# 디택션 팩

## 개요

디택션 팩(간단히 팩이라고도 함)은 다음을 논리적으로 그룹화하는 데 사용됩니다. [Panther에서 관리하는 디택션](/ko/detections/panther-managed.md)뿐만 아니라 Panther Console에서 디택션 업데이트를 활성화할 수 있습니다. 팩은 [`panther-labs/panther-analysis`](https://github.com/panther-labs/panther-analysis/tree/master/packs) 오픈소스 리포지토리에 정의되어 있습니다.

하나의 팩은 개수에 상관없이 디택션, [Data Models](/ko/detections/rules/python/data-models.md), [전역 헬퍼](/ko/detections/rules/python/globals.md), [조회 테이블](/ko/enrichment.md)와 [저장된 검색](/ko/search/scheduled-searches.md). [`Panther Universal Detections`](https://github.com/panther-labs/panther-analysis/blob/main/packs/standard_ruleset.yml)은(는) 예를 들어 데이터 모델에 의존하는 모든 규칙과 그 모든 종속성을 그룹화합니다.

디택션 팩에는 버전이 있으며, Panther는 포함된 디택션의 핵심 디택션 로직 업데이트가 포함된 새 버전을 주기적으로 릴리스합니다. 팩의 업데이트를 사용할 수 있으면 팩 타일(팩 목록 페이지의 Panther Console에서 **Detections > Packs**)에 `업데이트 가능` 레이블이 표시됩니다.

활성화된 디택션 팩의 일부인 디택션에는 `관리됨`레이블이 지정되며, 디택션 팩에 속하지 않은 디택션에는 `관리되지 않음`.

{% hint style="warning" %}
참고: Panther Console을 통한 디택션 관리는 **아니라면** 않습니다. 이미 Git 기반 워크플로를 사용하여 Panther Analysis Tool로 디택션을 관리하고 업로드하고 있다면 특히 그렇습니다. 두 방법으로 동시에 디택션을 관리하면 예기치 않은 동작이 발생할 수 있습니다.**.**

다음을 사용할 수 있습니다. [Developer Workflow 설정](/ko/system-configuration.md#developer-workflow) 을(를) 사용하여 UI에서 팩을 켜는 기능을 비활성화할 수 있습니다.
{% endhint %}

### Panther 관리형 디택션 팩

Panther는 기본적으로 여러 디택션 팩을 제공합니다. 특정 로그 소스와 관련된 모든 항목을 그룹화하는 팩도 있고, 특정 초점에 따라 그룹화된 디택션 팩도 있습니다(예: 통합 데이터 모델을 활용하는 일반 규칙 또는 AWS용 핵심 디택션 세트). 인기 있는 예시는 다음과 같습니다: [Panther에서 관리하는 디택션](/ko/detections/panther-managed.md) 특정 로그 소스와 관련된 항목뿐만 아니라 특정 초점에 따라 그룹화된 디택션 팩도 있습니다(예: 통합 데이터 모델을 활용하는 일반 규칙 또는 AWS용 핵심 디택션 세트). 인기 있는 예시는 다음과 같습니다:

<table data-header-hidden><thead><tr><th width="154.96371701910277">표시 이름</th><th>설명</th></tr></thead><tbody><tr><td><strong>표시 이름</strong></td><td><strong>설명</strong></td></tr><tr><td><a href="https://github.com/panther-labs/panther-analysis/blob/19a9e47e347f711df173bcfe07b7db9cf003ed7e/packs/standard_ruleset.yml">Panther Universal Detections</a></td><td>이 팩은 통합 데이터 모델을 활용하는 표준 규칙을 그룹화합니다.</td></tr><tr><td><a href="https://github.com/panther-labs/panther-analysis/blob/19a9e47e347f711df173bcfe07b7db9cf003ed7e/packs/aws.yml">Panther Core AWS Pack</a></td><td>AWS 환경과 관련된 가장 중요하고 가치가 높은 디택션 그룹</td></tr><tr><td><a href="https://github.com/panther-labs/panther-analysis/blob/21e1b9ea61baf31feec57328f5dd216095162e05/packs/okta.yml">Panther Okta Pack</a></td><td>Okta용으로 Panther가 만든 모든 디택션 그룹</td></tr></tbody></table>

## 디택션 팩 사용 방법

### 디택션 팩 보기

탐색 모음에서 Detections를 클릭한 다음 **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.

<figure><img src="/files/1a399482352ae5faa7545fa2952ecbe91717e23d" alt="On a page titled &#x22;Packs,&#x22; a &#x22;Packs&#x22; tab is highlighted. In a search bar, &#x22;Panther&#x22; has been entered and two results are shown: Panther AWS CIS Pack and Panther Core AWS Pack."><figcaption></figcaption></figure>

팩을 클릭하면 설명, 활성화 상태, 현재 활성화된 버전, 그리고 어떤 엔터티(예: 디택션, [Data Models](/ko/detections/rules/python/data-models.md), [전역 헬퍼](/ko/detections/rules/python/globals.md)와 [저장된 검색](/ko/search/scheduled-searches.md))가 팩에 포함되어 있는지 등 세부 정보를 볼 수 있습니다.

