# Panther 관리형 디택션 사용하기
## 개요
Panther에는 기본 제공 Python 디택션이 여러 개 포함되어 있으며, 이를 Panther가 관리하는 디택션(Panther-managed detections)이라고 합니다. Panther는 이러한 디택션의 핵심 로직을 작성하고, 주기적으로 개선 사항을 릴리스합니다. Panther가 관리하는 디택션을 사용하면 처음부터 직접 작성해야 하는 수고를 덜 수 있을 뿐 아니라, Panther가 새 버전을 릴리스할 때 시간이 지나면서 핵심 디택션 로직의 개선 사항을 계속 받을 수 있다는 이점도 제공합니다.
Panther가 관리하는 디택션은 다음과 같을 수 있습니다:
* [있는 그대로 활성화](#enabling-and-disabling-panther-managed-detections)
* 활성화하고 다음으로 조정 [인라인 필터](#inline-filters) 및/또는 해당 [편집 가능한 필드](#editable-fields)
* 다음과 함께 Base Detection으로 사용 [디택션 파생](/ko/detections/rules/derived.md)
* [복제 및 편집](#how-to-clone-a-panther-managed-detection) (복제된 디택션은 Panther가 관리하지 않으며 지속적인 업데이트를 받지 않습니다)
Panther Console에서 또는 다음을 사용하여 Panther가 관리하는 디택션을 작업할 수 있습니다. [Panther CLI 워크플로](/ko/panther/overview.md).
대부분의 Panther가 관리하는 디택션은 다음 안에 포함되어 있습니다. [디택션 팩](/ko/detections/panther-managed/packs.md)—디택션의 논리적 그룹화—하지만 일부는 그렇지 않습니다. 일반적으로 allowlist 또는 denylist에 사용자 지정 값을 추가하는 등 추가 구성이 필요하기 때문입니다. 이러한 디택션을 Packs에서 제외하면, 필요한 구성이 없이 활성화되어 오탐 경고를 생성할 가능성을 줄일 수 있습니다. Pack에 포함되지 않은 Panther가 관리하는 디택션의 몇 가지 예는 다음과 같습니다:
* [AWS.Resource.RequiredTags](https://github.com/panther-labs/panther-analysis/blob/19a9e47e347f711df173bcfe07b7db9cf003ed7e/policies/aws_account_policies/aws_resource_required_tags.py)
* [AWS.GuardDuty.Enabled](https://github.com/panther-labs/panther-analysis/blob/cd220c87982011d4ad156c7daecd2857c358d154/policies/aws_guardduty_policies/aws_guardduty_enabled.py)
* [Crowdstrike.DNS.Request](https://github.com/panther-labs/panther-analysis/blob/19a9e47e347f711df173bcfe07b7db9cf003ed7e/rules/crowdstrike_rules/crowdstrike_dns_request.py)
* [GCP.UnusedRegions](https://github.com/panther-labs/panther-analysis/blob/7e124d51379de04aaf51b63c1561c09a7c7802bc/rules/gcp_audit_rules/gcp_unused_regions.py)
* [GSuite.DriveVisibilityChanged](https://github.com/panther-labs/panther-analysis/blob/9d466d95ab9a4f8c2bb78ff8e77271edf45b7818/rules/gsuite_reports_rules/gsuite_drive_visibility_change.py)
{% hint style="info" %}
현재로서는 복제, 수정 및 업로드가 가능한 것은 Python Panther가 관리하는 디택션뿐입니다. Panther가 관리하는 Simple Detections는 향후 릴리스를 위해 계획되어 있습니다.
{% endhint %}
## Panther가 관리하는 디택션 사용 방법
### 사용 가능한 Panther가 관리하는 디택션 보기
사용 가능한 Panther가 관리하는 디택션의 전체 목록은 아래 설명과 같이 Console과 GitHub에서 볼 수 있습니다.
{% tabs %}
{% tab title="콘솔" %}
**Panther Console에서 사용 가능한 Panther가 관리하는 디택션 보기**
Console에서 Panther가 관리하는 디택션을 볼 수 있습니다:
1. Panther Console의 왼쪽 탐색 표시줄에서 **디택션**.
2. 을 클릭합니다 **필터** 아이콘.
3. 에서 **작성자** 필터에서 **Panther 작성자 선택**.
4. 선택적으로, 다음 룰을 선택 **데이터 소스** 디택션을 볼 항목을 선택합니다.
5. 을 클릭합니다 **필터 적용**.
{% hint style="info" %}
Pack에 포함된 Panther가 관리하는 디택션만 기본적으로 Panther 인스턴스에서 사용할 수 있다는 점에 유의하세요. Pack에 포함되지 않은 Panther가 관리하는 디택션(예: 위에 [나열된 것 중 하나](#overview)와 같은 항목)을 작업하려면, 로드하도록 도움을 받기 위해 Panther 지원 팀에 문의하세요.
