# 디텍션 ## 개요 디텍션은 실시간 또는 과거 로그 이벤트에 대해 실행되는 로직의 세그먼트로, 의심스러운 동작을 식별하고 [신호](https://docs.panther.com/ko/detections/signals)그리고 선택적으로 [알러트](https://docs.panther.com/ko/alerts)를 생성합니다. 팀은 Python으로 디텍션을 생성하여 코드로서의 디텍션을 활용하거나 Panther의 [심플 디텍션](#simple-detections) 기능을 사용하여 기술 수준과 관계없이 디텍션 생성 및 관리를 공동 작업할 수 있습니다. 디텍션에는 네 가지 유형이 있습니다:
보안 로그에서 의심스러운 활동을 실시간으로 탐지합니다. 자세한 내용은 룰 및 스케줄된 룰.
스케줄된 룰다음의 결과에 대해 실행됩니다 스케줄된 검색 귀하의 데이터 레이크에서.자세한 내용은 룰 및 스케줄된 룰.
상관 룰이벤트 그룹 또는 연속이 발생했을 때 이를 탐지합니다.자세한 내용은 상관 룰.
정책클라우드 인프라 구성 설정을 스캔하고 평가하여 잘못된 구성을 식별합니다.자세한 내용은 정책.
룰, 스케줄된 룰 또는 상관 룰에 매치가 있으면 신호가 생성되고—알러팅이 활성화된 경우 룰 매치가 생성됩니다. 정책은 각 매치 시 준수 실패를 생성합니다. 룰 매치는 디텍션의 이벤트 임계값 및 중복 제거 구성에 따라 알러트를 트리거할 수 있습니다. 그런 다음 알러트는 [대상으로 라우팅됩니다](https://docs.panther.com/ko/alerts/destinations#alert-routing-scenarios) 디텍션 및 대상에 대한 구성에 기반합니다. 아래에서 [신호, 룰 매치 및 알러트의 차이점](#signals-vs.-rule-matches-vs.-alerts). 어떤 방식으로 진행할지 결정해야 합니다 — [Panther 콘솔에서 디텍션을 관리할지 또는 CLI 워크플로를 사용할지](#choose-a-detection-management-workflow)그런 다음 시작할 수 있습니다 [Panther 관리형 디텍션을 활성화하거나 직접 작성하는](#enable-or-write-detections). ## 디텍션 시작하기 ### 디텍션 관리 워크플로 선택하기 다음 방법 중 하나를 사용하여 Panther 디텍션을 생성하고 관리할 수 있습니다: * **Panther 콘솔** * 콘솔에서 [심플 디텍션 빌더](https://docs.panther.com/ko/detections/rules/simple-detection-builder)를 사용하여 직접 디텍션을 구성하거나, [Python 작성](https://docs.panther.com/ko/detections/rules/python). * 활성화 [Panther 관리형 Python 디텍션](https://docs.panther.com/ko/detections/panther-managed) (개별적으로 또는 [선택적으로 하나 이상의](https://docs.panther.com/ko/detections/panther-managed/packs) )로 빠르게 시작할 수 있으며 추가 구성은 필요하지 않습니다. * [**Panther CLI 워크플로**](https://docs.panther.com/ko/panther/detections-repo/pat) * 로컬에서 다음 중 하나로 디텍션을 작성하세요 — [심플 디텍션](https://docs.panther.com/ko/detections/rules/writing-simple-detections) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [Python 디텍션](https://docs.panther.com/ko/detections/rules/python). * CI/CD 워크플로를 사용하여 Panther 디텍션을 관리하는 방법에 대해 자세히 알아보려면 [CI/CD 가이드](https://docs.panther.com/ko/panther/detections-repo/ci-cd/deployment-workflows/circle-ci). * CLI 워크플로에는 다음 사용이 포함됩니다 [Panther 분석 도구(PAT)](https://docs.panther.com/ko/panther/detections-repo/pat), 소스 코드에서 Panther 디텍션을 테스트, 패키지 및 배포하기 위한 오픈 소스 유틸리티입니다. #### CI/CD 워크플로로 마이그레이션 빠르게 시작하려면 [Panther 관리형 디텍션 팩](#detection-packs) 을(를) Panther 콘솔에서 활성화한 다음 나중에 CI/CD 워크플로로 전환할 수 있습니다. 워크플로를 CI/CD로 이전하려면 [CI/CD 워크플로로 마이그레이션](https://docs.panther.com/ko/panther/detections-repo/ci-cd/migrating-to-a-ci-cd-workflow). ### 디텍션 활성화 또는 작성 Panther로 위협을 탐지하기 시작하는 가장 빠른 방법은 이미 작성되어 있는 [Panther 관리 디텍션](https://docs.panther.com/ko/detections/panther-managed) 를 Panther 인스턴스에서 켜는 것입니다. 