> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/alerts/alert-management.md). # 알러트 할당 및 관리 ## 개요 Panther의 알러트 관리 기능을 사용하면 Panther 사용자에게 알러트를 할당하고, 알러트 업데이트의 활동 기록을 확인하고, 리치 텍스트를 지원하는 댓글을 추가하고, [디택션을 빠르게 조정할 수 있으며](#quick-rule-tuning-from-alerts)—모두 Panther 콘솔에서 가능합니다. ## 알러트 분류 ### 알러트 상태 {% hint style="warning" %} 향후 Panther 릴리스에서 `Invalid` 알러트 상태는 더 이상 사용되지 않을 예정입니다. 알러트를 `Invalid`대신, 다음을 설정하는 것이 권장됩니다 [알러트 품질](#alert-quality) 에서 `노이즈` 그리고 적절한 [컨텍스트 태그](#context-tags). 이는 더 세분화된 정보를 제공하고 알러트 분석을 더 잘 지원합니다. {% endhint %} Panther에서 알러트를 분류할 때 다음 상태를 적용할 수 있습니다: * **열기**: 이는 Severity 수준이 Low, Medium, High 또는 Critical인 새 알러트의 기본 상태입니다. * **Invalid**: 오류로 생성되었을 수 있는 노이즈성 알러트를 분류할 때 사용합니다. * **해결됨**: 유효하지만 해결된 알러트를 분류할 때 사용합니다. 이는 Severity 수준이 Info인 알러트의 기본 상태입니다. * **분류됨**: 유효하지만 추가 조사로 인해 아직 해결 중인 알러트를 분류할 때 사용합니다.

기본적으로 **알러트** 페이지의 알러트 목록에는 Open 및 Triaged 알러트만 표시됩니다. 알러트의 상태를 변경해도 [중복 제거 기간](/ko/detections/rules.md#deduplication) 은 연결된 룰 또는 예약 룰에 대해 재설정되지 않습니다. 예를 들어, 알러트가 `해결됨` 중복 제거 기간이 끝나기 전에 표시되고, 알러트를 트리거하는 이벤트가 계속 스트리밍되더라도, 해당 이벤트는 새로운 알러트가 아니라 동일한 `해결됨` 알러트와 연결됩니다. ### 알러트 품질 {% hint style="info" %} 알러트 품질은 Panther 버전 1.118부터 오픈 베타입니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요. {% endhint %} 알러트 품질을 사용하면 의도대로 작동하는 알러트와 조정이 필요한 알러트를 구분할 수 있습니다: * **유용함**: 디택션이 의도대로 작동했으며 이 알러트를 다시 받고 싶을 때 사용합니다. 유효한 보안 탐지 결과에 사용합니다. * **노이즈**: 알러트가 잘못 발생했으며 조정이 필요합니다. 오탐 또는 가치를 제공하지 않는 알러트에 사용합니다.

Alert details page with alert quality highlighted

알러트 품질은 [알러트 상태](#alert-status)와 별개입니다. 알러트는 노이즈로 표시될 수 있지만 상태는 Open 또는 Triaged일 수 있습니다. 알러트 품질을 수정하면 알러트의 **활동** 로그에 기록됩니다:

#### Search에서 특정 품질 값을 가진 알러트 쿼리하기 하려면 [Search에서 알러트를 쿼리](/ko/alerts.md#viewing-alerts-in-search) 하려면 특정 품질 값을 가진: 1. 다음의 [데이터베이스 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters), 다음을 선택합니다: **시그널**. 2. 다음의 [테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters), 다음을 선택합니다: **알러트.** 3. [키/값 필터 표현식을 생성합니다](/ko/search/search-tool.md#key-value-filter-expression) 과 **품질** 필드와 값 **USEFUL** 또는 **NOISE**.

