수집 필터

개요

수집 필터를 사용하면 들어오는 데이터를 드롭(즉 Panther에 수집되지 않음)해야 하는 조건을 정의할 수 있습니다. 이렇게 드롭된 데이터는 수집 할당량에 포함되지 않습니다. 이러한 필터는 이전에 Panther와 연동했을 때 비용상 부담이 컸던 대량 로그를 부분적으로 수집하는 데 유용할 수 있습니다.

필터로 제외된 이벤트는 탐지(detections)를 통과하지 않으며 이후 쿼리를 위해 데이터 레이크에 저장되지 않습니다. 필터를 구성한 후에는 필터링된 이벤트 볼륨을 모니터링할 수 있습니다.

수집 필터의 유형

원시(raw) vs 정규화(normalized) 이벤트 필터

Panther에는 두 가지 유형의 수집 필터가 있습니다:

• 원시 이벤트 필터: 로그 스키마로 파싱되기 전에 데이터에 적용됩니다

  • 자세한 내용은 원시 이벤트 필터.

• 정규화된 이벤트 필터: 로그 스키마로 파싱된 후 데이터에 적용됩니다

  • 자세한 내용은 정규화된 이벤트 필터.

포함(inclusion) vs 제외(exclusion) 필터

원시 및 정규화된 이벤트 필터는 모두 포함 필터 또는 제외 필터로 생성할 수 있습니다.

• 포함 필터: 필터와 일치하는 이벤트는(다른 필터에 의해 드롭되지 않는 한) 수집됩니다. 필터와 일치하지 않는 이벤트는 드롭됩니다.

• 제외 필터: 필터와 일치하는 이벤트는 드롭됩니다. 필터와 일치하지 않는 이벤트는(다른 필터에 의해 드롭되지 않는 한) 수집됩니다.