이러한 내장 룰 및 정책은 다양한 로그 소스에 적용 가능하며 Panther는 핵심 디텍션 로직에 대한 개선을 주기적으로 릴리스합니다. Panther 관리형 룰은 [룰 필터](https://docs.panther.com/ko/detections/rules/inline-filters)를 사용하여 사용자 지정할 수 있으며, 또는 복제하여 복제된 버전의 디텍션 로직을 편집하여 정확한 요구에 맞출 수 있습니다. Panther에서 규칙을 빠르게 생성하는 것도 가능합니다 — [Sigma 룰 변환](https://docs.panther.com/ko/panther/converting-sigma-rules). 직접 디텍션을 처음부터 만들고 싶다면 다음 페이지에서 방법을 알아보세요: * [심플 디텍션 빌더 사용하기](https://docs.panther.com/ko/detections/rules/simple-detection-builder) * [심플 디텍션 작성하기](https://docs.panther.com/ko/detections/rules/writing-simple-detections) * [Python 디텍션 작성하기](https://docs.panther.com/ko/detections/rules/python) * [상관 룰](https://docs.panther.com/ko/correlation-rules#how-to-create-a-correlation-rule) ## Panther AI 디텍션 기능 다음 [ai](https://docs.panther.com/ko/ai "mention") 기능을 디텍션과 상호작용할 때 사용하세요. ### AI 디텍션 빌더 AI 디텍션 빌더를 사용하면 평이한 언어로 탐지하고자 하는 것을 설명하면—새 디텍션 또는 수정된 디텍션에 대한 제안을 제공합니다. 자세한 내용은 [ai-builder](https://docs.panther.com/ko/detections/rules/ai-builder "mention"). ### AI 디텍션 요약 Panther 콘솔에서 디텍션 상세 페이지는 **개요** 탭에 AI 생성 요약을 포함합니다:
이 요약은 를 활성화하기 전에 또는 동료가 생성한 디텍션(아마도 [Panther 관리 디텍션](https://docs.panther.com/ko/detections/panther-managed)의 도움으로) 대해 더 알아볼 때 검토하는 데 도움이 될 수 있습니다. [AI 디텍션 빌더](https://docs.panther.com/ko/detections/rules/ai-builder)). ## 심플 디텍션 심플 디텍션은 기술 수준과 관계없이 사용자가 Panther에서 디텍션을 쉽게 생성하고 관리할 수 있게 하는 Panther 기능의 집합을 말합니다. 이러한 기능에는 다음이 포함됩니다: * [심플 디텍션 빌더](https://docs.panther.com/ko/detections/rules/simple-detection-builder)콘솔에서 코드 없이 룰을 생성 및 편집하기 위해 심플 디텍션 빌더를 사용할 수 있습니다. * [CLI 워크플로에서 작성된 심플 디텍션](https://docs.panther.com/ko/detections/rules/writing-simple-detections)CLI 워크플로(이 경우 YAML)에서 심플 디텍션을 작성한 후 Panther에 업로드하면 콘솔의 심플 디텍션 빌더에 해당 내용이 표시됩니다. 이들 기능을 통해 다양한 YAML 경험을 가진 팀 구성원들이 디텍션을 이해하고 공동 작업할 수 있습니다. {% hint style="info" %} 팀이 디텍션 콘텐츠 관리를 위해 CLI 워크플로를 사용하는 경우, 콘솔에서 심플 디텍션 빌더를 사용하여 디텍션에 가한 변경 사항은 다음 업로드 시 덮어써집니다(단, 콘솔에서 생성된 [인라인 필터](https://docs.panther.com/ko/detections/rules/inline-filters) 는 보존됩니다). 콘솔에서 심플 디텍션 빌더를 사용해 디텍션을 생성하거나 편집한 경우, 결과 YAML 표현을 복사하여 로컬 디텍션 파일에 포함시켜 다음 업로드 시 변경 사항이 덮어써지지 않도록 하세요. {% endhint %} ## 디텍션에서 데이터 작업하기 #### 스키마 정의 Panther의 스키마는 데이터에 포함된 *필드* 유형에 대한 유용한 정보를 제공하여 디텍션을 작성할 때 데이터와 상호작용하는 방법을 이해하기 쉽게 합니다. 