# 알러트 할당 및 관리
## 개요
Panther의 알러트 관리 기능을 사용하면 Panther 사용자에게 알러트를 할당하고, 알러트 업데이트의 활동 기록을 확인하고, 서식 있는 텍스트 지원으로 댓글을 추가하고, [디택션을 빠르게 조정할 수 있으며](#quick-rule-tuning-from-alerts)—이 모든 작업을 Panther Console에서 수행할 수 있습니다.
## 알러트 분류
### 알러트 상태
{% hint style="warning" %}
향후 Panther 릴리스에서 `무효` 알러트 상태는 더 이상 사용되지 않을 예정입니다.
알러트를 `무효`로 표시하는 대신, [알러트 품질](#alert-quality) 에서 `Noise` 로 설정하고 적절한 [컨텍스트 태그](#context-tags)를 추가하는 것이 좋습니다. 이렇게 하면 더 세분화된 정보를 제공하고 알러트 분석을 더 잘 지원할 수 있습니다.
{% endhint %}
Panther에서 알러트를 분류하는 동안 다음 상태를 알러트에 적용할 수 있습니다:
* **열린**: 이는 Severity 수준이 Low, Medium, High, 또는 Critical인 새 알러트의 기본 상태입니다.
* **무효**: 오류로 생성되었을 수 있는 소음성 알러트를 분류할 때 사용합니다.
* **해결됨**: 유효하지만 해결된 알러트를 분류할 때 사용합니다. 이는 Severity 수준이 Info인 알러트의 기본 상태입니다.
* **분류됨**: 유효하지만 추가 조사로 인해 아직 해결 중인 알러트를 분류할 때 사용합니다.
기본적으로 **알러트** 페이지의 알러트 목록에는 Open 및 Triaged 알러트만 표시됩니다.
알러트의 상태를 변경해도 [중복 제거 기간](/ko/detections/rules.md#deduplication) 이 연결된 룰 또는 예약 룰의 기간은 초기화되지 않습니다. 즉, 예를 들어 알러트가 `해결됨` 중복 제거 기간이 완료되기 전에 표시되고 알러트를 트리거하는 이벤트가 계속 유입되면, 해당 이벤트는 새 알러트가 아니라 동일한 `해결됨` 알러트와 연결됩니다.
### 알러트 품질
{% hint style="info" %}
알러트 품질은 Panther 버전 1.118부터 공개 베타입니다. 버그 보고와 기능 요청은 Panther 지원팀에 알려 주세요.
{% endhint %}
알러트 품질을 사용하면 의도한 대로 작동하는 알러트와 조정이 필요한 알러트를 구분할 수 있습니다:
* **유용함**: 디택션이 의도한 대로 작동했으며 이 알러트를 다시 받고 싶을 때 사용합니다. 유효한 보안 발견에 사용합니다.
* **Noise**: 알러트가 잘못 발생했으며 조정이 필요합니다. 오탐지 또는 가치를 제공하지 않는 알러트에 사용합니다.
알러트 품질은 [알러트 상태](#alert-status)와 별개입니다. 알러트는 Noise로 표시될 수 있지만 상태는 여전히 Open 또는 Triaged일 수 있습니다.
알러트의 품질을 수정하면 알러트의 **활동** 로그에 기록됩니다:
#### Search에서 특정 품질 값을 가진 알러트 조회
Search에서 [알러트를 조회하려면](/ko/alerts.md#viewing-alerts-in-search) 특정 품질 값을 가진 경우:
1. 에서 [데이터베이스 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters)를 선택하세요. **신호**.
2. 에서 [테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters)를 선택하세요. **알러트.**
3. [키/값 필터 표현식을 생성합니다](/ko/search/search-tool.md#key-value-filter-expression) 다음 필드와 **Quality** 값 **USEFUL** 또는 **NOISE**.
{% hint style="warning" %}
다음의 값에 유의하세요 `품질` Search의 필드는 대소문자를 구분합니다.
{% endhint %}
### 컨텍스트 태그
{% hint style="info" %}
컨텍스트 태그는 Panther 버전 1.118부터 오픈 베타로 제공됩니다. 버그 보고 및 기능 요청이 있으면 Panther 지원팀에 공유해 주세요.
{% endhint %}
컨텍스트 태그는 왜 알러트가 발생했는지에 대한 추가 정보를 제공합니다. 다음을 사용할 수 있습니다. [기본 제공 태그](#built-in-alert-context-tags) Panther가 제공하는 항목 및/또는 [자신만의 사용자 지정 태그 생성](#custom-alert-context-tags).
알러트당 최대 10개의 컨텍스트 태그를 추가할 수 있습니다.
