> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/detections/panther-managed/packs.md). # 디택션 팩 ## 개요 디택션 팩(간단히 팩이라고도 함)은 다음을 논리적으로 그룹화하는 데 사용됩니다 [Panther가 관리하는 탐지](/ko/detections/panther-managed.md), 뿐만 아니라 Panther Console에서 디택션 업데이트를 활성화합니다. 팩은 다음에 정의되어 있습니다 [`panther-labs/panther-analysis`](https://github.com/panther-labs/panther-analysis/tree/master/packs) 오픈 소스 리포지토리입니다. 하나의 팩은 얼마든지 많은 디택션을 그룹화할 수 있으며, [데이터 모델](/ko/detections/rules/python/data-models.md), [전역 헬퍼](/ko/detections/rules/python/globals.md), [조회 테이블](/ko/enrichment.md), 그리고 [저장된 검색](/ko/search/scheduled-searches.md). [`Panther Universal 디택션`](https://github.com/panther-labs/panther-analysis/blob/main/packs/standard_ruleset.yml), 예를 들어 Data Models와 모든 해당 종속성에 의존하는 모든 룰을 그룹화합니다. 디택션 팩은 버전 관리되며, Panther는 포함된 디택션의 핵심 디택션 로직 업데이트가 포함된 새 버전을 주기적으로 릴리스합니다. 팩에 대한 업데이트가 제공되면, 팩 타일(팩 목록 페이지의 Panther Console에서 **디택션 > 팩**)에는 `업데이트 제공` 레이블이 표시됩니다. 활성화된 디택션 팩의 일부인 디택션에는 다음 라벨이 지정됩니다 `관리됨`, 그리고 디택션 팩의 일부가 아닌 디택션에는 다음 라벨이 지정됩니다 `관리되지 않음`. {% hint style="warning" %} 참고: Panther Console을 통해 디택션을 관리하는 것은 **이 아니라** 이미 Panther Analysis Tool로 디택션을 관리하고 업로드하기 위해 Git 기반 워크플로를 사용 중이라면 권장됩니다. 두 방법으로 동시에 디택션을 관리하면 예기치 않은 동작이 발생할 수 있습니다**.** 다음을 사용할 수 있습니다 [Panther Analysis Tool 설정](/ko/system-configuration.md#panther-analysis-tool) 을 사용하여 UI에서 팩을 켤 수 있는 기능을 비활성화할 수 있습니다. {% endhint %} ### Panther 관리형 디택션 팩 Panther는 기본적으로 여러 디택션 팩을 제공합니다. 특정 항목의 모든 것을 그룹화하는 팩도 있고 [Panther가 관리하는 탐지](/ko/detections/panther-managed.md) 특정 로그 소스와 관련된 항목뿐 아니라, 특정 초점에 따라 그룹화된 디택션 팩도 있습니다(예: 통합 데이터 모델을 활용하는 일반 룰 또는 AWS용 핵심 디택션 세트). 인기 있는 예시는 다음과 같습니다:

표시 이름	설명
표시 이름	설명
Panther Universal 디택션	이 팩은 통합 데이터 모델을 활용하는 표준 룰을 그룹화합니다
Panther Core AWS 팩	AWS 환경과 관련된 가장 중요하고 가치 높은 디택션 그룹
Panther Okta 팩	Okta용 Panther 생성 디택션 전체 그룹

## 디택션 팩 사용 방법 ### 디택션 팩 보기 Panther Console에서 Panther 제공 디택션 팩 목록을 보려면 탐색 모음에서 디택션을 클릭한 다음 **팩** 탭.

On a page titled "Packs," a "Packs" tab is highlighted. In a search bar, "Panther" has been entered and two results are shown: Panther AWS CIS Pack and Panther Core AWS Pack.

팩을 클릭하면 설명, 활성화 상태, 현재 활성화된 버전, 그리고 어떤 엔터티(예: 디택션, [데이터 모델](/ko/detections/rules/python/data-models.md), [전역 헬퍼](/ko/detections/rules/python/globals.md), 그리고 [저장된 검색](/ko/search/scheduled-searches.md))

On a page titled "Panther Core AWS Pack," there are two tiles titled "A CloudTrail Was Created or Updated" and "Account Security Configuration Changed." An "Enabled" toggle in the upper-right corner is set to ON.

