콘텐츠 카탈로그 (Beta)
Panther 콘솔에서 Panther가 관리하는 개별 분석 항목을 찾아보고, 설치하고, 업데이트하세요
콘텐츠 카탈로그는 Panther 버전 1.125 기준으로 비공개 베타입니다. 접근 권한을 요청하려면 Panther 지원팀에 문의하세요.
개요
콘솔의 한 페이지로, 개별 Panther 관리 분석 항목을 찾아보고, 설치하고, 업데이트할 수 있습니다. 콘텐츠 카탈로그는 궁극적으로 다음을 대체하도록 설계되었습니다 디택션 팩 콘솔에서 Panther 관리 콘텐츠를 사용하는 기본 방식으로.
콘텐츠 카탈로그는 앱 스토어와 비슷하게 작동합니다. 콘텐츠 카탈로그를 탐색할 때는 설치할 수 있지만 아직 환경에는 존재하지 않는 콘텐츠를 보고 있는 것입니다. 항목에서 설치 를 클릭하면 Panther는 해당 항목의 복사본을 사용자의 Panther 인스턴스에 생성하며, 해당 복사본은 전적으로 사용자 소유가 됩니다. 그 시점부터는 맞춤 디택션에서처럼 핵심 로직까지 포함해 항목의 어느 부분이든 편집할 수 있습니다. Panther는 원본 버전의 항목을 계속 추적하며, 새 버전이 출시되면 콘텐츠 카탈로그가 설치된 복사본에 대한 업데이트를 표시합니다.
콘텐츠 카탈로그는 다음 Panther 관리 항목 유형을 지원합니다:
규칙, 예약 규칙 및 상관 규칙
정책
글로벌 헬퍼
데이터 모델
엔리치먼트
저장된 쿼리 및 예약 쿼리
콘텐츠 카탈로그에는 두 개의 탭이 있습니다:
탐색: 설치할 수 있는 모든 Panther 관리 항목을 나열합니다.
설치됨: 설치한 항목을 나열하고, 그중 업데이트가 가능한 항목을 표시합니다.
콘텐츠 카탈로그와 디택션 팩 비교
콘텐츠 카탈로그와 디택션 팩 는 Panther 콘솔에서 Panther 관리 콘텐츠를 사용하는 두 가지 서로 다른 방식입니다. 둘 사이의 가장 중요한 차이점은 설치된 항목의 소유권입니다.
디택션 팩을 활성화하면 Panther가 해당 팩의 디택션을 소유합니다. 편집할 수 있는 필드는 제한적입니다—활성화됨/비활성화됨, 심각도, 중복 제거 기간, 이벤트 임계값, 대상 재정의, 그리고 런북—그리고 핵심 디택션 로직(Python, YAML, 단위 테스트)은 Panther 콘솔에서 읽기 전용입니다. 팩에 있는 디택션의 핵심 로직을 변경하려면 복제해야 합니다, 그러면 Panther의 업데이트를 더 이상 받지 않는 별도의 비관리 복사본이 생성됩니다.
콘텐츠 카탈로그에서 항목을 설치하면 해당 항목을 전적으로 소유하게 됩니다. 설치된 복사본은 맞춤 항목처럼 정확히 사용자의 환경에 존재합니다. 세부 정보 페이지에서 Python, YAML, 단위 테스트, 메타데이터를 직접 편집할 수 있습니다. 사용자 지정하려고 복제할 필요가 없으며, Panther가 새 버전을 출시하면 콘텐츠 카탈로그가 계속해서 해당 항목의 업데이트를 표시합니다. Panther는 항목 ID를 사용해 항목에 업데이트가 있는지 추적합니다. 따라서 ID를 제외한 항목의 모든 부분을 편집할 수 있습니다. 다른 ID는 완전히 새로운 항목과 같습니다.
아래 표는 차이점을 요약합니다:
설치된 항목의 소유권
Panther가 팩 안의 항목을 소유합니다.
설치한 모든 항목을 전적으로 소유합니다.
편집 가능한 항목
오직 활성화됨/비활성화됨, 심각도, 중복 제거 기간, 이벤트 임계값, 대상 재정의, 그리고 런북. 핵심 디택션 로직은 읽기 전용입니다.
ID를 제외한 Python, YAML, 단위 테스트, 메타데이터 등 모든 것.
설치 단위
많은 항목을 포함할 수 있는 전체 팩입니다. 팩을 활성화하면 그 안의 모든 디택션이 활성화됩니다.
개별 항목입니다. 항목을 하나씩 설치합니다.