{% hint style="warning" %} Search의 `품질` 필드 값은 대소문자를 구분합니다. {% endhint %} ### 컨텍스트 태그 {% hint style="info" %} 컨텍스트 태그는 Panther 버전 1.118부터 오픈 베타입니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요. {% endhint %} 컨텍스트 태그는 알러트가 발생한 이유에 대한 추가 정보를 제공합니다. Panther가 제공하는 [기본 제공 태그](#built-in-alert-context-tags) 를 사용하거나 [자체 사용자 지정 태그를 만들 수 있습니다](#custom-alert-context-tags). 알러트당 최대 10개의 컨텍스트 태그를 추가할 수 있습니다.

Alert details page with the "context tags" highlighted

알러트의 컨텍스트 태그를 수정하면 알러트의 **활동** 로그에 기록됩니다:

#### 기본 제공 알러트 컨텍스트 태그 다음 태그는 기본 제공입니다:

운영 문제

* 알러트-전송-실패 * 분류-오류 * 구성-오류 * 룰-오류 * 소스-데이터-없음

조사 결과

* 무해함 * 중복 * 결론 없음 * 데이터 부족 * AI로 해결됨

디택션 문제

* 보강 필요 * 오탐 * 임계값이 너무 민감함 * 조정 필요

정상 활동

* 관리자 활동 * 승인된 변경 * 자동화된 프로세스 * 서비스 계정 * 테스트 활동

탐지된 위협

* 계정 탈취 * 자격 증명 유출 * 데이터 유출 * 측면 이동 * 악성 바이너리 * 지속성 메커니즘 * 권한 상승

#### 사용자 지정 알러트 컨텍스트 태그 기본 제공 태그가 [기본 제공 태그](#built-in-alert-context-tags) 충분하지 않을 때 사용자 지정 알러트 컨텍스트 태그를 만들 수 있습니다. 사용자 지정 태그는 다음과 같습니다: * 조직 전체에서 공유됩니다 * 고유해야 합니다(대소문자 구분 없이 일치) * 태그는 자동으로 소문자와 밑줄로 정규화됩니다(예: "My Custom Tag"는 "my\_custom\_tag"가 됨) * 길이는 3\~30자여야 하며, 문자, 숫자, 공백, 대시, 밑줄을 포함할 수 있습니다 사용자 지정 태그를 만드는 방법은 두 가지입니다: {% tabs %} {% tab title="알러트 세부 정보 페이지" %} **알러트 세부 정보 페이지에서 사용자 지정 알러트 컨텍스트 태그 만들기** 1. 알러트 세부 정보 페이지에서 **+**. 2. 만들려는 태그의 이름을 입력합니다. 3. 표시되는 옵션을 클릭하거나 `Enter`.

An arrow is drawn from a plus sign to a field where "Incident Created" is entered.

{% endtab %} {% tab title="설정 페이지" %} **설정 페이지에서 사용자 지정 알러트 컨텍스트 태그 만들기** 1. 톱니바퀴 아이콘(설정) > **알러트 컨텍스트 태그**.

* 다음에서 **알러트 컨텍스트 태그** 페이지에서 기본 제공 태그와 사용자 지정 태그를 볼 수 있으며, 사용자 지정 태그를 삭제하거나 편집할 수도 있습니다.

2. 다음을 클릭합니다: **새 태그**. 3. 다음을 입력하세요 **태그 이름**. 4. 다음을 클릭합니다: **태그 만들기**. {% endtab %} {% endtabs %} #### Search에서 특정 태그가 있는 알러트 쿼리하기 하려면 [Search에서 알러트를 쿼리](/ko/alerts.md#viewing-alerts-in-search) 특정 태그가 있는: 1. 다음의 [데이터베이스 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters), 다음을 선택합니다: **시그널**. 2. 다음의 [테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters), 다음을 선택합니다: **알러트**. 3. [키/값 필터 표현식을 생성합니다](/ko/search/search-tool.md#key-value-filter-expression) 과 **contextTags** 필드와 위에 나열된 컨텍스트 태그 중 하나 이상.