알러트의 컨텍스트 태그를 수정하면 해당 내용이 알러트의 **활동** 로그에 기록됩니다:
#### 기본 제공 알러트 컨텍스트 태그
다음 태그가 기본 제공됩니다:
운영 문제
* 알러트-전달-실패
* 분류-오류
* 구성-오류
* 룰-오류
* 소스-데이터-없음
조사 결과
* 정상
* 중복
* 결론 없음
* 데이터-부족
* ai로-해결됨
디택션 문제
* 보강-필요
* 오탐
* 임계값-너무-민감함
* 튜닝-필요
정상적인 활동
* 관리자-활동
* 승인된-변경
* 자동화된-프로세스
* 서비스-계정
* 테스트-활동
탐지된 위협
* 계정-탈취
* 자격 증명-손상
* 데이터-유출
* 측면-이동
* 악성-바이너리
* 지속성-메커니즘
* 권한-상승
#### 사용자 지정 알러트 컨텍스트 태그
다음 경우 사용자 지정 알러트 컨텍스트 태그를 생성할 수 있습니다. [기본 제공 태그](#built-in-alert-context-tags) 충분하지 않습니다. 사용자 지정 태그는 다음과 같습니다:
* 조직 전체에서 공유됩니다
* 고유해야 합니다(대소문자 구분 없는 매칭)
* 태그는 자동으로 소문자와 밑줄 형식으로 정규화됩니다(예: "My Custom Tag"는 "my\_custom\_tag"가 됨)
* 길이는 3\~30자여야 하며, 문자, 숫자, 공백, 대시, 밑줄을 포함할 수 있습니다
다음 두 가지 방법으로 사용자 지정 태그를 생성할 수 있습니다:
{% tabs %}
{% tab title="알러트 세부 정보 페이지" %}
**알러트 세부 정보 페이지에서 사용자 지정 알러트 컨텍스트 태그 만들기**
1. 알러트 세부 정보 페이지에서 **+**.
2. 만들고 싶은 태그의 이름을 입력합니다.
3. 표시된 옵션을 클릭하거나 `Enter`.
{% endtab %}
{% tab title="설정 페이지" %}
**설정 페이지에서 사용자 지정 알러트 컨텍스트 태그 만들기**
1. 기어 아이콘(설정) >를 클릭합니다. **알러트 컨텍스트 태그**.
* 에서 **알러트 컨텍스트 태그** 페이지에서 기본 제공 태그와 사용자 지정 태그를 확인할 수 있으며, 사용자 지정 태그를 삭제하거나 편집할 수도 있습니다.
2. 클릭하세요. **새 태그**.
3. 다음을 입력하세요. **태그 이름**.
4. 클릭하세요. **태그 만들기**.
{% endtab %}
{% endtabs %}
#### Search에서 특정 태그가 있는 알러트 조회
Search에서 [알러트를 조회하려면](/ko/alerts.md#viewing-alerts-in-search) 특정 태그가 있는:
1. 에서 [데이터베이스 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters)를 선택하세요. **신호**.
2. 에서 [테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters)를 선택하세요. **알러트**.
3. [키/값 필터 표현식을 생성합니다](/ko/search/search-tool.md#key-value-filter-expression) 다음 필드와 **contextTags** 필드와 위에 나열된 컨텍스트 태그 중 하나 이상.
{% hint style="warning" %}
다음의 값에 유의하세요 `contextTag` 필드는 대소문자를 구분합니다.
Panther는 컨텍스트 태그를 공백 대신 대시를 사용한 소문자 값으로 저장합니다.
{% endhint %}
### Panther에서 알러트 일괄 업데이트
알러트 그룹의 상태 또는 담당자를 일괄적으로 업데이트할 수 있습니다.
다음을 통해 이 작업을 수행할 수 있습니다. [스크립트 또는 API](https://help.panther.com/articles/5705324653-how-do-i-update-my-panther-alert-statuses-or-assignees-in-bulk)또는 Panther Console에서:
* 현재 페이지의 알러트만 선택하려면 **모두 선택**:
* 기본적으로 일괄 선택기는 현재 페이지에 로드된 모든 항목을 선택합니다.
* 현재 페이지에 로드된 항목을 넘어 필터링된 모든 결과를 선택하려면 **이 검색과 일치하는 모든 알러트 선택을 클릭합니다.**
* 그러면 필터링된 결과 전체가 선택됩니다.
이 옵션을 사용해 대량 작업을 수행한 후에는 많은 수의 알러트를 분류하는 경우 대량 작업이 완료되기까지 약간의 지연이 있을 수 있습니다. 대량 작업의 최종 결과를 보려면 페이지를 새로 고치세요.