스키마 정의는 다음에서 찾을 수 있습니다: * Panther 문서 * 문서의 각 통합에 대한 스키마는 를 참조하세요. [지원되는 로그](https://docs.panther.com/ko/data-onboarding/supported-logs) 맞춤 로그 스키마에 대한 자세한 내용은 [사용자 정의 로그](https://docs.panther.com/ko/data-onboarding/custom-log-types). * Panther 콘솔 * Panther 콘솔에 로그인하고 다음으로 이동하세요 **데이터 > 스키마**. #### 데이터 익스플로러에서 샘플 추출하기 데이터 익스플로러는 Python 코드를 작성할 때 데이터, 데이터 위치 및 데이터 유형을 이해하고 조사하기 쉽게 합니다. 여기에는 Panther가 로그 소스에서 파싱한 모든 데이터가 포함되며 데이터는 테이블에 저장됩니다. 관심 있는 로그 유형의 관련 테이블을 검색하여 로그 이벤트를 탐색하고 찾으세요. 다음을 수행할 수 있습니다 [예제 테이블 데이터 미리보기](https://docs.panther.com/data-analytics/data-explorer#preview-table-data) SQL을 작성하지 않고도. 해당 로그 소스에 대한 샘플 SQL 쿼리를 생성하려면 테이블 유형 옆의 눈 아이콘을 클릭하세요:
The eye icon is circled next to a table type on the left side of Data Explorer
쿼리가 결과를 생성하면 결과 테이블에서 예제 로그 이벤트를 볼 수 있습니다. 이를 CSV 파일로 다운로드할 수 있습니다. 디텍션 작성 중에 사용될 로그 이벤트를 복사하려면 [단위 테스트](https://docs.panther.com/writing-detections/testing) 를 클릭하세요 **S3 버킷에 구성 후에**. ## **신호 대 알러트** {% hint style="warning" %} 이 섹션은 이전에 신호와 알러트가 "룰 매치"와 어떻게 다른지 설명했습니다. Panther는 2025년 말에 `값으로 설정하십시오.`, `CloudFormation 스택 업데이트를 실행하십시오.`및 `Panther가 Snowflake로 구성되면 일곱 개의 데이터베이스가 있어야 합니다:` 에 쓰기를 중단할 예정입니다. 이러한 위치에 기록되는 데이터는 이미 동시에 새로운 위치에 기록되고 있으며, 과거 데이터가 손실되지 않습니다. 변경 사항에 대해 자세히 알아보려면 [이 지식 베이스 문서를 참조하세요](https://help.panther.com/articles/5933510363-2-5-25-notice-about-panther-no-longer-writing-to-certain-databases). {% endhint %} 룰, [룰](https://docs.panther.com/ko/detections/rules), [스케줄된 룰](https://docs.panther.com/ko/detections/rules), 또는 [상관 룰](https://docs.panther.com/ko/detections/correlation-rules): * A [신호](https://docs.panther.com/ko/detections/signals) 가 생성됩니다. 이는 룰, 스케줄된 룰 또는 상관 룰에 설정된 구성에 관계없이 적용됩니다. * 룰, 스케줄된 룰 또는 상관 룰에 알러팅이 활성화되어 있는 경우(예: 콘솔에서 **알러트 생성** 이 다음으로 설정되어 있거나 **`켜기`**CLI 워크플로에서 `CreateAlert` 이 다음으로 설정되어 있거나 `부울 값`로 설정된 경우), [알러트](https://docs.panther.com/ko/alerts) 가 생성됩니다(디텍션의 이벤트 임계값 및 중복 제거 구성에 따라). 디텍션에 대해 알러팅이 비활성화되어 있으면 알러트는 생성되지 않습니다. 룰, [정책](https://docs.panther.com/ko/detections/policies)의 경우 준수 실패가 생성됩니다(신호가 아니라). 정책은 알러팅을 비활성화하도록 구성할 수 없습니다. ## 디텍션 기능
심플 디텍션 Panther의 심플 디텍션 기능에는 콘솔 내의 [심플 디텍션 빌더](https://docs.panther.com/ko/detections/rules/simple-detection-builder) 및 [CLI 워크플로의 심플 디텍션](https://docs.panther.com/ko/detections/rules/writing-simple-detections). 이 포함됩니다. 이들 기능을 통해 다양한 기술 수준의 팀원이 디텍션 관리를 공동으로 수행할 수 있습니다.
Panther 관리형 디텍션 Panther는 Panther가 핵심 로직을 작성하고 주기적으로 업데이트하는 여러 Panther 관리형 디텍션을 제공합니다. Panther 관리형 디텍션을 사용하면 직접 작성해야 하는 노력을 절약할 수 있으며, Panther가 새 버전을 릴리스함에 따라 핵심 디텍션 로직에 대한 개선을 지속적으로 받을 수 있는 이점이 있습니다. 자세한 내용은 [Panther 관리형 디텍션 사용하기](https://docs.panther.com/ko/detections/panther-managed).