A filter chip reads "contextTags has data-exfiltration"

{% hint style="warning" %} Search의 `contextTag` 필드는 대소문자를 구분합니다. Panther는 컨텍스트 태그를 공백 대신 대시를 사용한 소문자 값으로 저장합니다. {% endhint %} ### Panther에서 알러트 일괄 업데이트하기 알러트 그룹의 상태 또는 담당자를 일괄적으로 업데이트할 수 있습니다. 다음 방법으로 할 수 있습니다 [스크립트 또는 API](https://help.panther.com/articles/5705324653-how-do-i-update-my-panther-alert-statuses-or-assignees-in-bulk)를 통해, 또는 Panther 콘솔에서: * 현재 페이지의 알러트만 선택하려면 **모두 선택**: * 기본적으로 대량 선택기는 현재 페이지에 로드된 모든 항목을 선택합니다.

The Alerts page is displayed, and alerts are listed at the bottom. The "Select All" checkbox near the top of the page is circled.

* 필터링된 모든 결과를 선택하려면(현재 페이지에 로드된 항목을 넘어서는 경우), **이 검색과 일치하는 모든 알러트 선택을 클릭합니다.** * 그러면 필터링된 결과 내의 모든 항목이 선택됩니다.

On the Alerts list page, there is a note reading, "Showing results between 2023-02-01 10:00 GMT-5 - 2023-06-26 10:46 GMT-4" then "75 items on this page are selected. Select all that match this search."

이 옵션을 사용해 대량 작업을 수행하면, 많은 양의 알러트를 분류하는 경우 대량 작업 완료까지 약간의 지연이 있을 수 있습니다. 최종 결과를 보려면 페이지를 새로고침하세요. ### Slack에서 알러트 보기 및 분류하기 만약 [Slack Bot 알러트 대상](/ko/alerts/destinations/slack-bot.md) 가 구성되어 있으면 Slack에서 직접 알러트를 보고 관리할 수 있습니다:

A Slack Bot alert is shown, with an Alert Summary, Runbook, Severity, Status, and buttons to "View in Panther," "Set Assignee" and "Update Status"

자세한 내용은 다음을 참조하세요 [Slack에서 알러트 관리](/ko/alerts/alert-management/slack.md). ## 알러트 요약 사용 방법 알러트 요약은 선택한 요약 속성을 기반으로 알러트 이벤트에서 발견된 가장 일반적인 값을 보여줍니다. 알러트 요약은 다음 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다. `누가` , `무엇을`, `위치` 룰 일치에서 일치하는 이벤트를 분류할 때 떠오르는 질문에 대해 답합니다. 이 기능은 룰이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알러트 요약은 각 이벤트를 수동으로 검토할 필요 없이 모든 일치 이벤트의 개요를 제공합니다. 사용 사례 예시는 [예시](#examples) 이 페이지 하단의 섹션을 참조하세요. {% hint style="info" %} 이 기능은 다음과는 다릅니다 [알러트의 AI 생성 요약](/ko/alerts.md#alert-list-ai-summary) Panther 콘솔에서 제공되는. {% endhint %} ### 디택션에 요약 속성 추가하기 다음을 수행할 때 요약 속성을 정의할 수 있습니다 [룰 또는 예약 룰을 생성할 때](/ko/detections/rules.md#how-to-write-rules):

The Rule Settings creation form has a "Summary Attributes" field in the lower right corner.

룰의 요약 속성을 정의할 때는 알러트의 성격을 한눈에 이해하는 데 도움이 되는 속성을 선택해야 합니다. ### 알러트 요약 보기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **알러트**. 2. 알러트의 제목을 클릭하여 세부 정보 페이지를 봅니다. 3. 다음을 클릭합니다: **요약** 탭.\ ![While viewing a rule, the Summary tab is selected](/files/88898b651169762a06f9d2c51296978663b0806b) 해당 **요약** 탭에는 각 선언된 요약 속성에 대한 상위 5개 속성이 표시됩니다. ### Search로 전환하기 알러트 요약을 보는 동안 알러트 위에 마우스를 올리세요. 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하여 Data Explorer에서 사용할 속성 값을 복사합니다. 다음으로 시작하는 필드의 경우 `p_`, 오른쪽에 "Search" 아이콘도 표시됩니다. "Search" 아이콘을 클릭하여 [검색](/ko/search/search-tool.md) 를 열고 데이터 레이크에서 해당 속성의 모든 적중 결과를 봅니다.