### 디택션 팩 활성화 및 비활성화 팩은 Panther Console에서 활성화하거나 비활성화할 수 있습니다. 팩을 활성화하면 해당 팩에 포함된 각 디택션이 활성화됩니다. 전체 팩을 비활성화하지 않고도 활성화된 팩 내에서 하나 이상의 디택션을 개별적으로 비활성화할 수 있습니다. 팩이 비활성화되어 있어도 그 안에 포함된 디택션이 활성화되어 있다면, 해당 디택션은 정상적으로 작동합니다(즉, 팩이 비활성화되어도 영향을 받지 않습니다). 비활성화된 디택션이 있는 팩을 업데이트하면 디택션은 업데이트되지만 계속 비활성화된 상태로 유지됩니다. 팩을 활성화하거나 비활성화하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 활성화하거나 비활성화하려는 팩을 찾습니다. 4. 해당 팩 타일의 오른쪽에서 **활성화** 슬라이더를 켜거나 끕니다.

A rectangular tile is shown titled "Panther Core AWS Pack." Its "Enabled" slider is circled.

해당 **활성화** 슬라이더는 팩 세부 정보 페이지에도 표시됩니다:

### 디택션 팩 업데이트 또는 롤백 디택션 팩의 새 업데이트는 주기적으로 다음에 릴리스됩니다 `panther-analysis` 리포지토리입니다. 이러한 업데이트는 Panther가 자동으로 감지하며, 팩 개요 페이지에는 `업데이트 제공` 관련 팩 옆에 플래그가 표시됩니다. 팩 디택션을 업데이트하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 업데이트하려는 팩을 찾습니다. 4. 팩 타일의 **버전** 드롭다운에서 버전 번호를 선택합니다. 5. 팝업 모달에서 클릭합니다 **계속**.

On a modal titled, "Update Detection Pack to v3.84.0" there are two buttons: Cancel and Continue.

다음을 받게 됩니다 [콘솔 내 알림](/ko/system-configuration/notifications.md) 을 통해 팩 업데이트가 성공했는지 확인할 수 있습니다. 이전 팩 버전으로 되돌리려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 되돌리려는 팩을 찾습니다. 4. 팩 타일의 **버전** 드롭다운에서 버전 번호를 선택합니다. 5. 팝업 모달에서 클릭합니다 **계속**.

On a modal titled, "Revert Detection Pack to v3.81.0" there are two buttons: Cancel and Continue.