### Slack에서 알러트 보기 및 분류
만약 [Slack Bot 알러트 대상](/ko/alerts/destinations/slack-bot.md) 이 구성되어 있으면, 알러트를 Slack에서 직접 보고 관리할 수 있습니다:
자세한 내용은 다음을 참조하세요. [Slack에서 알러트 관리](/ko/alerts/alert-management/slack.md).
## 알러트 요약 사용 방법
알러트 요약은 선택한 요약 속성을 기반으로 알러트의 이벤트에서 발견된 가장 일반적인 값을 보여줍니다. 알러트 요약은 다음 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다. `누가` , `무엇을`, `다음 위치에서` 룰 매치에서 일치하는 이벤트를 분류할 때 가지게 되는 질문.
이 기능은 룰이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알러트 요약은 모든 일치 이벤트의 개요를 제공하여 각 이벤트를 수동으로 검토할 필요가 없도록 해줍니다.
예시 사용 사례는 [예제](#examples) 이 페이지 하단의 섹션을 참조하세요.
{% hint style="info" %}
이 기능은 Panther Console의 [AI가 생성한 알러트 요약](/ko/alerts.md#alert-list-ai-summary) 과는 다릅니다.
{% endhint %}
### 탐지에 요약 속성 추가
다음과 같은 경우 요약 속성을 정의할 수 있습니다. [룰 또는 예약된 룰 생성](/ko/detections/rules.md#how-to-write-rules):
룰의 요약 속성을 정의할 때는 한눈에 알러트의 성격을 이해하는 데 도움이 되는 속성을 선택해야 합니다.
### 알러트 요약 보기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
2. 알러트의 제목을 클릭하여 세부 정보 페이지를 봅니다.
3. 다음을 클릭합니다 **요약** 탭.\
The **요약** 탭에는 각 선언된 요약 속성에 대한 상위 5개 속성이 표시됩니다.
### 검색으로 피벗하기
알러트 요약을 보는 동안 알러트 위에 마우스를 올리면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하여 Data Explorer에서 사용할 속성 값을 복사합니다.
로 시작하는 필드의 경우 `p_`오른쪽에 "검색" 아이콘도 표시됩니다. "검색" 아이콘을 클릭하여 [검색](/ko/search/search-tool.md) 를 열고 데이터 레이크에서 해당 속성의 모든 히트를 확인합니다.
## 알러트를 할당하고 할당 해제하는 방법
다음 권한이 있는 사용자는 `알러트 보기` 알러트를 Panther 사용자에게 할당할 수 있습니다. 알러트가 할당되면 사용자는 할당을 알리는 이메일 알림을 받습니다. 이메일에는 Panther Console에서 알러트를 열 수 있는 링크가 포함됩니다.
### 알러트 할당하기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
* 알러트 목록이 표시됩니다.
2. 목록에서 알러트의 오른쪽에 있는 **할당 대상자** 드롭다운 메뉴를 클릭합니다.
* 알러트를 할당할 사용자를 선택합니다.
Panther Console의 알러트 세부 정보 페이지에서도 알러트를 할당할 수 있습니다. **할당 대상자** 드롭다운 메뉴는 페이지 상단에 있습니다.
### 알러트 할당 해제하기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
* 알러트 목록이 표시됩니다.
2. 목록에서 알러트의 오른쪽에 있는 할당 대상자 드롭다운 메뉴를 클릭합니다. 다음을 선택합니다. `할당 해제됨` 을 드롭다운에서 선택합니다.
### 여러 알러트를 한 번에 할당하기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
2. 여러 개의 개별 알러트 옆의 체크박스를 선택하거나 **모두 선택** 왼쪽 상단의 체크박스를 선택하여 현재 페이지에 로드된 모든 알러트를 선택합니다.
* 현재 페이지에 로드된 알러트만 한 번에 할당할 수 있습니다. 추가 알러트가 필터 기준과 일치하고 사용자가 **이 검색과 일치하는 항목 전체 선택**을 선택하면 할당 대상자 드롭다운이 사라집니다.
3. 알러트 목록 상단에서 **할당 대상자** 드롭다운 메뉴를 클릭합니다. 알러트를 할당할 대상을 선택합니다.
## 외부에서 알러트 관리하기
#### Slack
Panther의 [Slack Bot 알러트 대상](/ko/alerts/destinations/slack-bot.md) 을 사용하면 Slack Bot Boomerang 및 Threat Intel 기능을 포함하여 Slack에서 직접 알러트를 보고 관리할 수 있습니다. 다음을 참조하세요. [Slack에서 알러트 관리](/ko/alerts/alert-management/slack.md) 를 참조하세요.