On the right side of an alert summary, there are clickable icons for "Copy" and "Search."

## 알러트를 할당하고 할당 해제하는 방법 다음 권한이 있는 사용자가 `알러트 보기` 권한이 있으면 Panther 사용자에게 알러트를 할당할 수 있습니다. 알러트가 할당되면 해당 사용자는 할당을 알리는 이메일 알림을 받습니다. 이메일에는 Panther 콘솔에서 알러트를 여는 링크가 포함됩니다. ### 알러트 할당하기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **알러트**. * 알러트 목록이 표시됩니다. 2. 목록에 있는 알러트의 오른쪽에서 **담당자** 드롭다운 메뉴를 클릭합니다. * 알러트를 할당할 사용자를 선택합니다.

The Assignee dropdown menu is on the right side of an alert in the Alerts list. It is circled.

Panther 콘솔의 알러트 세부 정보 페이지에서도 알러트를 할당할 수 있습니다. **담당자** 드롭다운 메뉴는 페이지 상단에 있습니다.

The assignee menu appears at the top of the alert details page. It is circled.

### 알러트 할당 해제하기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **알러트**. * 알러트 목록이 표시됩니다. 2. 목록에 있는 알러트의 오른쪽에서 담당자 드롭다운 메뉴를 클릭합니다. `할당 안 됨` 을 드롭다운에서 선택합니다.

The Assignee dropdown menu is expanded and there is an option labeled "Unassigned."

### 한 번에 여러 알러트 할당하기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **알러트**. 2. 여러 개별 알러트 옆의 체크박스를 선택하거나 **모두 선택** 왼쪽 상단의 체크박스를 선택하여 현재 페이지에 로드된 모든 알러트를 선택합니다. * 현재 페이지에 로드된 알러트만 한 번에 할당할 수 있습니다. 추가 알러트가 필터 기준과 일치하고 사용자가 **이 검색과 일치하는 모든 항목 선택**을 선택하면 담당자 드롭다운이 사라집니다. 3. 알러트 목록 상단에서 **담당자** 드롭다운 메뉴를 클릭합니다. 알러트를 할당할 사람을 선택합니다.

In the alerts list, all alerts have been selected. The assignee dropdown menu is open, and it is circled.

## 외부에서 알러트 관리하기 #### Slack Panther의 [Slack Bot 알러트 대상](/ko/alerts/destinations/slack-bot.md) 를 사용하면 Slack Bot Boomerang 및 Threat Intel 기능 사용을 포함하여 Slack에서 직접 알러트를 보고 관리할 수 있습니다. 참조하세요 [Slack에서 알러트 관리](/ko/alerts/alert-management/slack.md) 자세한 내용은 #### Asana Panther의 [Asana 알러트 대상](/ko/alerts/destinations/asana.md) 는 알러트 상태를 동기화하여 해당 Asana 작업의 상태를 업데이트할 수 있습니다. #### Jira Panther의 [Jira 알러트 대상](/ko/alerts/destinations/jira.md) 는 알러트 상태를 동기화하여 해당 Jira 이슈의 상태를 업데이트할 수 있습니다. ## 알러트 활동 기록 보기 1. Panther 콘솔에서 **알러트** 왼쪽 사이드바를 클릭합니다. 2. 알러트를 클릭하여 알러트 세부 정보 페이지를 봅니다. 3. 아래로 스크롤하여 **알러트 기록** 을 열어 모든 상태 변경 및 댓글 기록을 봅니다. 활동은 역순 시간순으로 정렬되므로 가장 최근 변경 사항이 맨 위에 표시됩니다.

