> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/detections/panther-managed/content-catalog.md). # 콘텐츠 카탈로그(베타) {% hint style="warning" %} 콘텐츠 카탈로그는 Panther 버전 1.125 기준으로 비공개 베타입니다. 액세스를 요청하려면 Panther 지원 팀에 문의하세요. {% endhint %} ## 개요 콘텐츠 카탈로그는 Panther Console의 한 페이지로, 개별 Panther 관리 분석 항목을 찾아보고, 설치하고, 업데이트할 수 있습니다. 콘텐츠 카탈로그는 궁극적으로 [디택션 팩](/ko/detections/panther-managed/packs.md) Panther가 관리하는 콘텐츠를 Console에서 소비하는 기본 방식으로 대체하도록 설계되었습니다. 콘텐츠 카탈로그는 앱 스토어와 비슷하게 작동합니다. 콘텐츠 카탈로그를 둘러볼 때, 설치는 가능하지만 아직 여러분의 환경에는 존재하지 않는 콘텐츠를 보게 됩니다. 항목을 클릭하면 **설치** Panther가 해당 항목의 복사본을 여러분의 Panther 인스턴스에 생성하며, 그 복사본은 전적으로 여러분의 소유가 됩니다. 그 시점부터는 사용자 지정 디택션에서처럼, 핵심 로직을 포함해 항목의 어느 부분이든 편집할 수 있습니다. Panther는 계속해서 해당 항목의 원본 버전을 추적하며, 새 버전이 출시되면 콘텐츠 카탈로그가 설치된 복사본에 대한 업데이트를 표시합니다. 콘텐츠 카탈로그는 다음 Panther 관리 항목 유형을 지원합니다: * 규칙, 예약 규칙, 상관 규칙 * 정책 * 전역 헬퍼 * 데이터 모델 * 보강 * 저장된 쿼리 및 예약된 쿼리 콘텐츠 카탈로그에는 두 개의 탭이 있습니다: * **찾아보기**: 설치할 수 있는 모든 Panther 관리 항목을 나열합니다. * **설치됨**: 설치한 항목을 나열하며, 그중 어떤 항목에 업데이트가 있는지도 표시합니다. ## 콘텐츠 카탈로그와 디택션 팩 비교 콘텐츠 카탈로그와 [디택션 팩](/ko/detections/panther-managed/packs.md) 은 Panther Console에서 Panther가 관리하는 콘텐츠를 소비하는 두 가지 서로 다른 방법입니다. 둘 사이의 가장 중요한 차이점은 설치된 항목의 소유권입니다. 디택션 팩을 활성화하면 Panther가 그 팩의 디택션을 소유합니다. 편집할 수 있는 필드는 제한적입니다—`활성화`/`비활성화됨`, `심각도`, `중복 제거 기간`, `이벤트 임계값`, `대상 재정의`, 그리고 `런북`—이며 핵심 디택션 로직(Python, YAML, 단위 테스트)은 Panther Console에서 읽기 전용입니다. 팩의 디택션 핵심 로직을 변경하려면 [복제해야 합니다](/ko/detections/panther-managed.md#how-to-clone-a-panther-managed-detection). 그러면 Panther의 업데이트를 더 이상 받지 않는 별도의 비관리 복사본이 생성됩니다. 콘텐츠 카탈로그에서 항목을 설치하면 해당 항목을 전적으로 소유하게 됩니다. 설치된 복사본은 사용자 지정 항목과 정확히 같은 방식으로 여러분의 환경에 존재합니다. 세부 정보 페이지에서 Python, YAML, 단위 테스트, 메타데이터를 직접 편집할 수 있습니다. 사용자 지정하려고 복제할 필요가 없으며, Panther가 새 버전을 출시하면 콘텐츠 카탈로그는 계속해서 해당 항목의 업데이트를 표시합니다. Panther는 항목 ID를 사용해 해당 항목에 업데이트가 있는지 추적합니다. 따라서 ID를 제외한 항목의 어느 부분이든 편집할 수 있습니다. ID가 달라지면 완전히 새로운 항목과 동일합니다. 아래 표는 차이점을 요약합니다:
토픽디택션 팩콘텐츠 카탈로그
설치된 항목의 소유권Panther가 팩의 항목을 소유합니다.설치하는 모든 항목을 전적으로 소유합니다.
편집할 수 있는 항목오직 활성화/비활성화됨, 심각도, 중복 제거 기간, 이벤트 임계값, 대상 재정의, 그리고 런북. 핵심 디택션 로직은 읽기 전용입니다.ID를 제외한 Python, YAML, 단위 테스트, 메타데이터 등 모든 것.
설치 단위많은 항목을 포함할 수 있는 전체 팩입니다. 팩을 활성화하면 그 안의 모든 디택션이 활성화됩니다.개별 항목입니다. 항목은 하나씩 설치합니다.
추가 사용자 지정항목을 복제해야 하며, 그러면 팩과의 연결이 끊기고 더 이상 업데이트를 받지 않게 됩니다.필요하지 않습니다. 설치된 항목은 이미 여러분의 것이며 계속 업데이트를 받습니다.
