> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/detections.md). # 디택션 ## 개요 디택션은 실시간 또는 과거 로그 이벤트에 대해 실행되는 로직의 일부로, 의심스러운 동작을 식별하고 생성합니다 [신호](/ko/detections/signals.md), 그리고 선택적으로 [경보](/ko/alerts.md). 귀하의 팀은 Python으로 디택션을 생성하여 detections-as-code를 활용하거나 Panther의 [간단한 디택션](#simple-detections) 기능을 사용해 기술 수준과 관계없이 디택션 생성 및 관리를 협업할 수 있습니다. 디택션에는 네 가지 유형이 있습니다:
보안 로그에서 의심스러운 활동을 실시간으로 탐지합니다.자세한 내용은 룰 및 예약 룰.
예약 룰의 결과에 대해 실행됩니다 예약 검색 데이터 레이크에서.자세한 내용은 룰 및 예약 룰.
상관 룰이벤트 그룹 또는 시퀀스가 발생했을 때 탐지합니다.자세한 내용은 상관 룰.
정책클라우드 인프라 구성을 검사하고 평가하여 잘못된 구성을 식별합니다.자세한 내용은 정책.
룰, 예약 룰 또는 상관 룰에서 일치가 발생하면 신호가 생성되며, 경보가 활성화되어 있으면 룰 일치가 생성됩니다. 정책은 각 일치마다 규정 준수 실패를 생성합니다. 룰 일치는 디택션의 이벤트 임계값과 중복 제거 구성에 따라 경보를 트리거할 수 있습니다. 경보는 이후 [대상으로 라우팅됩니다](/ko/alerts/destinations.md#alert-routing-scenarios) 디택션과 대상의 구성에 따라. 다음에 대해 자세히 알아보세요: [아래의 신호, 룰 일치, 경보의 차이](#signals-vs.-rule-matches-vs.-alerts). 다음 중 무엇을 할지 결정해야 합니다 [Panther Console에서 디택션을 관리할지, 아니면 CLI 워크플로를 사용할지](#choose-a-detection-management-workflow). 그런 다음 시작할 수 있습니다 [Panther가 관리하는 디택션을 활성화하거나 직접 작성하는](#enable-or-write-detections). ## 디택션 시작하기 ### 디택션 관리 워크플로 선택 {% hint style="info" %} 만약 [Panther GitHub App을 설치했다면](/ko/panther/detections-repo/github-app.md), 충돌 없이 CLI 워크플로와 함께 Panther Console을 사용할 수 있습니다—Console에서 지원되는 디택션 유형을 편집하면 Panther에 직접 저장하는 대신 저장소에서 pull request가 열립니다. 다음을 참조하세요 [Panther Console에서 GitHub pull request 만들기](/ko/panther/overview.md#creating-a-github-pull-request-from-the-panther-console). {% endhint %} 다음 방법 중 하나를 사용해 Panther 디택션을 생성하고 관리할 수 있습니다: * **Panther Console** * Console에서 다음을 사용해 직접 디택션을 구성하세요 [간단한 디택션 빌더](/ko/detections/rules/simple-detection-builder.md), 또는 [Python 작성](/ko/detections/rules/python.md). * 활성화 [Panther가 관리하는 Python 디택션](/ko/detections/panther-managed.md) (개별적으로, 또는 [디택션 팩](/ko/detections/panther-managed/packs.md)) 추가 구성 없이 빠르게 시작할 수 있습니다. * [**Panther CLI 워크플로**](/ko/panther/detections-repo/pat.md) * 디택션을 로컬에 다음 중 하나로 작성하세요 [간단한 디택션](/ko/detections/rules/writing-simple-detections.md) 또는 [Python 디택션](/ko/detections/rules/python.md). * 당사의 지속적 통합 및 지속적 배포 워크플로를 사용하여 Panther 디택션을 관리하는 방법을 자세히 알아보세요 [CI/CD 가이드](/ko/panther/detections-repo/ci-cd/deployment-workflows/circle-ci.md). * CLI 워크플로에는 다음 사용이 포함됩니다 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md), 소스 코드에서 Panther 디택션을 테스트, 패키징 및 배포하기 위한 오픈 소스 유틸리티입니다. #### CI/CD 워크플로로 마이그레이션 다음을 활성화하여 빠르게 시작하고 싶을 수 있습니다 [Panther 관리형 디택션 팩](#detection-packs) Panther Console에서 사용한 다음 나중에 CI/CD 워크플로 사용으로 전환할 수 있습니다. 