# 알러트 지정 및 관리
## 개요
Panther의 알러트 관리 기능을 사용하면 Panther 사용자에게 알러트를 할당하고, 알러트 업데이트의 활동 기록을 확인하고, 서식 있는 텍스트 지원으로 댓글을 추가하고, [디택션을 빠르게 조정할 수 있으며](#quick-rule-tuning-from-alerts)—이 모든 작업을 Panther Console에서 수행할 수 있습니다.
## 알러트 분류
### 알러트 상태
{% hint style="warning" %}
향후 Panther 릴리스에서 `무효` 알러트 상태는 더 이상 사용되지 않을 예정입니다.
알러트를 `무효`로 표시하는 대신, [알러트 품질](#alert-quality) 에서 `Noise` 로 설정하고 적절한 [컨텍스트 태그](#context-tags)를 추가하는 것이 좋습니다. 이렇게 하면 더 세분화된 정보를 제공하고 알러트 분석을 더 잘 지원할 수 있습니다.
{% endhint %}
Panther에서 알러트를 분류하는 동안 다음 상태를 알러트에 적용할 수 있습니다:
* **열린**: 이는 Severity 수준이 Low, Medium, High, 또는 Critical인 새 알러트의 기본 상태입니다.
* **무효**: 오류로 생성되었을 수 있는 소음성 알러트를 분류할 때 사용합니다.
* **해결됨**: 유효하지만 해결된 알러트를 분류할 때 사용합니다. 이는 Severity 수준이 Info인 알러트의 기본 상태입니다.
* **분류됨**: 유효하지만 추가 조사로 인해 아직 해결 중인 알러트를 분류할 때 사용합니다.
기본적으로 **알러트** 페이지의 알러트 목록에는 Open 및 Triaged 알러트만 표시됩니다.
알러트의 상태를 변경해도 [중복 제거 기간](https://docs.panther.com/ko/detections/rules#deduplication) 이 연결된 룰 또는 예약 룰의 기간은 초기화되지 않습니다. 즉, 예를 들어 알러트가 `해결됨` 중복 제거 기간이 완료되기 전에 표시되고 알러트를 트리거하는 이벤트가 계속 유입되면, 해당 이벤트는 새 알러트가 아니라 동일한 `해결됨` 알러트와 연결됩니다.
### 알러트 품질
{% hint style="info" %}
알러트 품질은 Panther 버전 1.118부터 공개 베타입니다. 버그 보고와 기능 요청은 Panther 지원팀에 알려 주세요.
{% endhint %}
알러트 품질을 사용하면 의도한 대로 작동하는 알러트와 조정이 필요한 알러트를 구분할 수 있습니다:
* **유용함**: 디택션이 의도한 대로 작동했으며 이 알러트를 다시 받고 싶을 때 사용합니다. 유효한 보안 발견에 사용합니다.
* **Noise**: 알러트가 잘못 발생했으며 조정이 필요합니다. 오탐지 또는 가치를 제공하지 않는 알러트에 사용합니다.
알러트 품질은 [알러트 상태](#alert-status)와 별개입니다. 알러트는 Noise로 표시될 수 있지만 상태는 여전히 Open 또는 Triaged일 수 있습니다.
알러트의 품질을 수정하면 알러트의 **활동** 로그에 기록됩니다:
#### Search에서 특정 품질 값을 가진 알러트 조회
Search에서 [알러트를 조회하려면](https://docs.panther.com/ko/alerts/..#viewing-alerts-in-search) 특정 품질 값을 가진 경우:
1. 에서 [데이터베이스 필터](https://docs.panther.com/ko/search/search-tool#using-database-table-and-date-range-filters)를 선택하세요. **신호**.
2. 에서 [테이블 필터](https://docs.panther.com/ko/search/search-tool#using-database-table-and-date-range-filters)를 선택하세요. **알러트.**
3. [키/값 필터 표현식을 생성합니다](https://docs.panther.com/ko/search/search-tool#key-value-filter-expression) 다음 필드와 **Quality** 값 **USEFUL** 또는 **NOISE**.