## 팩으로 디택션 관리하기 ### 관리되는 디택션 편집 팩이 활성화된 후에는 Panther Console에서 수동으로 편집할 수 있는 필드가 일부 있습니다: * 활성화 / 비활성화 * 심각도 * 중복 제거 기간 * 이벤트 임계값 * 대상 재정의 * 런북 Panther Console에서 이러한 필드에 대해 수행한 모든 변경 사항은 팩을 업데이트하거나 다른 버전으로 되돌릴 때 유지됩니다. 다른 모든 필드는 Panther Console에서 회색 처리되며, "Functions and Tests" 편집기는 읽기 전용이 됩니다. {% hint style="info" %} 참고: 활성화된 팩의 경우 위 필드는 **전용** Panther Console에서 수동으로 편집할 수 있습니다. 디택션 .yml 파일에서 이러한 필드를 편집해도 이 값은 재정의되지 않습니다. {% endhint %} Panther Console에서 편집 가능한 필드를 변경할 수 있습니다: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 편집하려는 디택션이 포함된 팩의 이름을 클릭한 다음, 디택션의 이름을 클릭합니다. 4. 디택션에 원하는 변경 사항을 적용합니다. * 편집할 수 없는 필드는 회색으로 표시됩니다. 5. 다음을 클릭합니다: **업데이트** 페이지 오른쪽 상단에서 클릭하여 변경 사항을 저장합니다. ### 관리되는 디택션 복제 및 편집 디택션 팩에 포함된 룰 또는 정책이 요구 사항에 맞지 않으면 이를 복제한 다음 복제본을 사용자 지정할 수 있습니다: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 편집하려는 디택션이 포함된 팩 이름을 클릭한 다음, 디택션의 이름을 클릭합니다. 4. 다음을 따르세요 [Panther 관리 디택션 복제 방법 안내](/ko/detections/panther-managed.md#how-to-clone-a-panther-managed-detection) 는 Panther 관리 디택션 사용을 참조하세요. ## 팩 소스(레거시) {% hint style="danger" %} Custom Pack Sources는 신규 고객에게 더 이상 지원되지 않는 레거시 기능입니다. Panther Console 외부에서 생성 및 편집된 사용자 지정 디택션을 사용하려면 [Panther 개발자 워크플로 개요](https://docs.panther.com/panther-developer-workflows/overview) 를 참조하여 지원되는 워크플로를 이해하세요. {% endhint %} 팩 소스는 디택션 팩용 사용자 지정 GitHub 소스를 구성하는 방법을 제공합니다. 팩 소스가 구성되면 Panther는 24시간마다 소스 리포지토리에서 새로운 태그 릴리스를 확인합니다. Panther가 팩 소스에서 사용자 지정 팩을 찾으려면 다음을 충족해야 합니다: * 릴리스가 초안 상태가 아닌 최종 상태인지 확인합니다 * 릴리스 이름이 다음을 따르는지 확인합니다 [SemVer 형식](https://semver.org/), 그리고 릴리스의 태그는 릴리스 이름과 같아야 합니다 * 릴리스 아티팩트의 이름이 다음인지 확인합니다 `panther-analysis-all.zip` (그리고 해당하는 `panther-analysis-all.sig` 릴리스에 서명하는 경우) * 사용자의 릴리스 아티팩트에 `panther-analysis-all.zip` 최소 하나의 팩 매니페스트 파일이 포함되어 있는지 확인합니다([아래의 팩 매니페스트 섹션 참조](#pack-manifests) 자세한 내용)

A screen shot from the Panther Analysis repo on Github. In the middle of the page, the version number is circled. Under a header labeled "Assets", there is a red circle around panther-analysis-all.zip.

다음을 사용할 수 있습니다 `panther_analysis_tool` (PAT)을 사용하여 필요한 릴리스 자산을 생성하고 초안 릴리스를 게시할 수 있습니다( [GitHub 릴리스 만들기 - Panther Analysis Tool](#creating-a-github-release-panther-analysis-tool) 추가 세부 정보는 이를 참조하세요.) 사용자 지정 팩은 Panther 제공 팩과 동일한 기능으로 관리할 수 있습니다. 팩 소스 필드는 다음 표에 설명되어 있습니다. | **필드 이름** | **필수 여부** | 설명 | 예상 값 | | ------------- | --------- | --------------------------------------------- | ---- | | `소유자` | 예 | 대상 리포지토리의 소유자/조직 | 문자열 | | `리포지토리` | 예 | 리포지토리 이름 | 문자열 | | `kmsKey` | 아니요 | 릴리스 서명을 검증하기 위한 sign/verify kms 키의 ARN | 문자열 | | `AccessToken` | 아니요 | 비공개 리포지토리에 액세스하는 데 사용되는 Personal Access Token | 문자열 | ### 팩 매니페스트 팩은 팩 매니페스트 YAML 파일을 생성하여 정의되며, 이 파일에는 팩에 대한 메타데이터(예: 이름, 설명, 그리고 팩에 포함된 디택션/파일)가 포함됩니다. 사용자의 `panther-analysis-all.zip` 릴리스 아티팩트에는 디택션, 전역 헬퍼, 데이터 모델 등 리포지토리의 다른 파일과 함께 다양한 팩 매니페스트가 포함될 수 있습니다. GitHub 리포지토리를 Panther Console에 팩 소스로 추가하면, 이러한 각 팩 매니페스트 파일이 Panther Console에서 개별적으로 활성화/비활성화할 수 있는 팩으로 표시됩니다. 다음 표는 팩 매니페스트에서 유효한 다양한 키에 대한 참조입니다. Panther가 사용하는 팩 매니페스트의 추가 예시는 다음에서 확인할 수 있습니다 [GitHub의 Panther 제공 팩](https://github.com/panther-labs/panther-analysis/tree/master/packs).

