# 디택션 ## 개요 디택션은 실시간 또는 과거 로그 이벤트에 대해 실행되는 로직 세그먼트로, 의심스러운 동작을 식별하고 [시그널](/ko/detections/signals.md), 선택적으로 [알러트](/ko/alerts.md)를 생성합니다. 팀은 Python으로 디택션을 생성하여 코드형 디택션을 활용하거나, Panther의 [심플 디택션](#simple-detections) 기능을 사용하여 기술 전문성 수준과 관계없이 디택션 생성 및 관리에 협업할 수 있습니다. 디택션에는 네 가지 유형이 있습니다:
보안 로그에서 의심스러운 활동을 실시간으로 감지합니다.자세한 내용은 룰 및 예약 룰.
예약 룰에서 나온 결과를 대상으로 실행됩니다 예약 검색 데이터 레이크에서.자세한 내용은 룰 및 예약 룰.
상관관계 룰이벤트의 그룹 또는 순서가 발생했는지 감지합니다.자세한 내용은 상관관계 룰.
정책클라우드 인프라 구성 설정을 스캔하고 평가하여 잘못된 구성을 식별합니다.자세한 내용은 정책.
룰, 예약 룰 또는 상관관계 룰에 일치가 발생하면 시그널이 생성되고, 알러팅이 활성화된 경우 룰 일치가 생성됩니다. 정책은 각 일치마다 컴플라이언스 실패를 생성합니다. 룰 일치는 디택션의 이벤트 임계값 및 중복 제거 구성에 따라 알러트를 트리거할 수 있습니다. 그런 다음 알러트는 [대상으로 라우팅됩니다](/ko/alerts/destinations.md#alert-routing-scenarios) 디택션 및 대상의 구성에 따라. 아래에서 [시그널, 룰 일치 및 알러트의 차이점](#signals-vs.-rule-matches-vs.-alerts). 다음 중 어느 것을 원하는지 결정해야 합니다 [Panther Console에서 디택션을 관리할지, 아니면 CLI 워크플로를 사용할지](#choose-a-detection-management-workflow). 그런 다음 시작할 수 있습니다 [Panther 관리형 디택션을 활성화하거나 직접 작성하기](#enable-or-write-detections). ## 디택션 시작하기 ### 디택션 관리 워크플로 선택 다음 방법 중 하나를 사용하여 Panther 디택션을 생성하고 관리할 수 있습니다: * **Panther 콘솔** * Console에서 다음을 사용하여 직접 디택션을 구성합니다 [심플 디택션 빌더](/ko/detections/rules/simple-detection-builder.md), 또는 [Python 작성으로](/ko/detections/rules/python.md). * 활성화 [Panther 관리형 Python 디택션](/ko/detections/panther-managed.md) (개별적으로 또는 [디택션 Packs](/ko/detections/panther-managed/packs.md))을 사용하여 추가 구성 없이 빠르게 시작할 수 있습니다. * [**Panther CLI 워크플로**](/ko/panther/detections-repo/pat.md) * 다음 중 하나로 로컬에서 디택션을 작성합니다 [심플 디택션](/ko/detections/rules/writing-simple-detections.md) 또는 [Python 디택션](/ko/detections/rules/python.md). * Continuous Integration 및 Continuous Deployment 워크플로를 사용해 Panther 디택션을 관리하는 방법은 [CI/CD 가이드](/ko/panther/detections-repo/ci-cd/deployment-workflows/circle-ci.md). * CLI 워크플로에는 다음 사용이 포함됩니다 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md), 소스 코드에서 Panther 디택션을 테스트, 패키징 및 배포하기 위한 오픈 소스 유틸리티입니다. #### CI/CD 워크플로로 마이그레이션 다음을 활성화하여 빠르게 시작할 수 있습니다 [Panther 관리형 디택션 팩](#detection-packs) 을 Panther Console에서 사용한 다음, 나중에 CI/CD 워크플로 사용으로 전환할 수 있습니다. 워크플로를 CI/CD로 마이그레이션하려면 [CI/CD 워크플로로 마이그레이션](/ko/panther/detections-repo/ci-cd/migrating-to-a-ci-cd-workflow.md). ### 디택션 활성화 또는 작성 Panther로 위협 탐지를 시작하는 가장 빠른 방법은 이미 작성되어 있는 [Panther에서 관리하는 탐지 규칙](/ko/detections/panther-managed.md) 를 켜는 것입니다. 