워크플로를 CI/CD로 마이그레이션하려면 다음의 지침을 따르세요 [CI/CD 워크플로로 마이그레이션](/ko/panther/detections-repo/ci-cd/migrating-to-a-ci-cd-workflow.md). ### 디택션 활성화 또는 작성 Panther로 위협을 감지하기 시작하는 가장 빠른 방법은 이미 작성된 다음을 켜는 것입니다 [Panther 관리형 디택션](/ko/detections/panther-managed.md) Panther 인스턴스와 함께 제공되는 항목입니다. 이러한 기본 제공 룰 및 정책은 다양한 로그 소스에 적용 가능하며, Panther는 핵심 디택션 로직에 대한 개선 사항을 주기적으로 릴리스합니다. Panther 관리형 룰은 다음을 사용하여 사용자 지정할 수 있습니다 [룰 필터](/ko/detections/rules/inline-filters.md), 또는 이를 복제한 뒤 복제된 버전의 디택션 로직을 편집하여 정확한 요구 사항에 맞출 수 있습니다. 다음을 통해 Panther에서 룰을 빠르게 생성할 수도 있습니다 [Sigma 룰 변환](/ko/panther/converting-sigma-rules.md). 처음부터 직접 디택션을 만들고 싶다면 다음 페이지에서 방법을 알아보세요: * [Simple 디택션 빌더 사용](/ko/detections/rules/simple-detection-builder.md) * [Simple 디택션 작성](/ko/detections/rules/writing-simple-detections.md) * [Python 디택션 작성](/ko/detections/rules/python.md) * [상관 룰](/ko/detections/correlation-rules.md#how-to-create-a-correlation-rule) ## Panther AI 디택션 기능 다음을 사용하세요 [Panther AI](/ko/ai.md) Panther 디택션과 상호작용할 때 사용할 기능입니다. ### AI 디택션 빌더 AI 디택션 빌더를 사용하면 감지하고 싶은 내용을 자연어로 설명할 수 있으며, 그러면 새 디택션 또는 수정된 디택션에 대한 제안을 제공합니다. 다음에서 자세히 알아보세요 [AI 디텍션 빌더(베타)](/ko/detections/rules/ai-builder.md). ### AI 디택션 요약 Panther Console에서 디택션 세부 정보 페이지에는 다음에 AI 생성 요약이 있습니다 **개요** 탭:
이 요약은 다음을 활성화하기 전에 검토하는 데 도움이 될 수 있습니다 [Panther 관리형 디택션](/ko/detections/panther-managed.md), 또는 팀원이 만든 디택션에 대해 더 알아볼 때 유용할 수 있습니다(아마도 다음의 도움을 받아 [AI 디택션 빌더](/ko/detections/rules/ai-builder.md)). ## 간단한 디택션 Simple Detections는 모든 수준의 기술 역량을 가진 사용자가 Panther에서 디택션을 쉽게 생성하고 관리할 수 있게 해주는 Panther 기능 세트를 의미합니다. 이러한 기능에는 다음이 포함됩니다: * [간단한 디택션 빌더](/ko/detections/rules/simple-detection-builder.md): Panther Console에서는 코드를 작성하지 않고도 Simple 디택션 빌더를 사용하여 룰을 생성하고 편집할 수 있습니다. * [CLI 워크플로에서 작성된 Simple 디택션](/ko/detections/rules/writing-simple-detections.md): CLI 워크플로(YAML)에서 Simple 디택션을 작성한 다음 Panther에 업로드하면 Panther Console의 Simple 디택션 빌더에 표시됩니다. 이러한 기능을 함께 사용하면 다양한 수준의 YAML 경험을 가진 팀원이 디택션을 이해하고 협업할 수 있습니다. {% hint style="info" %} 팀에서 CLI 워크플로를 사용하여 디택션 콘텐츠를 관리하는 경우, Console의 Simple 디택션 빌더를 사용해 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다( [인라인 필터](/ko/detections/rules/inline-filters.md) Console에서 생성된 항목은 유지됨). Console의 Simple 디택션 빌더를 사용하여 디택션을 생성하거나 편집하는 경우, 다음 업로드 시 변경 사항이 덮어써지는 것을 방지하려면 결과 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. {% endhint %} ## 디택션에서 데이터 작업하기 #### 스키마 정의 Panther의 스키마는 다음 유형에 대한 유용한 정보를 제공합니다 *필드* 데이터에 포함된 항목으로, 디택션을 작성할 때 데이터와 상호작용하는 방법을 더 쉽게 이해할 수 있게 해줍니다. 