필드 이름	필수 여부	설명	예상 값
AnalysisType	true	이 파일의 분석 유형이 다음임을 나타냅니다	`pack`
PackID	true	이 팩의 고유 ID	문자열
설명	false	Panther Console에 표시될 이 팩에 대한 추가 정보	문자열
PackDefinition	true	다음이라는 단일 필드를 가진 매핑 `IDs` 이며 문자열 목록입니다. 이 `IDs` 목록의 각 문자열은 이 팩에 포함된 파일의 고유 ID여야 합니다	{ IDs: [string] }
DisplayName	true	Panther Console에서 이 팩에 대해 표시될 사용자 친화적인 제목	문자열

### 비공개 리포지토리 액세스 Panther가 비공개 리포지토리를 폴링할 수 있도록 액세스하려면 팩 소스를 personal access token으로 구성해야 합니다. 다음을 참조하세요 [GitHub 문서](https://docs.github.com/en/github/authenticating-to-github/creating-a-personal-access-token) 토큰 생성에 대한 자세한 내용은 이를 참조하세요. personal access token은 계정 소유자가 액세스할 수 있는 모든 리포지토리에 대한 액세스 권한을 부여합니다. 다음을 만드는 것을 권장합니다 ["machine user"](https://docs.github.com/en/developers/overview/managing-deploy-keys#machine-users) 를 디택션 팩이 포함된 리포지토리에 외부 협력자로 추가할 수 있습니다. 이렇게 하면 액세스 토큰을 특정 용도와 리포지토리로 범위를 제한할 수 있습니다. ### 릴리스 서명 Panther 관리 팩은 비대칭 AWS KMS 키를 사용하여 서명됩니다. Panther 팩 소스에서 디택션을 가져오기 전에 릴리스 자산을 사용해 서명을 검증합니다 `panther-analysis.sig`. 이렇게 하면 가져오는 디택션이 변조되거나 수정되지 않았음을 보장합니다. 유사한 기능을 사용하려면 [sign/verify KMS 키를 생성하고](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 정책을 수정하여 Panther가 다음을 실행할 수 있도록 허용합니다 `kms:Verify` 를 해당 키로 사용합니다. 키 정책에 추가할 이 예제 항목에서는 계정 ID를 Panther가 실행 중인 계정 ID로 바꿔야 합니다: ```javascript { "Sid": "Enable KMS Verify", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{accountid}:root" }, "Action": "kms:Verify", "Resource": "*" } ``` ### 팩 소스 관리 **팩 소스를 추가하려면**: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 다음을 클릭합니다: **디택션 팩 소스** 탭. 4. 다음을 클릭합니다: **새로 만들기** 를 오른쪽 상단에서 클릭합니다. * 각 입력 필드에 필드 이름을 입력합니다. 5. 다음을 클릭합니다: **저장**.

The "New Detection Pack Source" form in the Panther Console shows fields for Source ID, Github Owner, Github Repo, Access Token, and Public Key or ARN.

**다음을 수정하려면 `kmsKey` 또는 `AccessToken` 팩 소스의 필드**: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 다음을 클릭합니다: **디택션 팩 소스** 탭. 4. 다음을 클릭합니다: **...** 팩 소스 옆의 항목을 클릭한 다음 **편집**을 클릭합니다. 팩 소스를 클릭합니다. * 이 페이지의 필드를 편집합니다. 5. 다음을 클릭합니다: **저장**. **팩 소스를 삭제하려면**: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**. 2. 다음을 클릭합니다: **팩** 탭. 3. 다음을 클릭합니다: **디택션 팩 소스** 탭. 4. 다음을 클릭합니다: **...** 팩 소스 옆의 항목을 클릭한 다음 **삭제**.

The dropdown menu on a Pack source is expanded, with options visible to Edit or Delete.