이러한 내장 룰과 정책은 다양한 로그 소스에 적용 가능하며, Panther는 핵심 디택션 로직에 대한 개선 사항을 주기적으로 릴리스합니다. Panther 관리형 룰은 [룰 필터](/ko/detections/rules/inline-filters.md)를 사용해 사용자 지정할 수 있으며, 복제한 뒤 복제본의 디택션 로직을 편집해 정확한 요구 사항에 맞출 수도 있습니다. 또한 Panther에서 빠르게 룰을 생성하는 것도 가능합니다 [Sigma 룰 변환으로](/ko/panther/converting-sigma-rules.md). 처음부터 직접 디택션을 만들고 싶다면, 다음 페이지에서 방법을 알아보세요: * [심플 디택션 빌더 사용](/ko/detections/rules/simple-detection-builder.md) * [심플 디택션 작성](/ko/detections/rules/writing-simple-detections.md) * [Python 디택션 작성](/ko/detections/rules/python.md) * [상관관계 룰](/ko/detections/correlation-rules.md#how-to-create-a-correlation-rule) ## Panther AI 디택션 기능 다음을 사용하세요 [Panther AI](/ko/ai.md) 기능은 Panther 디택션과 상호작용할 때 사용할 수 있습니다. ### AI 디택션 빌더 AI 디택션 빌더를 사용하면 감지하고 싶은 내용을 자연어로 설명할 수 있으며, 그러면 새 디택션 또는 수정된 디택션에 대한 제안을 제공합니다. 다음에서 자세히 알아보기 [AI 디택션 빌더 (베타)](/ko/detections/rules/ai-builder.md). ### AI 디택션 요약 Panther Console에서 디택션 세부 정보 페이지에는 다음 탭에 AI 생성 요약이 있습니다 **개요** 탭:
이 요약은 다음을 활성화하기 전에 검토하는 데 도움이 될 수 있습니다 [Panther에서 관리하는 탐지 규칙](/ko/detections/panther-managed.md), 또는 팀원이 만든 디택션에 대해 더 알아볼 때(아마도 [AI 디택션 빌더](/ko/detections/rules/ai-builder.md)). ## 심플 디택션 심플 디택션은 모든 수준의 기술 역량을 가진 사용자가 Panther에서 디택션을 쉽게 생성하고 관리할 수 있게 해 주는 Panther 기능 모음을 의미합니다. 이러한 기능에는 다음이 포함됩니다: * [심플 디택션 빌더](/ko/detections/rules/simple-detection-builder.md): Panther Console에서 코드 작성 없이 심플 디택션 빌더를 사용해 룰을 생성하고 편집할 수 있습니다. * [CLI 워크플로에서 작성된 심플 디택션](/ko/detections/rules/writing-simple-detections.md): CLI 워크플로(YAML)에서 심플 디택션을 작성한 다음 Panther에 업로드하면, Panther Console에서 심플 디택션 빌더로 표시됩니다. 이러한 기능을 함께 사용하면 다양한 수준의 YAML 경험을 가진 팀원이 디택션을 이해하고 협업할 수 있습니다. {% hint style="info" %} 팀이 CLI 워크플로를 사용해 디택션 콘텐츠를 관리하는 경우, Console의 심플 디택션 빌더를 사용해 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](/ko/detections/rules/inline-filters.md) 는 Console에서 생성된 경우 유지됩니다). Console의 심플 디택션 빌더를 사용해 디택션을 생성하거나 편집하는 경우, 변경 사항이 다음 업로드 시 덮어써지지 않도록 결과 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. {% endhint %} ## 디택션에서 데이터 작업하기 #### 스키마 정의 Panther의 스키마는 유형에 대한 유용한 정보를 제공합니다 *필드* 데이터에 포함된 항목으로, 디택션을 작성할 때 데이터와 상호작용하는 방법을 더 쉽게 이해할 수 있게 해 줍니다. 스키마 정의는 다음에서 찾을 수 있습니다: * Panther의 문서 * 각 통합에 대한 스키마는 문서의 [지원되는 로그](/ko/data-onboarding/supported-logs.md) 섹션에서 확인하세요. 