{% hint style="warning" %}
다음의 값에 유의하세요 `품질` Search의 필드는 대소문자를 구분합니다.
{% endhint %}
### 컨텍스트 태그
{% hint style="info" %}
컨텍스트 태그는 Panther 버전 1.118부터 오픈 베타로 제공됩니다. 버그 보고 및 기능 요청이 있으면 Panther 지원팀에 공유해 주세요.
{% endhint %}
컨텍스트 태그는 왜 알러트가 발생했는지에 대한 추가 정보를 제공합니다. 다음을 사용할 수 있습니다. [기본 제공 태그](#built-in-alert-context-tags) Panther가 제공하는 항목 및/또는 [자신만의 사용자 지정 태그 생성](#custom-alert-context-tags).
알러트당 최대 10개의 컨텍스트 태그를 추가할 수 있습니다.
알러트의 컨텍스트 태그를 수정하면 해당 내용이 알러트의 **활동** 로그에 기록됩니다:
#### 기본 제공 알러트 컨텍스트 태그
다음 태그가 기본 제공됩니다:
운영 문제
* 알러트-전달-실패
* 분류-오류
* 구성-오류
* 룰-오류
* 소스-데이터-없음
조사 결과
* 정상
* 중복
* 결론 없음
* 데이터-부족
* ai로-해결됨
디택션 문제
* 보강-필요
* 오탐
* 임계값-너무-민감함
* 튜닝-필요
정상적인 활동
* 관리자-활동
* 승인된-변경
* 자동화된-프로세스
* 서비스-계정
* 테스트-활동
탐지된 위협
* 계정-탈취
* 자격 증명-손상
* 데이터-유출
* 측면-이동
* 악성-바이너리
* 지속성-메커니즘
* 권한-상승
#### 사용자 지정 알러트 컨텍스트 태그
다음 경우 사용자 지정 알러트 컨텍스트 태그를 생성할 수 있습니다. [기본 제공 태그](#built-in-alert-context-tags) 충분하지 않습니다. 사용자 지정 태그는 다음과 같습니다:
* 조직 전체에서 공유됩니다
* 고유해야 합니다(대소문자 구분 없는 매칭)
* 태그는 자동으로 소문자와 밑줄 형식으로 정규화됩니다(예: "My Custom Tag"는 "my\_custom\_tag"가 됨)
* 길이는 3\~30자여야 하며, 문자, 숫자, 공백, 대시, 밑줄을 포함할 수 있습니다
다음 두 가지 방법으로 사용자 지정 태그를 생성할 수 있습니다:
{% tabs %}
{% tab title="알러트 세부 정보 페이지" %}
**알러트 세부 정보 페이지에서 사용자 지정 알러트 컨텍스트 태그 만들기**
1. 알러트 세부 정보 페이지에서 **+**.
2. 만들고 싶은 태그의 이름을 입력합니다.
3. 표시된 옵션을 클릭하거나 `Enter`.
{% endtab %}
{% tab title="설정 페이지" %}
**설정 페이지에서 사용자 지정 알러트 컨텍스트 태그 만들기**
1. 기어 아이콘(설정) >를 클릭합니다. **알러트 컨텍스트 태그**.
* 에서 **알러트 컨텍스트 태그** 페이지에서 기본 제공 태그와 사용자 지정 태그를 확인할 수 있으며, 사용자 지정 태그를 삭제하거나 편집할 수도 있습니다.
2. 클릭하세요. **새 태그**.
3. 다음을 입력하세요. **태그 이름**.
4. 클릭하세요. **태그 만들기**.
