> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/detections/panther-managed.md).

# Panther 관리 디택션 사용

## 개요

Panther에는 Panther-managed detection이라고 불리는, 바로 사용할 수 있는 여러 Python 디택션이 포함되어 있습니다. Panther는 이러한 디택션의 핵심 로직을 작성했으며, 정기적으로 개선 사항을 릴리스합니다. Panther-managed 디택션을 사용하면 처음부터 직접 작성해야 하는 수고를 덜 수 있을 뿐만 아니라, Panther가 새 버전을 릴리스할 때 시간이 지남에 따라 핵심 디택션 로직에 대한 개선 사항을 지속적으로 받을 수 있다는 이점도 있습니다.

Panther-managed 디택션은 다음과 같을 수 있습니다:

* [그대로 활성화](#enabling-and-disabling-panther-managed-detections)
* 활성화하고 다음을 사용해 조정 [인라인 필터](#inline-filters) 및/또는 그 [편집 가능한 필드](#editable-fields)
* 다음과 함께 Base Detection으로 사용 [디택션 파생](/ko/detections/rules/derived.md)
* [복제 후 편집](#how-to-clone-a-panther-managed-detection) (복제된 디택션은 Panther가 관리하지 않으며 지속적인 업데이트를 받지 않습니다)

Panther Console에서 또는 다음을 사용하여 Panther-managed 디택션을 다룰 수 있습니다. [Panther CLI 워크플로](/ko/panther/overview.md).

대부분의 Panther-managed 디택션은 다음에 포함되어 있습니다 [디택션 팩](/ko/detections/panther-managed/packs.md)—디택션의 논리적 그룹화—이지만, 일부는 그렇지 않습니다. 일반적으로 allowlist 또는 denylist에 사용자 지정 값을 추가하는 등 추가 구성이 필요하기 때문입니다. 이러한 디택션을 Pack에서 제외하면 필요한 구성 없이 활성화되어 오탐지 경보를 생성할 가능성이 줄어듭니다. Pack에 포함되지 않은 Panther-managed 디택션의 예시는 다음과 같습니다:

* [AWS.Resource.RequiredTags](https://github.com/panther-labs/panther-analysis/blob/19a9e47e347f711df173bcfe07b7db9cf003ed7e/policies/aws_account_policies/aws_resource_required_tags.py)
* [AWS.GuardDuty.Enabled](https://github.com/panther-labs/panther-analysis/blob/cd220c87982011d4ad156c7daecd2857c358d154/policies/aws_guardduty_policies/aws_guardduty_enabled.py)
* [Crowdstrike.DNS.Request](https://github.com/panther-labs/panther-analysis/blob/19a9e47e347f711df173bcfe07b7db9cf003ed7e/rules/crowdstrike_rules/crowdstrike_dns_request.py)
* [GCP.UnusedRegions](https://github.com/panther-labs/panther-analysis/blob/7e124d51379de04aaf51b63c1561c09a7c7802bc/rules/gcp_audit_rules/gcp_unused_regions.py)
* [GSuite.DriveVisibilityChanged](https://github.com/panther-labs/panther-analysis/blob/9d466d95ab9a4f8c2bb78ff8e77271edf45b7818/rules/gsuite_reports_rules/gsuite_drive_visibility_change.py)

{% hint style="info" %}
현재는 복제, 수정 및 업로드할 수 있는 Panther-managed Python 디택션만 사용할 수 있습니다. Panther-managed Simple Detections는 향후 릴리스를 위해 계획되어 있습니다.
{% endhint %}

## Panther-managed 디택션 사용 방법

### 사용 가능한 Panther-managed 디택션 보기

Panther-managed 디택션의 전체 목록은 아래 설명대로 Console과 GitHub에서 볼 수 있습니다.

{% tabs %}
{% tab title="콘솔" %}
**Panther Console에서 사용 가능한 Panther-managed 디택션 보기**

Console에서 Panther-managed 디택션을 볼 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**.
2. 다음을 클릭합니다: **필터** 아이콘.
3. 다음의 **작성자** 필터, 다음을 선택 **Panther가 생성함**.

   <figure><img src="/files/f83f32f9337bf5b7210ec8ad0ba37781b41e92aa" alt="A &#x22;Filters&#x22; panel is shown, with various dropdown fields, including &#x22;Detection Types,&#x22; &#x22;Severities&#x22; and &#x22;State.&#x22;" width="173"><figcaption></figcaption></figure>
4. 선택적으로, 룰을 선택하세요 **데이터 소스** 디택션을 확인하려는 항목입니다.
5. 다음을 클릭합니다: **필터 적용**.