사용자 지정 로그 스키마에 대한 자세한 정보는 [Custom Logs](/ko/data-onboarding/custom-log-types.md). * Panther Console * Panther Console에 로그인한 후 다음으로 이동합니다 **데이터 > 스키마**. #### Data Explorer에서 샘플 가져오기 Data Explorer는 Python 코드를 작성할 때 데이터를 이해하고 조사하며, 데이터 위치와 데이터 유형을 파악하는 일을 더 쉽게 해 줍니다. 여기에는 Panther가 로그 소스에서 파싱한 모든 데이터가 포함되며, 데이터를 테이블에 저장합니다. 디택션을 작성하려는 로그 유형에 대해 관련 테이블을 검색하여 로그 이벤트를 탐색하고 찾으세요. 다음을 할 수 있습니다 [예제 테이블 데이터 미리보기](https://docs.panther.com/data-analytics/data-explorer#preview-table-data) SQL을 작성하지 않고도 가능합니다. 해당 로그 소스에 대한 샘플 SQL 쿼리를 생성하려면 테이블 유형 옆의 눈 아이콘을 클릭하세요:
The eye icon is circled next to a table type on the left side of Data Explorer
쿼리 결과가 생성되면 Results 테이블에서 예제 로그 이벤트를 볼 수 있습니다. 이를 CSV 파일로 다운로드할 수 있습니다. 로그 이벤트를 복사하여 [단위 테스트](https://docs.panther.com/writing-detections/testing) 에서 디택션을 작성하는 동안 사용하려면, 다음을 클릭하세요 **View JSON**. ## **시그널 대 알러트** {% hint style="warning" %} 이 섹션은 이전에 시그널과 알러트가 "룰 일치"와 어떻게 다른지 설명했습니다. Panther는 `panther_룰_matches`, `panther_룰_errors`, 및 `panther_views` 에 대한 쓰기를 2025년 말에 중단할 예정입니다. 이러한 위치에 기록된 데이터는 이미 동시에 새 위치에도 기록되고 있으며, 과거 데이터는 손실되지 않습니다. 변경 사항에 대한 자세한 내용은 [이 기술 자료 문서](https://help.panther.com/articles/5933510363-2-5-25-notice-about-panther-no-longer-writing-to-certain-databases). {% endhint %} 다음에 일치가 발생할 때마다 [룰](/ko/detections/rules.md), [예약 룰](/ko/detections/rules.md), 또는 [상관관계 룰](/ko/detections/correlation-rules.md): * A [시그널](/ko/detections/signals.md) 이 생성됩니다. 이는 룰, 예약 룰 또는 상관관계 룰에 설정된 구성과 관계없이 적용됩니다. * 룰, 예약 룰 또는 상관관계 룰에 알러팅이 활성화되어 있는 경우(즉, Console에서 **알러트 생성** 이 다음으로 설정됨 **`켜기`**, 또는 CLI 워크플로에서 `CreateAlert` 이 다음으로 설정됨 `true`), [알러트](/ko/alerts.md) 가 생성됩니다(디택션의 이벤트 임계값 및 중복 제거 구성에 따름). 디택션에서 알러팅이 비활성화되어 있으면 알러트는 생성되지 않습니다. 다음에 일치가 발생할 때마다 [정책](/ko/detections/policies.md)의 경우 컴플라이언스 실패가 생성됩니다(시그널이 아님). 정책은 알러팅을 비활성화하도록 구성할 수 없습니다. ## 디택션 기능
심플 디택션 Panther의 심플 디택션 기능에는 다음이 포함됩니다 [심플 디택션 빌더](/ko/detections/rules/simple-detection-builder.md) Panther Console에서의 기능, 그리고 [CLI 워크플로의 심플 디택션](/ko/detections/rules/writing-simple-detections.md). 이러한 기능을 함께 사용하면 다양한 수준의 기술 역량을 가진 팀원이 디택션 관리에 협업할 수 있습니다.
Panther 관리형 디택션 Panther에는 다수의 Panther 관리형 디택션이 포함되어 있으며, 이는 Panther가 핵심 로직을 작성하고 주기적으로 업데이트하는 디택션입니다. Panther 관리형 디택션을 사용하면 직접 작성해야 하는 수고를 줄일 수 있고, Panther가 새 버전을 릴리스함에 따라 시간이 지나면서 핵심 디택션 로직의 개선 사항을 지속적으로 받을 수 있는 이점이 있습니다. 자세한 내용은 [Panther 관리형 디택션 사용](/ko/detections/panther-managed.md).