업데이트 수신업데이트는 팩 수준에서 적용됩니다. 팩을 업데이트하면 그 안의 모든 디택션이 업데이트됩니다.업데이트는 항목별로 적용됩니다. 한 번에 한 항목씩 업데이트할 수도 있고, 모두 업데이트 를 사용해 사용 가능한 모든 업데이트를 한 번에 적용할 수도 있습니다.
디택션 팩에서 사용할 수 있는 거의 모든 항목은 콘텐츠 카탈로그에서도 개별적으로 사용할 수 있으며, 콘텐츠 카탈로그에는 어떤 팩에도 포함되지 않는 추가 항목도 있습니다. ### 디택션 팩과 콘텐츠 카탈로그의 상호 작용 방식 Panther는 각 분석 항목을 고유 ID로 식별하며, 여러분의 환경에는 항목당 하나의 레코드가 저장됩니다. 이는 팩에서 관리되는 항목과 콘텐츠 카탈로그 항목이 같은 ID를 가지면 둘이 *동일한 기본 레코드*이며, 서로 다른 두 복사본이 아니라는 뜻입니다. 따라서 디택션 팩을 활성화하거나 업데이트하면 콘텐츠 카탈로그를 통해 관리하는 항목이 변경될 수 있습니다: * **팍 활성화는** 콘텐츠 카탈로그를 통해 소유한 항목이 포함된 팩은 해당 항목을 다시 팩이 관리하는 항목으로 전환하며, 여러분의 사용자 지정 사항을 덮어씁니다. 핵심 디택션 로직(Python), 표시 이름, 태그, 단위 테스트, 설명, 로그 유형이 모두 팩 버전으로 대체됩니다. * **활성화된 팩을 업데이트하면** 도 같은 효과가 있습니다. 팩에 포함된 항목에 대한 여러분의 사용자 지정 사항을 덮어씁니다. * **비활성화된 팩을 업데이트해도** 사용자 지정 사항을 덮어쓰지 않습니다. * **팩을 비활성화하면** 어떤 항목도 삭제되지는 않지만, 팩에 포함된 모든 항목을 비활성화합니다. 여기에는 콘텐츠 카탈로그에서 여러분의 소유로 다시 설치한 항목도 포함됩니다. {% hint style="warning" %} 콘텐츠 카탈로그를 사용하기 시작하면, 카탈로그를 통해 관리하는 항목이 포함된 디택션 팩의 활성화와 업데이트를 중단하는 것을 권장합니다. 그렇게 하면 해당 항목이 덮어써지거나 비활성화될 수 있기 때문입니다. (항목을 Panther가 관리하는 버전으로 되돌려야 할 때는, 의도적으로 그 팩을 다시 활성화하면 됩니다.) {% endhint %} ### 디택션 팩의 항목을 콘텐츠 카탈로그로 이동하기 현재 디택션 팩을 통해 여러분의 환경에 전달되는 항목을 전적으로 소유하려면, 항목을 삭제한 다음 콘텐츠 카탈로그에서 설치하세요. 새로 설치된 항목은 여러분이 전적으로 소유하게 되며, 앞으로는 콘텐츠 카탈로그를 통해 업데이트를 받게 됩니다. {% hint style="warning" %} 디택션 팩에서 항목을 삭제한 뒤 콘텐츠 카탈로그에서 다시 설치하면, 그 항목에 대해 가한 사용자 지정 사항은 모두 삭제됩니다. Panther가 관리하는 기본값에서 다시 시작하게 됩니다. 여러분의 사용자 지정 사항을 보존하는 팩 마이그레이션 워크플로는 향후 Panther 릴리스에서 제공될 예정입니다. {% endhint %} ## 필수 권한 콘텐츠 카탈로그를 사용하는 데 필요한 권한은 기본 항목 유형에 대한 권한과 일치합니다. 콘텐츠 카탈로그에서 특정 유형의 항목을 보려면 해당 읽기 권한이 필요합니다. 항목을 설치, 업데이트 또는 제거하려면 해당 수정 권한이 필요합니다. | 항목 유형 | 보기 권한 | 설치, 업데이트 또는 제거 권한 | | -------------------- | ------------------------ | ---------------------------- | | 규칙, 예약 규칙, 상관 규칙, 정책 | `RuleRead`, `PolicyRead` | `RuleModify`, `PolicyModify` | | 전역 헬퍼 | `RuleRead`, `PolicyRead` | `RuleModify`, `PolicyModify` | | 데이터 모델 | `LogSourceRead` | `LogSourceModify` | | 보강 | `LookupRead` | `LookupModify` | | 저장된 쿼리, 예약된 쿼리 | `DataAnalyticsRead` | `DataAnalyticsModify` | ## 콘텐츠 카탈로그 사용 방법 * [콘텐츠 카탈로그 항목 찾아보기 및 설치](/ko/detections/panther-managed/content-catalog/browsing-and-installing-catalog-items.md) * [콘텐츠 카탈로그 항목 업데이트](/ko/detections/panther-managed/content-catalog/updating-catalog-items.md) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/detections/panther-managed/content-catalog.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.