스키마 정의는 다음에서 찾을 수 있습니다: * Panther 문서 * 다음 내에서 각 통합에 대한 스키마를 확인하세요: [지원되는 로그](/ko/data-onboarding/supported-logs.md) 문서의 섹션. 사용자 지정 로그 스키마에 대한 자세한 정보는 다음에서 확인하세요: [사용자 지정 로그](/ko/data-onboarding/custom-log-types.md). * Panther 콘솔 * Panther 콘솔에 로그인한 다음 다음으로 이동하세요: **데이터 > 스키마**. #### 데이터 탐색기에서 샘플 추출 Data Explorer는 Python 코드를 작성할 때 데이터, 데이터 위치, 데이터 형식을 더 쉽게 이해하고 조사할 수 있게 해줍니다. 여기에는 Panther가 로그 소스에서 구문 분석한 모든 데이터가 포함되며, 해당 데이터는 테이블에 저장됩니다. 관심 있는 디택션을 작성하기 위한 로그 유형을 관련 테이블에서 검색하여 로그 이벤트를 탐색하고 찾으세요. 할 수 있습니다 [예시 테이블 데이터를 미리 보기](https://docs.panther.com/data-analytics/data-explorer#preview-table-data) SQL을 작성하지 않고도. 해당 로그 소스에 대한 샘플 SQL 쿼리를 생성하려면 테이블 유형 옆의 눈 아이콘을 클릭하세요:
The eye icon is circled next to a table type on the left side of Data Explorer
쿼리에서 결과가 생성되면 Results 테이블에서 예시 로그 이벤트를 볼 수 있습니다. 이를 CSV 파일로 다운로드할 수 있습니다. 사용할 로그 이벤트를 복사하려면 [단위 테스트](https://docs.panther.com/writing-detections/testing) 디택션을 작성하는 동안, 클릭하세요 **JSON 보기**. ## **신호 vs. 알림** {% hint style="warning" %} 이 섹션에서는 이전에 신호와 경고가 "룰 매치"와 어떻게 다른지 설명했습니다. Panther는 더 이상 기록하지 않을 것입니다 `팬서_룰_일치`, `panther_룰_오류`, 그리고 `팬서 보기` 2026년 7월 20일에. 이러한 위치에 기록된 데이터는 이미 새 위치에 동시에 기록되고 있으며, 어떤 과거 데이터도 손실되지 않습니다. 이 변경 사항에 대해 자세히 알아보세요. [지식 베이스 문서](https://help.panther.com/articles/5933510363-notice-about-panther-no-longer-writing-to-certain-databases). {% endhint %} 일치가 있을 때마다 [룰](/ko/detections/rules.md), [예약된 룰](/ko/detections/rules.md), 또는 [상관 룰](/ko/detections/correlation-rules.md): * A [신호](/ko/detections/signals.md) 이 생성됩니다. 이는 룰, 예약된 룰 또는 상관 룰에 설정된 어떤 구성과도 관계없이 참입니다. * 룰, 예약된 룰 또는 상관 룰에 알러트 기능이 활성화되어 있으면(즉, 콘솔에서, **알러트 생성** 로 설정됨 **`켜짐`**, 또는 CLI 워크플로에서 `알러트 생성` 로 설정됨 `true`), 하나의 [알러트](/ko/alerts.md) 디택션의 이벤트 임계값 및 중복 제거 구성에 따라 알러트가 생성됩니다). 디택션에 대해 알러트 지정이 비활성화되어 있으면 알러트가 생성되지 않습니다. 일치가 있을 때마다 [정책](/ko/detections/policies.md), 규정 준수 실패가 생성되며(신호는 생성되지 않습니다). 정책은 알러트 지정을 비활성화하도록 구성할 수 없습니다. ## 디택션 기능
간단한 디택션 Panther의 Simple 디택션 기능에는 [간단한 디택션 빌더](/ko/detections/rules/simple-detection-builder.md) Panther Console에서, 그리고 [CLI 워크플로우의 간단한 디택션](/ko/detections/rules/writing-simple-detections.md). 이러한 기능들을 함께 사용하면 기술 숙련도가 다양한 팀원들이 디택션 관리를 위해 협업할 수 있습니다.
Panther에서 관리하는 디택션 Panther에는 Panther가 핵심 로직을 작성하고 주기적으로 업데이트하는 여러 Panther에서 관리하는 디택션이 포함되어 있습니다. Panther에서 관리하는 디택션을 사용하면 직접 작성해야 하는 수고를 덜 수 있으며, Panther가 새 버전을 릴리스할 때 시간이 지나며 핵심 디택션 로직의 개선 사항을 계속 받을 수 있다는 이점이 있습니다. 자세한 내용은 [Panther에서 관리하는 디택션 사용](/ko/detections/panther-managed.md).