{% endtab %}
{% endtabs %}
#### Search에서 특정 태그가 있는 알러트 조회
Search에서 [알러트를 조회하려면](https://docs.panther.com/ko/alerts/..#viewing-alerts-in-search) 특정 태그가 있는:
1. 에서 [데이터베이스 필터](https://docs.panther.com/ko/search/search-tool#using-database-table-and-date-range-filters)를 선택하세요. **신호**.
2. 에서 [테이블 필터](https://docs.panther.com/ko/search/search-tool#using-database-table-and-date-range-filters)를 선택하세요. **알러트**.
3. [키/값 필터 표현식을 생성합니다](https://docs.panther.com/ko/search/search-tool#key-value-filter-expression) 다음 필드와 **contextTags** 필드와 위에 나열된 컨텍스트 태그 중 하나 이상.
{% hint style="warning" %}
다음의 값에 유의하세요 `contextTag` 필드는 대소문자를 구분합니다.
Panther는 컨텍스트 태그를 공백 대신 대시를 사용한 소문자 값으로 저장합니다.
{% endhint %}
### Panther에서 알러트 일괄 업데이트
알러트 그룹의 상태 또는 담당자를 일괄적으로 업데이트할 수 있습니다.
다음을 통해 이 작업을 수행할 수 있습니다. [스크립트 또는 API](https://help.panther.com/articles/5705324653-how-do-i-update-my-panther-alert-statuses-or-assignees-in-bulk)또는 Panther Console에서:
* 현재 페이지의 알러트만 선택하려면 **모두 선택**:
* 기본적으로 일괄 선택기는 현재 페이지에 로드된 모든 항목을 선택합니다.
* 현재 페이지에 로드된 항목을 넘어 필터링된 모든 결과를 선택하려면 **이 검색과 일치하는 모든 알러트 선택을 클릭합니다.**
* 그러면 필터링된 결과 전체가 선택됩니다.
이 옵션을 사용해 대량 작업을 수행한 후에는 많은 수의 알러트를 분류하는 경우 대량 작업이 완료되기까지 약간의 지연이 있을 수 있습니다. 대량 작업의 최종 결과를 보려면 페이지를 새로 고치세요.
### Slack에서 알러트 보기 및 분류
만약 [Slack Bot 알러트 대상](https://docs.panther.com/ko/alerts/destinations/slack-bot) 이 구성되어 있으면, 알러트를 Slack에서 직접 보고 관리할 수 있습니다:
자세한 내용은 다음을 참조하세요. [Slack에서 알러트 관리](https://docs.panther.com/ko/alerts/alert-management/slack).
## 알러트 요약 사용 방법
알러트 요약은 선택한 요약 속성을 기반으로 알러트의 이벤트에서 발견된 가장 일반적인 값을 보여줍니다. 알러트 요약은 다음 질문에 대한 답을 빠르게 이해하는 데 도움이 됩니다. `누가` , `무엇을`, `다음 위치에서` 룰 매치에서 일치하는 이벤트를 분류할 때 가지게 되는 질문.
이 기능은 룰이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알러트 요약은 모든 일치 이벤트의 개요를 제공하여 각 이벤트를 수동으로 검토할 필요가 없도록 해줍니다.
예시 사용 사례는 [예제](#examples) 이 페이지 하단의 섹션을 참조하세요.
{% hint style="info" %}
이 기능은 Panther Console의 [AI가 생성한 알러트 요약](https://docs.panther.com/ko/alerts/..#alert-list-ai-summary) 과는 다릅니다.
{% endhint %}
### 탐지에 요약 속성 추가
다음과 같은 경우 요약 속성을 정의할 수 있습니다. [룰 또는 예약된 룰 생성](https://docs.panther.com/ko/detections/rules#how-to-write-rules):
룰의 요약 속성을 정의할 때는 한눈에 알러트의 성격을 이해하는 데 도움이 되는 속성을 선택해야 합니다.
### 알러트 요약 보기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
2. 알러트의 제목을 클릭하여 세부 정보 페이지를 봅니다.