{% hint style="info" %}
Pack에 포함된 Panther-managed 디택션만 기본적으로 Panther 인스턴스에서 사용할 수 있습니다. Pack에 포함되지 않은 Panther-managed 디택션을 사용하고 싶다면(예: 아래에 있는 것들 중 하나처럼 [위에 나열된](#overview)), 불러오는 데 도움이 필요하면 Panther 지원 팀에 문의하세요.
{% endhint %}
{% endtab %}

{% tab title="GitHub" %}
**GitHub에서 사용 가능한 Panther-managed 디택션 보기**

Panther의 공개 [panther-analysis](https://github.com/panther-labs/panther-analysis) GitHub 저장소에서 모든 Panther-managed 디택션을 볼 수 있습니다. 이들은 다음에 위치한 [룰](https://github.com/panther-labs/panther-analysis/tree/master/rules) 그리고 [정책](https://github.com/panther-labs/panther-analysis/tree/master/policies) 하위 디렉터리입니다.
{% endtab %}
{% endtabs %}

### Panther-managed 디택션 활성화 및 비활성화

Panther Console에서 또는 Panther CLI 워크플로를 사용하여 Panther-managed 디택션을 활성화하거나 비활성화할 수 있습니다:

{% tabs %}
{% tab title="콘솔" %}
**Panther Console에서 Panther-managed 디택션 활성화 및 비활성화**

Panther Console에서 Panther-managed 디택션을 활성화하거나 비활성화할 수 있습니다.

디택션 목록 페이지에서 Panther-managed 디택션을 활성화하거나 비활성화하려면:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**.
   * 활성화하거나 비활성화하려는 Panther-managed 디택션을 찾으세요.
2. 디택션 이름 왼쪽의 체크박스를 클릭합니다.\
   ![](/files/6b657fbdcce44cb92a4cfa8f856693af8c5ca924)
3. 페이지 상단에서 다음을 클릭합니다 **활성화** 또는 **비활성화**.

세부 정보 페이지에서 Panther-managed 디택션을 활성화하거나 비활성화하려면:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**.
   * 활성화하거나 비활성화하려는 Panther-managed 디택션을 찾으세요.
2. 디택션 이름을 클릭하면 세부 정보 페이지로 이동합니다.
3. 오른쪽 상단에서 다음을 전환합니다 **활성화** 토글을 ON 또는 OFF로.
4. 오른쪽 상단 모서리에서 다음을 클릭하세요 **업데이트**.

{% hint style="info" %}
Pack에 포함된 Panther-managed 디택션만 기본적으로 Panther 인스턴스에서 사용할 수 있습니다. Pack에 포함되지 않은 Panther-managed 디택션을 사용하고 싶다면(예: 아래에 있는 것들 중 하나처럼 [위에 나열된](#overview)), 불러오는 데 도움이 필요하면 Panther 지원 팀에 문의하세요.
{% endhint %}
{% endtab %}

{% tab title="CLI" %}
**CLI 워크플로를 사용하여 Panther-managed 디택션 활성화 및 비활성화**

에서 CLI 워크플로를 사용해 Panther가 관리하는 디택션을 활성화 및 비활성화하는 방법을 알아보세요 [Panther 디택션 저장소 사용](/ko/panther/detections-repo.md).
{% endtab %}
{% endtabs %}

### Panther가 관리하는 디택션을 업데이트하거나 롤백하기

Panther가 새 버전을 출시할 때 Panther가 관리하는 디택션을 업데이트하거나 이전 버전으로 되돌리려면 다음을 따르세요 [디택션 Pack의 디택션 Pack 지침에서 업데이트 또는 롤백하기](/ko/detections/panther-managed/packs.md#update-or-roll-back-detection-pack).

디택션 Pack에 포함된 Panther가 관리하는 디택션만 버전 관리되므로, 업데이트하거나 롤백할 수 있습니다.

### Panther가 관리하는 디택션을 사용자 지정하는 방법

Panther가 관리하는 디택션은 다음을 추가하여 사용자 지정할 수 있습니다 [인라인 필터](#inline-filters), 해당 항목을 수정하거나 [편집 가능한 필드](#editable-fields), 또는 다음을 사용하여 [디택션 상속](#detection-inheritance). 이러한 옵션을 사용하면 Panther의 핵심 디택션 로직 업데이트를 계속 받으면서도 자체 튜닝과 사용자 지정을 추가할 수 있습니다.

Panther가 관리하는 디택션의 핵심 룰 로직(읽기 전용)을 수정해야 하는 경우, 대신 다음을 수행할 수 있습니다 [복제하여 편집할 수 있습니다](#how-to-clone-a-panther-managed-detection). 복제된 디택션은 Panther가 아니라 사용자가 관리하므로, 시간이 지나도 Panther의 핵심 디택션 로직 개선 사항을 받지 못합니다. 따라서 가능하다면 이 섹션에 설명된 사용자 지정 방법을 사용하는 것이 좋습니다.

#### 인라인 필터

룰 필터를 추가하여 Panther가 관리하는 룰을 쉽게 조정할 수 있습니다. 자세한 내용은 [인라인 필터로 디택션 수정하기](/ko/detections/rules/inline-filters.md) 을 참조하세요.