{% endhint %}
{% endtab %}
{% tab title="GitHub" %}
**GitHub에서 사용 가능한 Panther가 관리하는 디택션 보기**
Panther의 공개 [panther-analysis](https://github.com/panther-labs/panther-analysis) GitHub 저장소에서 모든 Panther가 관리하는 디택션을 볼 수 있습니다. 이들은 다음 위치의 [룰](https://github.com/panther-labs/panther-analysis/tree/master/rules) Run Panther AI [정책](https://github.com/panther-labs/panther-analysis/tree/master/policies) 하위 디렉터리에 있습니다.
{% endtab %}
{% endtabs %}
### Panther가 관리하는 디택션 활성화 및 비활성화
Panther가 관리하는 디택션은 Panther Console 또는 Panther CLI 워크플로를 사용하여 활성화 및 비활성화할 수 있습니다:
{% tabs %}
{% tab title="콘솔" %}
**Panther Console에서 Panther가 관리하는 디택션 활성화 및 비활성화**
Panther가 관리하는 디택션은 Panther Console에서 활성화 및 비활성화할 수 있습니다.
디택션 목록 페이지에서 Panther가 관리하는 디택션을 활성화하거나 비활성화하려면:
1. Panther Console의 왼쪽 탐색 표시줄에서 **디택션**.
* 활성화하거나 비활성화할 Panther가 관리하는 디택션을 찾습니다.
2. 디택션 이름 왼쪽에서 체크박스를 클릭합니다.\
3. 페이지 상단에서 다음을 클릭합니다. **활성화** 또는 **비활성화**.
세부 정보 페이지에서 Panther가 관리하는 디택션을 활성화하거나 비활성화하려면:
1. Panther Console의 왼쪽 탐색 표시줄에서 **디택션**.
* 활성화하거나 비활성화할 Panther가 관리하는 디택션을 찾습니다.
2. 디택션의 이름을 클릭하여 해당 세부 정보 페이지로 이동합니다.
3. 오른쪽 상단 모서리에서 다음을 전환합니다. **활성화됨** ON 또는 OFF로 전환합니다.
4. 오른쪽 상단에서 **업데이트**.
{% hint style="info" %}
Pack에 포함된 Panther가 관리하는 디택션만 기본적으로 Panther 인스턴스에서 사용할 수 있다는 점에 유의하세요. Pack에 포함되지 않은 Panther가 관리하는 디택션(예: 위에 [나열된 것 중 하나](#overview)와 같은 항목)을 작업하려면, 로드하도록 도움을 받기 위해 Panther 지원 팀에 문의하세요.
{% endhint %}
{% endtab %}
{% tab title="CLI" %}
**CLI 워크플로를 사용하여 Panther가 관리하는 디택션을 활성화 및 비활성화하기**
에서 CLI 워크플로를 사용하여 Panther가 관리하는 디택션을 활성화 및 비활성화하는 방법을 알아보세요 [Panther 디택션 저장소 사용](/ko/panther/detections-repo.md).
{% endtab %}
{% endtabs %}
### Panther가 관리하는 디택션 업데이트 또는 이전 버전으로 롤백
Panther가 새 버전을 출시할 때 Panther가 관리하는 디택션을 업데이트하거나(또는 이전 버전으로 되돌리려면) 다음 안내를 따르세요 [디택션 Packs의 디택션 Pack 업데이트 또는 롤백 지침](/ko/detections/panther-managed/packs.md#update-or-roll-back-detection-pack).
디택션 Packs에 포함된 Panther가 관리하는 디택션만 버전 관리되므로, 업데이트 또는 롤백이 가능합니다.
### Panther가 관리하는 디택션을 사용자 지정하는 방법
다음을 추가하여 Panther가 관리하는 디택션을 사용자 지정할 수 있습니다 [인라인 필터](#inline-filters), 그 [편집 가능한 필드](#editable-fields)를 수정하거나 [디택션 상속](#detection-inheritance)을 사용할 수 있습니다. 이러한 옵션을 사용하면 Panther의 핵심 디택션 로직 업데이트를 계속 받으면서도 자체 튜닝 및 사용자 지정을 추가할 수 있습니다.
Panther가 관리하는 디택션의 핵심 룰 로직(읽기 전용)을 수정해야 하는 경우, 대신 [복제하여 편집할 수 있습니다](#how-to-clone-a-panther-managed-detection). 복제된 디택션은 Panther가 아닌 사용자가 관리하므로, 시간이 지나도 Panther의 핵심 디택션 로직 개선 사항을 받지 않습니다. 따라서 가능한 경우 이 섹션에 설명된 사용자 지정 기법을 사용하는 것을 권장합니다.