선택적으로 하나 이상의 Panther 팩은 Panther 콘솔을 통해 디텍션을 논리적으로 그룹화하고 업데이트합니다. 디텍션 팩은 디텍션, 쿼리, 전역 헬퍼, 데이터 모델 또는 조회 테이블(Lookup Tables) 등 여러 Panther 기능을 원하는 수만큼 그룹화할 수 있습니다. 팩은 다음 오픈 소스 저장소에서 정의됩니다: [`panther-labs/panther-analysis`](https://github.com/panther-labs/panther-analysis). 자세한 내용은 [선택적으로 하나 이상의](https://docs.panther.com/ko/detections/panther-managed/packs).
인라인 필터 인라인 필터는 디텍션의 룰 함수가 실행되기 전에 평가되는 조건문입니다. 인라인 필터를 적용하여 Panther 관리형 룰을 포함한 디텍션을 쉽게 튜닝할 수 있습니다. [Panther 관리형 것](#panther-managed-detections). 필터는 룰 함수(코드로 작성됨)가 실행되기 위해서 `부울 값` (즉 이벤트와 매치)를 반환해야 합니다. 디텍션의 로그 유형에 따라 필터링할 `필드` 를 선택할 수 있습니다. 그 다음 `연산자` 를 지정하고, 해당되는 경우 `값`을 입력합니다. 자세한 내용은 [인라인 필터로 디텍션 수정하기](https://docs.panther.com/ko/detections/rules/inline-filters).
파생 Panther에서는 단일 베이스 디텍션에서 하나 이상의 파생 디텍션을 생성할 수 있습니다. 파생 디텍션은 변경 불가능한 베이스 디텍션의 핵심 디텍션 로직과 각 파생 디텍션마다 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다. 자세한 내용은 [파생 디텍션](https://docs.panther.com/ko/detections/rules/derived).
테스트 Panther의 디텍션 테스트는 디텍션이 예상대로 동작하고 올바르게 배포되었을 때 알러트를 생성하는지 확인합니다. 테스트 입력은 코드가 발전하면서 신뢰성을 높이고 회귀를 방지하기 위해 알러트가 생성되는지를 판단하는 데 사용됩니다. 자세한 내용은 [테스트.](https://docs.panther.com/ko/detections/testing)
데이터 리플레이 데이터 리플레이(베타)를 사용하면 룰을 활성화하기 전에 과거 로그 데이터에 대해 룰을 테스트하여 룰의 결과를 미리 볼 수 있습니다. 데이터 리플레이는 디텍션을 배포하기 전에 어떤 종류의 알러트를 받을지 시뮬레이션할 수 있습니다. 자세한 내용은 [데이터 리플레이](https://docs.panther.com/ko/detections/testing/data-replay).
캐싱 Panther는 이벤트를 하나씩 검사하고 호출 간에 결과를 캐시하는 방법을 제공합니다. 상태 저장 검사(stateful checks)를 수용하기 위해 Panther 룰은 내장 헬퍼 함수를 사용하여 값을 캐시할 수 있습니다. 자세한 내용은 [캐싱.](https://docs.panther.com/ko/detections/rules/python/caching)
데이터 모델 Panther의 데이터 모델은 모든 로그 유형에 걸쳐 통합된 필드 집합을 구성하는 방법을 제공합니다. 데이터 모델을 사용하면 여러 로그 유형에서 특정 필드를 한 번에 모니터링할 수 있어 번거롭고 복잡한 개별 로그 모니터링을 피할 수 있습니다. 자세한 내용은 [데이터 모델](https://docs.panther.com/ko/detections/rules/python/data-models).
글로벌 헬퍼 함수 Panther는 반복되는 코드를 헬퍼 함수로 추출하는 일반적인 프로그래밍 패턴을 지원합니다. 이는 `전역` 분석 유형을 통해 제공됩니다. 디텍션에서 전역 헬퍼 함수를 가져오려면 분석 함수 본문 상단에 특정 명령을 삽입한 다음 다른 Python 라이브러리처럼 전역 함수를 호출하면 됩니다. 자세한 내용은 [글로벌 헬퍼 함수](https://docs.panther.com/ko/detections/rules/python/globals).
프레임워크 매핑 Panther는 룰, 정책 및 스케줄된 룰을 준수 프레임워크(예: [MITRE ATT\&CK](https://attack.mitre.org/)®)에 매핑하여 해당 프레임워크에 대한 커버리지를 추적하는 기능을 지원합니다. 보고서는 Panther 콘솔의 Detections > All Detections 내비게이션 섹션에서 디텍션에 매핑될 수 있습니다. 자세한 내용은 [프레임워크 매핑 및 MITRE ATT\&CK® 매트릭스](https://docs.panther.com/ko/detections/report-mapping).