디택션 Packs Panther 팩은 Panther Console을 통해 디택션을 논리적으로 그룹화하고 업데이트합니다. 디택션 팩은 디택션, 쿼리, 글로벌 헬퍼, 데이터 모델 또는 조회 테이블을 포함하되 이에 국한되지 않는 여러 Panther 기능을 그룹화할 수 있습니다. 팩은 다음 오픈 소스 리포지토리에서 정의됩니다: [`panther-labs/panther-analysis`](https://github.com/panther-labs/panther-analysis). 자세한 내용은 [디택션 Packs](/ko/detections/panther-managed/packs.md).
인라인 필터 인라인 필터는 디택션의 룰 함수 전에 평가되는 조건문입니다. 인라인 필터를 적용하여 [Panther 관리형 항목](#panther-managed-detections)을 포함한 디택션을 쉽게 조정할 수 있습니다. 코드로 작성된 룰 함수가 실행되려면 필터는 `true` 를 반환해야 합니다(즉, 이벤트와 일치해야 함). 디택션의 로그 유형에 따라 선택할 수 있습니다 `필드` 필터링할 항목을. 그다음 `연산자` 를 지정하고, 해당하는 경우 `값`을 입력합니다. 자세한 내용은 [인라인 필터로 디택션 수정](/ko/detections/rules/inline-filters.md).
파생 Panther에서는 하나의 기본 디택션으로부터 하나 이상의 파생 디택션을 생성할 수 있습니다. 파생 디택션은 변경할 수 없는 기본 디택션의 핵심 디택션 로직과, 각 파생 디택션에 대해 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다. 다음에서 자세히 알아보기 [파생 디택션](/ko/detections/rules/derived.md).
테스트 Panther의 디택션 테스트는 디택션이 예상대로 동작하고 올바르게 배포되면 알러트를 생성하는지 보장합니다. 테스트 입력은 코드가 발전함에 따라 신뢰성을 높이고 회귀를 방지하기 위해 알러트가 생성될지 여부를 판단하는 데 사용됩니다. 자세한 내용은 [테스트.](/ko/detections/testing.md)
데이터 리플레이 데이터 리플레이(Beta)를 사용하면 룰을 활성화하기 전에 과거 로그 데이터에 대해 테스트하여 결과를 미리 볼 수 있습니다. 데이터 리플레이는 디택션을 배포하기 전에 어떤 유형의 알러트를 받을 가능성이 높은지 시뮬레이션할 수 있습니다. 자세한 내용은 [데이터 리플레이](/ko/detections/testing/data-replay.md).
캐싱 Panther는 이벤트를 하나씩 검사하며 호출 간 결과를 캐시하는 방법을 제공합니다. 상태 기반 검사를 지원하기 위해 Panther 룰은 내장 헬퍼 함수를 사용하여 값을 캐시할 수 있습니다. 자세한 내용은 [캐싱.](/ko/detections/rules/python/caching.md)
데이터 모델 Panther의 데이터 모델은 모든 로그 유형 전반에 걸쳐 통합된 필드 집합을 구성하는 방법을 제공합니다. 데이터 모델을 사용하면 번거롭고 복잡한 개별 로그 모니터링을 피하면서 많은 로그 유형에서 특정 필드를 한 번에 모니터링할 수 있습니다. 자세한 내용은 [데이터 모델](/ko/detections/rules/python/data-models.md).
글로벌 헬퍼 함수 Panther는 반복되는 코드를 헬퍼 함수로 추출하는 일반적인 프로그래밍 패턴을 지원하며, 이를 위해 `global` 분석 유형을 사용합니다. 분석 함수 본문 상단에 특정 명령을 삽입한 후 다른 Python 라이브러리처럼 글로벌 헬퍼 함수를 호출하여 디택션에서 가져올 수 있습니다. 자세한 내용은 [글로벌 헬퍼 함수](/ko/detections/rules/python/globals.md).
프레임워크 매핑 Panther는 룰, 정책 및 예약 룰을 컴플라이언스 프레임워크(다음을 포함한 [MITRE ATT\&CK](https://attack.mitre.org/)®)에 매핑하여 해당 프레임워크에 대한 커버리지를 추적할 수 있도록 지원합니다. 보고서는 Panther Console의 Detections > All Detections 탐색 섹션에서 디택션에 매핑할 수 있습니다. 자세한 내용은 [프레임워크 매핑 및 MITRE ATT\&CK® 매트릭스](/ko/detections/report-mapping.md).
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/detections.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.