3. 다음을 클릭합니다 **요약** 탭.\
The **요약** 탭에는 각 선언된 요약 속성에 대한 상위 5개 속성이 표시됩니다.
### 검색으로 피벗하기
알러트 요약을 보는 동안 알러트 위에 마우스를 올리면 오른쪽에 "복사" 아이콘이 나타납니다. 아이콘을 클릭하여 Data Explorer에서 사용할 속성 값을 복사합니다.
로 시작하는 필드의 경우 `p_`오른쪽에 "검색" 아이콘도 표시됩니다. "검색" 아이콘을 클릭하여 [검색](https://docs.panther.com/ko/search/search-tool) 를 열고 데이터 레이크에서 해당 속성의 모든 히트를 확인합니다.
## 알러트를 할당하고 할당 해제하는 방법
다음 권한이 있는 사용자는 `알러트 보기` 알러트를 Panther 사용자에게 할당할 수 있습니다. 알러트가 할당되면 사용자는 할당을 알리는 이메일 알림을 받습니다. 이메일에는 Panther Console에서 알러트를 열 수 있는 링크가 포함됩니다.
### 알러트 할당하기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
* 알러트 목록이 표시됩니다.
2. 목록에서 알러트의 오른쪽에 있는 **할당 대상자** 드롭다운 메뉴를 클릭합니다.
* 알러트를 할당할 사용자를 선택합니다.
Panther Console의 알러트 세부 정보 페이지에서도 알러트를 할당할 수 있습니다. **할당 대상자** 드롭다운 메뉴는 페이지 상단에 있습니다.
### 알러트 할당 해제하기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
* 알러트 목록이 표시됩니다.
2. 목록에서 알러트의 오른쪽에 있는 할당 대상자 드롭다운 메뉴를 클릭합니다. 다음을 선택합니다. `할당 해제됨` 을 드롭다운에서 선택합니다.
### 여러 알러트를 한 번에 할당하기
1. Panther Console의 왼쪽 탐색 모음에서 **알러트**.
2. 여러 개의 개별 알러트 옆의 체크박스를 선택하거나 **모두 선택** 왼쪽 상단의 체크박스를 선택하여 현재 페이지에 로드된 모든 알러트를 선택합니다.
* 현재 페이지에 로드된 알러트만 한 번에 할당할 수 있습니다. 추가 알러트가 필터 기준과 일치하고 사용자가 **이 검색과 일치하는 항목 전체 선택**을 선택하면 할당 대상자 드롭다운이 사라집니다.
3. 알러트 목록 상단에서 **할당 대상자** 드롭다운 메뉴를 클릭합니다. 알러트를 할당할 대상을 선택합니다.
## 외부에서 알러트 관리하기
#### Slack
Panther의 [Slack Bot 알러트 대상](https://docs.panther.com/ko/alerts/destinations/slack-bot) 을 사용하면 Slack Bot Boomerang 및 Threat Intel 기능을 포함하여 Slack에서 직접 알러트를 보고 관리할 수 있습니다. 다음을 참조하세요. [Slack에서 알러트 관리](https://docs.panther.com/ko/alerts/alert-management/slack) 를 참조하세요.
#### Asana
Panther의 [Asana 알러트 대상](https://docs.panther.com/ko/alerts/destinations/asana) 은 알러트 상태를 동기화하여 해당 Asana 작업의 상태를 업데이트할 수 있는 기능을 포함합니다.
#### Jira
Panther의 [Jira 알러트 대상](https://docs.panther.com/ko/alerts/destinations/jira) 은 알러트 상태를 동기화하여 해당 Jira 이슈의 상태를 업데이트할 수 있는 기능을 포함합니다.
## 알러트 활동 기록 보기
1. Panther Console에서 왼쪽 사이드바의 **알러트** 를 클릭합니다.
2. 알러트를 클릭하여 알러트 세부 정보 페이지를 봅니다.
