](/ko/alerts/alert-runbooks.md)
  * 많은 Panther 관리 디택션의 경우, 알러트를 유발한 문제를 해결하기 위한 권장 단계를 확인할 수 있습니다.

## 알러트 보기

### Panther Console에서 알러트 목록 보기

1. Panther Console에 로그인하세요.
   * 랜딩 페이지는 [개요 대시보드](/ko/search/visualization-and-dashboards/panther-managed.md)이며, 여기에서 알러트 지표와 사용자에게 할당된 알러트 목록을 볼 수 있습니다. 모든 알러트 목록을 보려면 다음 단계로 진행하세요.
2. 왼쪽 탐색 모음에서 다음을 클릭하세요. **알러트**.
   * 기본적으로 이 페이지는 최신 알러트부터 가장 오래된 알러트 순으로 나열하며, 다음만 표시합니다. **열린** 및 **분류됨** 알러트.
   * 이 페이지 상단 근처에서 다음을 볼 수 있습니다. [AI 생성 알러트 목록 분류](/ko/ai/panther-ai-and-alerts.md#panther-ai-triage-of-alerts-list).
3. 필요에 따라 목록을 필터링하여 결과 범위를 좁히세요.<br>

   <div align="left"><figure><img src="/files/7cb59fed8c60c5b70f6088270dd6bd86dac1d184" alt="" width="375"><figcaption></figcaption></figure></div>
4. 알러트 유형별로 필터링하려면 목록 상단의 탭을 클릭하세요. **알러트**, **디택션 오류**또는 **시스템 오류**.<br>

   <div align="left"><figure><img src="/files/3f7a92d7bccdf23f86a6b8cc0366717cab1f7c46" alt="" width="375"><figcaption></figcaption></figure></div>

### Search에서 알러트 보기

{% hint style="warning" %}
이 기능은 현재 다음과 호환되지 않습니다. [Databricks 백엔드.](/ko/search/backend/databricks.md)
{% endhint %}

에서 알러트를 보려면 [검색](/ko/search/search-tool.md):

1. 에서 [데이터베이스 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters)를 선택하세요. **신호**.
2. 에서 [테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters)를 선택하세요. **알러트**.
3. 원하는 만큼 추가 필터 칩을 만드세요.
4. 클릭하세요. **검색**.

### Panther Console에서 알러트 세부정보 보기

위에서 설명한 대로 알러트 목록을 보는 동안, 알러트 제목을 클릭하여 알러트 세부 정보 페이지를 확인합니다:

<figure><img src="/files/cd8b0c31d50edc13b4e6ed7079f84f60cb5a6ce2" alt="An alert tile on the alerts list page is shown, with a title reading &#x22;AWS login detected without MFA for x in x account x&#x22;. This title is circled. Below and next to the title are fields like Severity, Assignee and Alert Status."><figcaption></figcaption></figure>

알러트 세부 정보 페이지에는 다음이 포함됩니다:

* 기본 정보
  * 여기에는 알러트를 트리거한 디택션, 관련 로그 유형, 담당자, 알러트 상태, 알러트 품질, 컨텍스트 태그, [MITRE 전술](/ko/detections/report-mapping.md), 그리고 [알러트 런북](/ko/alerts/alert-runbooks.md).
* A **Panther AI Triage 시작** 옵션
  * 보기 [AI 알러트 분류](/ko/ai/panther-ai-and-alerts.md#panther-ai-alert-triage).
* A **디스패치 알러트** 옵션
  * 보기 [수동 알러트 전송](#manual-alert-dispatch).
* 이벤트 일치 목록
  * 각 이벤트에 대해 이벤트 시간, 이벤트 소스, 관련된 `p_log_type` 및 `p_source_label`과 IP 정보를 볼 수 있습니다.
* 외부 대화
  * 에 추가적인 컨텍스트가 있다면 [Slack Boomerang](/ko/alerts/alert-management/slack.md#send-boomerang)알러트가 전달된 Jira 티켓 또는 Asana 작업에서 이 섹션의 링크를 클릭하여 해당 정보를 볼 수 있습니다.
  * 다음도 할 수 있습니다. [알러트에 댓글 추가](/ko/alerts/alert-management.md#adding-comments-to-alerts) 이 섹션에서.
* 알러트 기록
  * 여기에는 모든 상태 변경과 댓글의 기록이 포함됩니다.
  * 알러트가 구성된 알러트 대상 중 하나로 전달되지 못한 경우, 기록 위에 "알러트 전달 실패" 오류가 표시됩니다.
  * 대상으로 수동 전달된 알러트도 이 섹션에 표시됩니다. 같은 대상으로 알러트를 여러 번 전달하면 표의 항목에 대한 마지막 전달 시간이 업데이트되지만, 목록에서 두 번째 항목으로 표시되지는 않습니다.

<figure><img src="/files/602a33fd29504f2162cc2a800843e82c03665679" alt=""><figcaption></figcaption></figure>

알러트 세부 정보 페이지의 요약 탭은 다음에 설명되어 있습니다. [알러트 할당 및 관리](/ko/alerts/alert-management.md).

## 수동 알러트 발송

{% hint style="info" icon="circle-exclamation" %}
수동 알러트 발송은 다음에 대해 지원됩니다 `pypanther` 알러트.
{% endhint %}

알러트 세부 정보 페이지에서 "알러트 전달" 버튼을 사용하면 구성된 대상에게 알러트를 수동으로 전달할 수 있습니다.

<figure><img src="/files/2f95977519cf28f77c07c258b5bce8ca23457a54" alt="Alert details page with &#x22;Dispatch Alert&#x22; button highlighted"><figcaption></figcaption></figure>

대상별로 수동 알러트 라우팅을 허용하도록 개별적으로 업데이트해야 합니다. 아직 활성화된 대상이 하나도 없다면, 클릭 후 팝업이 표시됩니다. **디스패치 알러트** 그러면 대상 페이지로 이동합니다.

보기 [시나리오 4: 수동 알러트 전달](/ko/alerts/destinations.md#scenario-4-manual-alert-dispatch) 수동 전달을 위해 알러트 대상을 활성화하는 단계는 다음을 참조하세요.

<figure><img src="/files/3ef8edda9ac49b634eca4b0dc07fd114b70306ca" alt="Dispatch Alert manual setting not enabled popup" width="375"><figcaption></figcaption></figure>

클릭한 후 **디스패치 알러트**, 하나 이상의 대상을 선택하여 알러트를 전달합니다. 다음을 클릭하세요. **#개 대상에게 보내기** 슬라이드아웃 하단에서 전송합니다. 알러트 활동에서 수동 알러트 전달 기록을 확인할 수 있습니다.

<figure><img src="/files/12312e84ccf6ddc7442eba13457434dca5933115" alt="" width="375"><figcaption></figcaption></figure>

## 참조

### 알러트 타임스탬프

Panther에서 생성된 각 알러트에는 다음 타임스탬프가 추가됩니다:

<table data-header-hidden><thead><tr><th width="353"></th><th></th></tr></thead><tbody><tr><td><code>p_알러트_creation_time</code></td><td>이 룰과 일치한 이벤트의 최초 시간</td></tr><tr><td><code>p_event_time</code></td><td>이벤트가 발생했다고 자체 보고한 시간</td></tr><tr><td><code>p_parse_time</code></td><td>이벤트가 Panther에 의해 처리된 시간</td></tr><tr><td><code>p_알러트_update_time</code></td><td>이 룰과 일치하는 이벤트가 마지막으로 발생한 시점(중복 제거의 경우)</td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/alerts.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.