디택션 팩 Panther packs는 논리적으로 디택션을 그룹화하고 Panther Console을 통해 업데이트합니다. 디택션 팩은 디택션, 쿼리, 글로벌 헬퍼, 데이터 모델 또는 Lookup Tables를 포함하되 이에 국한되지 않는 Panther 기능을 원하는 수만큼 그룹화할 수 있습니다. packs는 이 오픈 소스 저장소에 정의되어 있습니다: [`panther-labs/panther-analysis`](https://github.com/panther-labs/panther-analysis). 자세한 내용은 [디택션 팩](/ko/detections/panther-managed/packs.md).
인라인 필터 인라인 필터는 디택션의 룰 함수보다 먼저 평가되는 조건문입니다. 인라인 필터를 적용하여 다음을 포함해 디택션을 쉽게 조정할 수 있습니다 [Panther-managed 디택션](#panther-managed-detections). 필터는 반환해야 합니다 `true` (즉, 이벤트와 일치해야 합니다) 그래야 코드로 작성된 룰 함수가 실행될 수 있습니다. 디택션의 로그 유형에 따라 다음을 선택할 수 있습니다 `필드` 를 필터링할 대상입니다. 그런 다음 `연산자` 를 지정하고, 필요한 경우 `값`. 자세한 내용은 [인라인 필터로 디택션 수정](/ko/detections/rules/inline-filters.md).
파생 Panther에서 하나의 Base Detection에서 하나 이상의 Derived Detections를 만들 수 있습니다. Derived Detections는 변경 불가능한 Base Detection의 핵심 디택션 로직과, 각 Derived Detection마다 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다. 다음에서 자세히 알아보세요 [파생 디택션](/ko/detections/rules/derived.md).
테스트 Panther의 디택션 테스트는 디택션이 예상대로 동작하고 올바르게 배포되면 알러트를 생성하도록 보장합니다. 테스트 입력은 신뢰성을 확보하고 코드가 발전함에 따른 회귀를 방지하기 위해 알러트가 생성될지 여부를 확인하는 데 사용됩니다. 자세한 내용은 [테스트.](/ko/detections/testing.md)
데이터 리플레이 Data Replay (Beta)를 사용하면 룰을 과거 로그 데이터에 대해 테스트하여 활성화하기 전에 룰의 결과를 미리 볼 수 있습니다. Data Replay는 디택션을 배포하기 전에 어떤 유형의 알러트를 받을 가능성이 높은지 시뮬레이션할 수 있습니다. 자세한 내용은 [데이터 리플레이](/ko/detections/testing/data-replay.md).
캐싱 Panther는 이벤트를 하나씩 검사하고 호출 간 결과를 캐시할 수 있는 방법을 제공합니다. 상태를 유지하는 검사를 수용하기 위해, Panther 룰은 내장 헬퍼 함수를 사용하여 값을 캐시할 수 있습니다. 자세한 내용은 [캐싱.](/ko/detections/rules/python/caching.md)
데이터 모델 Panther의 데이터 모델은 모든 로그 유형에 걸쳐 통합된 필드 집합을 구성할 수 있는 방법을 제공합니다. 데이터 모델을 사용하면 여러 로그 유형에서 특정 필드를 한 번에 모니터링할 수 있어, 번거롭고 복잡한 개별 로그 모니터링을 피할 수 있습니다. 자세한 내용은 [데이터 모델](/ko/detections/rules/python/data-models.md).
전역 헬퍼 함수 Panther는 전역 analysis 유형을 통해 중복 코드를 헬퍼 함수로 추출하는 일반적인 프로그래밍 패턴을 지원합니다. `전역` 디택션에 전역 헬퍼 함수를 가져오려면 analysis 함수 본문의 맨 위에 특정 명령을 삽입한 다음, 다른 Python 라이브러리처럼 전역 함수를 호출하면 됩니다. 자세한 내용은 [전역 헬퍼 함수](/ko/detections/rules/python/globals.md).
프레임워크 매핑 Panther는 룰, 정책, 예약 룰을 컴플라이언스 프레임워크(포함 [MITRE ATT\&CK](https://attack.mitre.org/)®)에 매핑하여 해당 프레임워크에 대한 커버리지를 추적할 수 있도록 지원합니다. 보고서는 Panther Console의 Detections > All Detections 탐색 섹션에서 디택션에 매핑할 수 있습니다. 자세한 내용은 [프레임워크 매핑 및 MITRE ATT\&CK® 매트릭스](/ko/detections/report-mapping.md).
--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/detections.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.