3. 아래로 스크롤하여 **알러트 기록** 을 클릭하면 모든 상태 변경 및 댓글의 기록을 볼 수 있습니다. 활동은 역시간순으로 정렬되므로 가장 최근 변경 사항이 맨 위에 표시됩니다.
할당된 알러트의 상태가 변경되면 할당 대상자는 변경 세부 정보가 포함된 이메일 알림을 받으며, Panther Console에서 알러트를 열 수 있는 링크도 함께 제공됩니다.
## 알러트에 댓글 추가하기
사용자 중 `알러트 관리` 권한이 있는 사용자는 다음에서 알러트에 리치 텍스트 댓글을 추가할 수 있습니다 **Alerts Details** 페이지. 또한 알러트 댓글과 상호작용할 수도 있습니다 [REST API를 사용하여](https://docs.panther.com/ko/panther/api/rest/alert-comments).
댓글 업데이트는 다음 경우에만 가능합니다 [REST API를 사용하여](https://docs.panther.com/ko/panther/api/rest/alert-comments#alert-comments-id-1). 댓글 삭제 및 사용자 멘션은 지원되지 않습니다.
텍스트 서식은 굵게, 이탤릭체, 목록, 코드 블록, 인용 블록, 하이퍼링크를 지원합니다. 구문과 서식 출력은 아래에 자세히 설명되어 있습니다.
구문:
````
**굵게** (대안: __굵게__ OR 텍스트 선택 + CMD/CTRL+B)
*이탤릭체* (대안: _이탤릭체_ OR 텍스트 선택 + CMD/CTRL+I)
- 순서 없는 목록
1. 순서 있는 목록
```
코드 블록
```
`한 줄 코드 블록`
> 인용 블록
https://panther.com/URL
````
위 구문에 대한 서식 결과:
## 알러트에서 빠른 룰 조정
알러트 자체에서 알러트를 트리거한 룰을 바로 빠르게 조정할 수 있습니다. 다음을 추가하여 [룰 필터](https://docs.panther.com/ko/detections/rules/inline-filters). 이는 특히 알러트가 오탐인 경우 유용하며, 트리거된 디택션을 조정해 향후 유사한 이벤트에서 일치하지 않도록 하고 싶을 때 도움이 됩니다. 방법은 다음을 참조하세요. [알러트 이벤트에서 필터 추가](https://docs.panther.com/ko/detections/rules/inline-filters#add-filters-from-an-alert-event) 에 대한 안내를 확인하세요.
알러트에서의 빠른 디택션 조정은 룰에 의해 트리거된 알러트에서만 사용할 수 있으며, 정책이나 예약된 룰에서는 사용할 수 없습니다.
## 예제
### 알러트 요약 사용 사례 예시
예를 들어, 로드 밸런서를 대상으로 하는 의심스러운 트래픽을 찾는 룰을 작성했다고 가정해 보겠습니다. 이 룰은 다음을 대상으로 실행됩니다.`AWS.ALB` 로그. Panther 표준 필드 `p_any_ip_addresses` 및 `userAgent`를 선택하면 알러트를 볼 때 일치하는 이벤트에서 상위 5개 값을 빠르게 확인할 수 있습니다. 이는 알러트 분류 속도를 크게 높일 수 있습니다.
이 예시에서 첫 번째 요약은 `p_any_ip_addreses`입니다. 요약의 막대 위에 마우스를 올리면 "복사" 및 "검색" 아이콘이 나타납니다. 속성 값을 복사하여 SQL 검색에 사용하거나 빠르게 다음으로 전환할 수 있습니다 [검색](https://docs.panther.com/ko/search/search-tool).
차트 위의 화살표를 클릭해 다음 요약으로 이동하고, 오른쪽 상단의 "Attribute" 드롭다운 메뉴를 사용해 다른 속성을 선택하세요.
룰에 Summary Attributes가 정의되어 있지 않으면, 요약은 대상 로그 유형과 연결된 모든 Panther 표준 `p_any` 필드에 대해 계산됩니다.