{% hint style="info" %} 팩 소스를 삭제하면 해당 소스에서 생성된 팩과 그 안의 모든 디택션이 함께 삭제됩니다. {% endhint %} ### GitHub 릴리스 만들기 - Panther Analysis Tool 해당 `panther_analysis_tool` (PAT)은 관련 서명 파일의 유무와 관계없이 적절한 GitHub 릴리스를 만드는 과정을 간소화할 수 있습니다. 릴리스 자산을 생성하려면 다음을 사용합니다 `release` 명령을 사용합니다. ```bash % panther_analysis_tool release --help usage: panther_analysis_tool release [-h] [--aws-profile AWS_PROFILE] [--filter KEY=VALUE [KEY=VALUE ...]] [--kms-key KMS_KEY] [--minimum-tests MINIMUM_TESTS] [--out OUT] [--path PATH] [--skip-tests] 선택적 인수: -h, --help 이 도움말 메시지를 표시하고 종료합니다 --aws-profile AWS_PROFILE AWS Panther를 업데이트할 때 사용할 AWS 프로필 배포. --filter KEY=VALUE [KEY=VALUE ...] --kms-key KMS_KEY 릴리스 자산에 서명하는 데 사용할 키 id. --minimum-tests MINIMUM_TESTS 디택션이 통과로 간주되기 위한 최소 테스트 수입니다. 1보다 큰 수가 지정되면, 최소 하나의 True 테스트와 하나의 False 테스트가 필요합니다. --out OUT 출력 파일을 저장할 경로. --path PATH Panther 정책 및 룰에 대한 상대 경로. --skip-tests ``` GitHub 리포지토리에서 초안 릴리스를 자동으로 생성하려면 먼저 `GITHUB_TOKEN` 환경 변수를 대상 리포지토리에 액세스할 적절한 권한이 있는 personal access token으로 설정합니다. 그런 다음 다음을 사용합니다 `publish` 명령을 사용합니다. {% hint style="warning" %} 참고: 다음을 사용하면 `panther_analysis_tool publish` 명령은 초안 릴리스를 생성합니다. Panther가 이 릴리스 아티팩트를 가져오기 전에 GitHub 리포지토리로 이동하여 초안을 수동으로 최종 릴리스로 완료해야 합니다. {% endhint %} ```bash % panther_analysis_tool publish --help usage: panther_analysis_tool publish [-h] [--body BODY] [--github-branch GITHUB_BRANCH] [--github-owner GITHUB_OWNER] [--github-repository GITHUB_REPOSITORY] --github-tag GITHUB_TAG [--aws-profile AWS_PROFILE] [--filter KEY=VALUE [KEY=VALUE ...]] [--kms-key KMS_KEY] [--minimum-tests MINIMUM_TESTS] [--out OUT] [--skip-tests] 선택적 인수: -h, --help 이 도움말 메시지를 표시하고 종료합니다 --body BODY 릴리스용 본문 텍스트 --github-branch GITHUB_BRANCH 릴리스의 기준이 될 브랜치 --github-owner GITHUB_OWNER 리포지토리의 GitHub 소유자 --github-repository GITHUB_REPOSITORY GitHub 리포지토리 이름 --github-tag GITHUB_TAG 이 릴리스의 태그 이름 --aws-profile AWS_PROFILE AWS Panther를 업데이트할 때 사용할 AWS 프로필 배포. --filter KEY=VALUE [KEY=VALUE ...] --kms-key KMS_KEY 릴리스 자산에 서명하는 데 사용할 키 id. --minimum-tests MINIMUM_TESTS 디택션이 통과로 간주되기 위한 최소 테스트 수입니다. 1보다 큰 수가 지정되면, 최소 하나의 True 테스트와 하나의 False 테스트가 필요합니다. --out OUT 출력 파일을 저장할 경로. --skip-tests ``` {% hint style="info" %} 해당 `kms-key` 인수는 서명 파일을 생성하는 데 사용할 수 있는 선택적 인수입니다. 이 인수를 사용하려면 적절한 aws 자격 증명을 사용하여 panther\_analysis\_tool을 실행해 다음을 호출해야 합니다 `kms:Sign` 를 지정된 키에서. {% endhint %} --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/detections/panther-managed/packs.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.