사용자 지정한 디택션이 디택션 Pack의 일부이고 Pack이 업데이트되거나 다른 버전으로 되돌려질 경우, 인라인 필터는 유지됩니다.

인라인 필터는 룰에만 적용되며, 정책이나 예약된 룰에는 적용되지 않습니다.

#### 편집 가능한 필드

Panther가 관리하는 디택션은 핵심 디택션 로직 편집은 허용하지 않지만, Panther Console에서 일부 메타데이터 필드는 사용자 지정할 수 있습니다. (모든 *기타* 필드는 Panther Console에서 회색으로 표시되며, **룰 함수** 그리고 **단위 테스트** 편집기는 읽기 전용입니다.) 편집 가능한 필드는 다음과 같습니다:

* 활성화 / 비활성화
* 심각도
* 중복 제거 기간
* 이벤트 임계값
* 대상 재정의
* 런북

Panther Console에서 이 필드들을 변경한 내용은, 사용자 지정한 디택션이 디택션 Pack의 일부이고 Pack이 업데이트되거나 다른 버전으로 되돌려질 경우 유지됩니다.

Panther Console에서 편집 가능한 필드를 변경할 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **빌드** > **디택션**.
2. 편집하려는 디택션을 찾아 이름을 클릭하면 세부 정보 페이지로 이동합니다.
3. 아래로 스크롤하여 **알러트 필드 설정** 섹션.
4. 디택션에 원하는 변경 사항을 적용합니다.
   * 편집할 수 없는 필드는 회색으로 표시됩니다.
5. 다음을 클릭합니다: **업데이트** 변경 사항을 저장하려면 페이지 오른쪽 상단에서

#### 디택션 상속

디택션 상속을 사용하면 Panther가 관리하는 디택션을 기본 디택션으로 사용하여 자신만의 파생 디택션을 만들 수 있습니다. 파생 디택션은 변경할 수 없는 기본 디택션의 핵심 로직과, 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다.

자세한 내용은 다음을 참조하세요 [디택션 상속](/ko/detections/rules/derived.md).

## Panther가 관리하는 디택션을 복제하는 방법

Panther가 관리하는 디택션이 필요에 맞지 않으면 복제한 다음 복제본을 편집할 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **빌드** > **디택션**.
2. 편집하려는 디택션을 찾아 이름을 클릭합니다.
3. 디택션의 세부 정보 페이지 오른쪽 상단에서 점 세 개 >를 클릭합니다 **복제**.\
   ![A three dots icon has been selected, and its menu is shown. There is an arrow pointing form the three dots to the first item in the menu, "Clone."](/files/173d2193bd44032cc5824d34c8a64c13b5cd9fe6)
4. 표준 디택션 생성 인터페이스로 이동합니다. 필요에 따라 복제된 디택션의 **이름**.
   * 복제된 디택션의 이름에는 기본적으로 `(복사본)` 이 추가됩니다.
5. 오른쪽 상단에서 다음을 클릭합니다: **계속**.
6. 복제된 디택션의 세부 정보 페이지에서 복제본에 원하는 변경 사항을 적용합니다.
   * 해당 **활성화** 토글은 원본 디택션의 활성화 상태를 기본값으로 사용합니다. 즉, Panther가 관리하는 디택션이 비활성화되어 있었다면 토글은 OFF로 설정됩니다.
7. 오른쪽 상단에서 다음을 클릭합니다: **저장합니다.**\
   ![The new detection page is shown, with the detection name filled in with Cloudflare Bot High Volume GreyNoise (Copy). There is a Log Types field shown, along with the Rule Function editor. There is an arrow pointing to the Save button in the upper-right corner.](/files/df803e9f07b8ac3426c063d6fa2985ca7fd1826e)

디택션을 복제하고 편집해도 원본 디택션의 활성화 상태는 변경되지 않습니다. 즉, 원본 Panther가 관리하는 디택션이 활성화되어 있었지만 사용자 지정 복사본을 *대체* 하려는 경우, 돌아가서 Panther가 관리하는 디택션을 비활성화해야 합니다.

복제된 디택션은 Panther의 관리를 받지 않으며 지속적인 업데이트도 받지 않습니다(디택션 Pack에 포함된 Panther가 관리하는 디택션은 그렇게 합니다). 디택션의 원본 버전(팩에 포함되어 있는 경우)은 활성화 또는 비활성화 여부와 관계없이 정상적으로 업데이트를 계속 받습니다.

## Panther가 관리하는 탐지를 위한 알러트 런북

알러트 런북은 알러트를 유발한 문제를 해결하기 위한 지침 모음입니다. Panther는 Panther가 관리하는 여러 정책과 규칙에 대한 알러트 런북을 제공합니다—다음에서 찾아보세요 [알러트 런북](/ko/alerts/alert-runbooks.md).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/detections/panther-managed.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.