#### Asana
Panther의 [Asana 알러트 대상](/ko/alerts/destinations/asana.md) 은 알러트 상태를 동기화하여 해당 Asana 작업의 상태를 업데이트할 수 있는 기능을 포함합니다.
#### Jira
Panther의 [Jira 알러트 대상](/ko/alerts/destinations/jira.md) 은 알러트 상태를 동기화하여 해당 Jira 이슈의 상태를 업데이트할 수 있는 기능을 포함합니다.
## 알러트 활동 기록 보기
1. Panther Console에서 왼쪽 사이드바의 **알러트** 를 클릭합니다.
2. 알러트를 클릭하여 알러트 세부 정보 페이지를 봅니다.
3. 아래로 스크롤하여 **알러트 기록** 을 클릭하면 모든 상태 변경 및 댓글의 기록을 볼 수 있습니다. 활동은 역시간순으로 정렬되므로 가장 최근 변경 사항이 맨 위에 표시됩니다.
할당된 알러트의 상태가 변경되면 할당 대상자는 변경 세부 정보가 포함된 이메일 알림을 받으며, Panther Console에서 알러트를 열 수 있는 링크도 함께 제공됩니다.
## 알러트에 댓글 추가하기
사용자 중 `알러트 관리` 권한이 있는 사용자는 다음에서 알러트에 리치 텍스트 댓글을 추가할 수 있습니다 **Alerts Details** 페이지. 또한 알러트 댓글과 상호작용할 수도 있습니다 [REST API를 사용하여](/ko/panther/api/rest/alert-comments.md).
댓글 업데이트는 다음 경우에만 가능합니다 [REST API를 사용하여](/ko/panther/api/rest/alert-comments.md#alert-comments-id-1). 댓글 삭제 및 사용자 멘션은 지원되지 않습니다.
텍스트 서식은 굵게, 이탤릭체, 목록, 코드 블록, 인용 블록, 하이퍼링크를 지원합니다. 구문과 서식 출력은 아래에 자세히 설명되어 있습니다.
구문:
````
**굵게** (대안: __굵게__ OR 텍스트 선택 + CMD/CTRL+B)
*이탤릭체* (대안: _이탤릭체_ OR 텍스트 선택 + CMD/CTRL+I)
- 순서 없는 목록
1. 순서 있는 목록
```
코드 블록
```
`한 줄 코드 블록`
> 인용 블록
https://panther.com/URL
````
위 구문에 대한 서식 결과:
## 알러트에서 빠른 룰 조정
알러트 자체에서 알러트를 트리거한 룰을 바로 빠르게 조정할 수 있습니다. 다음을 추가하여 [룰 필터](/ko/detections/rules/inline-filters.md). 이는 특히 알러트가 오탐인 경우 유용하며, 트리거된 디택션을 조정해 향후 유사한 이벤트에서 일치하지 않도록 하고 싶을 때 도움이 됩니다. 방법은 다음을 참조하세요. [알러트 이벤트에서 필터 추가](/ko/detections/rules/inline-filters.md#add-filters-from-an-alert-event) 에 대한 안내를 확인하세요.
알러트에서의 빠른 디택션 조정은 룰에 의해 트리거된 알러트에서만 사용할 수 있으며, 정책이나 예약된 룰에서는 사용할 수 없습니다.
## 예제
### 알러트 요약 사용 사례 예시
예를 들어, 로드 밸런서를 대상으로 하는 의심스러운 트래픽을 찾는 룰을 작성했다고 가정해 보겠습니다. 이 룰은 다음을 대상으로 실행됩니다.`AWS.ALB` 로그. Panther 표준 필드 `p_any_ip_addresses` 및 `userAgent`를 선택하면 알러트를 볼 때 일치하는 이벤트에서 상위 5개 값을 빠르게 확인할 수 있습니다. 이는 알러트 분류 속도를 크게 높일 수 있습니다.
이 예시에서 첫 번째 요약은 `p_any_ip_addreses`입니다. 요약의 막대 위에 마우스를 올리면 "복사" 및 "검색" 아이콘이 나타납니다. 속성 값을 복사하여 SQL 검색에 사용하거나 빠르게 다음으로 전환할 수 있습니다 [검색](/ko/search/search-tool.md).
차트 위의 화살표를 클릭해 다음 요약으로 이동하고, 오른쪽 상단의 "Attribute" 드롭다운 메뉴를 사용해 다른 속성을 선택하세요.
룰에 Summary Attributes가 정의되어 있지 않으면, 요약은 대상 로그 유형과 연결된 모든 Panther 표준 `p_any` 필드에 대해 계산됩니다.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/alerts/alert-management.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.