An alert's Alert History. The example history shows an event that says "A Panther user updated the status to open."

할당된 알러트의 상태가 변경되면 담당자는 변경 세부 정보와 함께 이메일 알림을 받으며, 이메일에는 Panther 콘솔에서 알러트를 여는 링크가 포함됩니다. ## 알러트에 댓글 추가하기 다음 권한이 있는 사용자는 `알러트 관리` 권한이 있으면 **알러트 세부 정보** 페이지. 또한 알러트 댓글과 상호작용할 수 있습니다 [REST API를 사용하여](/ko/panther/api/rest/alert-comments.md). 댓글 업데이트는 다음 경우에만 가능합니다 [REST API를 사용하여](/ko/panther/api/rest/alert-comments.md#alert-comments-id-1). 댓글 삭제 및 사용자 언급은 지원되지 않습니다. 굵게, 이탤릭체, 목록, 코드 블록, 인용 블록, 하이퍼링크에 대한 텍스트 서식이 지원됩니다. 구문과 서식 결과는 아래에 자세히 설명되어 있습니다. 구문: ```` **굵게** (또는: __굵게__ 또는 텍스트를 강조 표시 + CMD/CTRL+B) *이탤릭체* (또는: _이탤릭체_ 또는 텍스트를 강조 표시 + CMD/CTRL+I) - 글머리 없는 목록 1. 순서 있는 목록 ``` 코드 블록 ``` `단일 줄 코드 블록` > 인용 블록 https://panther.com/URL ```` 위 구문에 따른 서식 결과:

## 알러트에서 빠른 룰 조정 알러트 자체에서 알러트를 트리거한 룰을 다음을 추가해 빠르게 조정할 수 있습니다 [룰 필터](/ko/detections/rules/inline-filters.md). 이는 알러트가 오탐인 경우 특히 유용하며, 향후 유사한 이벤트와 일치하지 않도록 트리거된 디택션을 조정하고 싶을 때 도움이 됩니다. 참고 [알러트 이벤트에서 필터 추가](/ko/detections/rules/inline-filters.md#add-filters-from-an-alert-event) 의 안내를 참고하세요. 알러트에서의 빠른 디택션 조정은 정책이나 예약된 룰이 아니라 룰에 의해 트리거된 알러트에서만 사용할 수 있습니다. ## 예시 ### 알러트 요약 사용 사례 예시 예를 들어, 로드 밸런서에 도달하는 의심스러운 트래픽을 찾기 위한 룰을 작성했다고 합시다. 이 룰은 다음에 대해 실행됩니다`AWS.ALB` 로그입니다. Panther 표준 필드를 선택하면 `p_any_ip_addresses` 그리고 `userAgent`, 그러면 알러트를 볼 때 일치하는 이벤트의 상위 5개 값을 빠르게 확인할 수 있습니다. 이는 알러트 분류 속도를 크게 높일 수 있습니다.

The Panther Console's "Rule Settings" page for a rule is displayed. The ID field contains the text "Sketchy ALB Traffic." The Summary Attributes field contains "p_any_ip_addresses" and "userAgent".

이 예시에서 첫 번째 요약은 `p_any_ip_addreses`. 요약에서 막대 위에 마우스를 올리면 "복사" 및 "검색" 아이콘이 나타납니다. 속성 값을 복사하여 SQL 검색에 사용하거나 빠르게 전환할 수 있습니다 [검색](/ko/search/search-tool.md).

The alert summary for p_any_ip_addresses is displayed. There is a "Copy" button next to the attribute so you can easily paste it into Search.

차트 위의 화살표를 클릭하여 다음 요약으로 이동하고, 오른쪽 상단의 "Attribute" 드롭다운 메뉴를 사용하여 다른 속성을 선택하세요. 룰에 정의된 요약 속성이 없으면, Panther 표준의 모든 `p_any` 대상 로그 유형과 관련된 필드에 대해 요약이 계산됩니다. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/alerts/alert-management.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.