#### 인라인 필터
룰 필터를 추가하여 Panther가 관리하는 룰을 쉽게 조정할 수 있습니다. 자세한 지침은 [인라인 필터로 디택션 수정하기](/ko/detections/rules/inline-filters.md) 를 참조하세요.
사용자 지정된 디택션이 디택션 Pack의 일부이고 Pack이 업데이트되거나 다른 버전으로 되돌려져도 인라인 필터는 유지됩니다.
인라인 필터는 룰에만 적용되며, 정책이나 예약 룰에는 적용되지 않습니다.
#### 편집 가능한 필드
Panther가 관리하는 디택션은 핵심 디택션 로직 편집은 허용하지 않지만, Panther Console에서 특정 메타데이터 필드를 사용자 지정할 수는 있습니다. (모든 *다른* 필드는 Panther Console에서 회색으로 표시되며, **룰 함수** Run Panther AI **단위 테스트** 편집기는 읽기 전용입니다.) 편집 가능한 필드는 다음과 같습니다:
* 활성화 / 비활성화
* 심각도
* 중복 제거 기간
* 이벤트 임계값
* 대상 재정의
* 런북
Panther Console에서 이러한 필드에 대해 변경한 내용은 사용자 지정된 디택션이 디택션 Pack의 일부이고 Pack이 업데이트되거나 다른 버전으로 되돌려져도 유지됩니다.
Panther Console에서 편집 가능한 필드를 변경할 수 있습니다:
1. Panther Console의 왼쪽 탐색 표시줄에서 **빌드** > **디택션**.
2. 편집하려는 디택션을 찾은 다음, 이름을 클릭하여 세부 정보 페이지로 이동합니다.
3. 다음으로 스크롤합니다 **알러트 필드 설정** 섹션.
4. 디택션에 원하는 변경 사항을 적용합니다.
* 편집할 수 없는 필드는 회색으로 표시됩니다.
5. 을 클릭합니다 **업데이트** 페이지 오른쪽 상단에서 변경 사항을 저장합니다.
#### 디택션 상속
디택션 상속을 사용하면 Panther가 관리하는 디택션을 Base Detections로 사용하여 자체 Derived Detections를 만들 수 있습니다. Derived Detections는 변경할 수 없는 Base Detection의 핵심 로직과 덮어쓸 수 있는 메타데이터 필드 값을 상속합니다.
자세한 내용은 [디택션 상속](/ko/detections/rules/derived.md).
## Panther가 관리하는 디택션을 복제하는 방법
Panther가 관리하는 디택션이 요구 사항에 맞지 않는 경우, 복제한 다음 복제본을 편집할 수 있습니다:
1. Panther Console의 왼쪽 탐색 표시줄에서 **빌드** > **디택션**.
2. 편집하려는 디택션을 찾은 다음 이름을 클릭합니다.
3. 디택션 세부 정보 페이지의 오른쪽 상단에서 점 3개 >를 클릭합니다 **복제**.\
4. 표준 디택션 생성 인터페이스로 이동합니다. 필요에 따라 복제된 디택션의 **Name**.
* 기본적으로 복제된 디택션의 이름에는 `(Copy)` 가 추가됩니다.
5. 오른쪽 상단에서 다음을 클릭합니다 **계속**.
6. 복제된 디택션의 세부 정보 페이지에서 복제한 디택션 사본에 원하는 변경 사항을 적용합니다.
* the **활성화됨** toggle의 기본값은 원래 디택션의 활성화 상태와 동일합니다. 즉, Panther가 관리하는 디택션이 비활성화되어 있었다면 toggle은 OFF로 설정됩니다.
7. 오른쪽 상단에서 다음을 클릭합니다 **저장.**\
클로닝하고 디택션을 편집해도 원래 디택션의 활성화됨 상태는 변경되지 않는다는 점에 유의하세요. 즉, 원래 Panther에서 관리하는 디택션이 활성화되어 있었더라도 사용자 지정 복사본을 *교체* 그것은, 다시 돌아가 Panther-managed 디택션을 비활성화해야 합니다.
복제된 디택션은 Panther에서 관리되지 않으며 지속적인 업데이트도 받지 않습니다(Pack에 포함된 Panther 관리 디택션들이 받는 것처럼). 디택션의 원래 버전(팩에 포함된 경우)은 활성화되어 있든 비활성화되어 있든 평소와 같이 계속 업데이트를 받습니다.
## Panther가 관리하는 탐지에 대한 알러트 런북
알러트 런북은 알러트를 트리거한 문제를 해결하기 위한 지침 모음입니다. Panther는 Panther가 관리하는 여러 정책 및 규칙에 대한 알러트 런북을 제공합니다. 다음에서 찾아보세요 [알러트 실행 가이드](/ko/alerts/alert-runbooks.md).
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/detections/panther-managed.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.