추가 사용자 지정
항목을 복제해야 하며, 그러면 팩과의 연결이 끊어지고 더 이상 업데이트를 받지 못합니다.
필요하지 않습니다. 설치된 항목은 이미 사용자의 소유이며 계속 업데이트를 받습니다.
업데이트 수신
업데이트는 팩 수준에서 적용됩니다. 팩을 업데이트하면 그 안의 모든 디택션이 업데이트됩니다.
업데이트는 항목별로 적용됩니다. 항목을 하나씩 업데이트하거나 모두 업데이트 를 사용하여 사용 가능한 모든 업데이트를 한 번에 적용할 수 있습니다.
디택션 팩에서 사용할 수 있는 거의 모든 항목은 콘텐츠 카탈로그에서도 개별적으로 사용할 수 있으며, 콘텐츠 카탈로그에는 어떤 팩에도 포함되지 않은 추가 항목도 있습니다.
디택션 팩과 콘텐츠 카탈로그의 상호 작용 방식
Panther는 모든 분석 항목을 고유 ID로 식별하며, 사용자의 환경에는 항목당 하나의 레코드만 존재합니다. 즉, 팩 관리 항목과 동일한 ID를 가진 콘텐츠 카탈로그 항목은 동일한 기반 레코드이며, 두 개의 별도 복사본이 아닙니다. 따라서 디택션 팩을 활성화하거나 업데이트하면 콘텐츠 카탈로그를 통해 관리하는 항목이 변경될 수 있습니다:
팩 활성화 콘텐츠 카탈로그를 통해 소유하고 있는 항목이 포함된 경우, 해당 항목은 다시 팩 관리 항목으로 전환되어 사용자 지정이 덮어써집니다. 핵심 디택션 로직(Python), 표시 이름, 태그, 단위 테스트, 설명 및 로그 유형은 모두 팩 버전으로 대체됩니다.
활성화된 팩 업데이트 도 동일한 효과가 있습니다. 팩에 포함된 항목에 대한 사용자 지정을 덮어씁니다.
비활성화된 팩 업데이트 는 사용자 지정을 덮어쓰지 않습니다.
팩 비활성화 는 어떤 항목도 삭제하지 않지만, 콘텐츠 카탈로그에서 다시 설치하여 자신의 항목으로 만든 항목을 포함해 팩에 포함된 모든 항목을 비활성화합니다.
콘텐츠 카탈로그를 사용하기 시작하면, 카탈로그를 통해 관리하는 항목이 포함된 디택션 팩의 활성화 및 업데이트를 중단할 것을 권장합니다. 그렇게 하면 해당 항목이 덮어써지거나 비활성화될 수 있기 때문입니다. (항목을 Panther 관리 버전으로 되돌려야 한다면, 의도적으로 해당 팩을 다시 활성화하면 됩니다.)
항목을 디택션 팩에서 콘텐츠 카탈로그로 이동하기
현재 디택션 팩을 통해 사용자의 환경에 제공되고 있는 항목의 전체 소유권을 가져오려면, 해당 항목을 삭제한 다음 콘텐츠 카탈로그에서 설치하세요. 새로 설치된 항목은 전적으로 사용자의 소유가 되며, 이후에는 콘텐츠 카탈로그를 통해 업데이트를 받게 됩니다.
디택션 팩에서 항목을 삭제한 뒤 콘텐츠 카탈로그에서 다시 설치하면, 해당 항목에 적용한 사용자 지정은 모두 삭제됩니다. Panther 관리 기본값부터 시작하게 됩니다.
사용자 지정을 보존하는 팩 마이그레이션 워크플로는 향후 Panther 릴리스에서 제공될 예정입니다.
필수 권한
콘텐츠 카탈로그를 사용하는 데 필요한 권한은 기본 항목 유형에 대한 권한과 일치합니다. 콘텐츠 카탈로그에서 특정 유형의 항목을 보려면 해당 읽기 권한이 필요합니다. 항목을 설치, 업데이트 또는 제거하려면 해당 수정 권한이 필요합니다.
규칙, 예약 규칙, 상관 규칙, 정책
RuleRead, PolicyRead
RuleModify, PolicyModify
글로벌 헬퍼
RuleRead, PolicyRead
RuleModify, PolicyModify
데이터 모델
LogSourceRead
LogSourceModify
엔리치먼트
LookupRead
LookupModify
저장된 쿼리, 예약 쿼리
DataAnalyticsRead
DataAnalyticsModify
콘텐츠 카탈로그 사용 방법
마지막 업데이트
도움이 되었나요?