<figure><img src="/files/15450d683a1e1a667c1b217a9b1774a092e0ab29" alt="On a page titled &#x22;Panther Core AWS Pack,&#x22; there are two tiles titled &#x22;A CloudTrail Was Created or Updated&#x22; and &#x22;Account Security Configuration Changed.&#x22; An &#x22;Enabled&#x22; toggle in the upper-right corner is set to ON."><figcaption></figcaption></figure>

### 디택션 팩 활성화 및 비활성화

팩은 Panther Console에서 활성화하거나 비활성화할 수 있습니다. 팩을 활성화하면 해당 팩에 포함된 각 디택션이 활성화됩니다. 전체 팩을 비활성화하지 않고도 활성화된 팩 내에서 하나 이상의 디택션을 개별적으로 비활성화할 수 있습니다.

팩이 비활성화되어 있어도 그 안에 포함된 디택션이 활성화되어 있으면 해당 디택션은 정상적으로 작동합니다(즉, 팩이 비활성화되어도 영향을 받지 않습니다).

비활성화된 디택션이 있는 팩을 업데이트하면 해당 디택션은 업데이트되지만 비활성화된 상태로 유지됩니다.

Pack을 활성화하거나 비활성화하려면:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 활성화하거나 비활성화하려는 Pack을 찾습니다.
4. 해당 Pack 타일의 오른쪽에서 다음을 **활성화됨** 슬라이더로 켜거나 끕니다.

<figure><img src="/files/2444a840cd77bc8ccecfa0c8154e20a73934fa7c" alt="A rectangular tile is shown titled &#x22;Panther Core AWS Pack.&#x22; Its &#x22;Enabled&#x22; slider is circled."><figcaption></figcaption></figure>

해당 **활성화됨** 슬라이더는 Pack 세부 정보 페이지에도 표시됩니다:

<figure><img src="/files/ca5f3ea6fbfa22515411d123962a3cdc45c4e3c4" alt="On a page titled &#x22;Panther Core AWS Pack,&#x22; there are two tiles titled &#x22;A CloudTrail Was Created or Updated&#x22; and &#x22;Account Security Configuration Changed.&#x22; An &#x22;Enabled&#x22; toggle in the upper-right corner is set to ON."><figcaption></figcaption></figure>

### 디택션 Pack 업데이트 또는 롤백

디택션 Pack의 새 업데이트는 주기적으로 다음에 릴리스됩니다. `panther-analysis` 리포지토리입니다. 이러한 업데이트는 Panther에서 자동으로 감지되며, Pack 개요 페이지에는 `업데이트 가능` 관련 Pack 옆에 플래그가 표시됩니다.

Pack 디택션을 업데이트하려면:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 업데이트하려는 Pack을 찾습니다.
4. Pack 타일 내의 **버전** 드롭다운에서 버전 번호를 선택합니다.
5. 팝업 모달에서 다음을 클릭합니다. **계속**.

<figure><img src="/files/a88539c8c8e5057f1768fb6611407b1e53733c61" alt="On a modal titled, &#x22;Update Detection Pack to v3.84.0&#x22; there are two buttons: Cancel and Continue."><figcaption></figcaption></figure>

다음을 받게 됩니다. [콘솔 내 알림](/ko/system-configuration/notifications.md) Pack 업데이트가 성공했는지 확인할 수 있습니다.

이전 Pack 버전으로 되돌리려면:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 되돌리려는 Pack을 찾습니다.
4. Pack 타일 내의 **버전** 드롭다운에서 버전 번호를 선택합니다.
5. 팝업 모달에서 다음을 클릭합니다. **계속**.

<figure><img src="/files/0ad55defde91e68d7035a584c24f6aeb7478ced3" alt="On a modal titled, &#x22;Revert Detection Pack to v3.81.0&#x22; there are two buttons: Cancel and Continue."><figcaption></figcaption></figure>

## Pack으로 디택션 관리하기

### 관리되는 디택션 편집

Pack이 활성화된 후에는 Panther Console에서 수동으로 편집할 수 있는 필드의 일부가 있습니다:

* 활성화됨 / 비활성화됨
* 심각도
* 중복 제거 기간
* 이벤트 임계값
* 대상 재정의
* Runbook

Panther Console에서 이러한 필드에 적용한 모든 변경 사항은 pack이 업데이트되거나 다른 버전으로 되돌려져도 유지됩니다. 다른 모든 필드는 Panther Console에서 회색으로 표시되며, "Functions and Tests" 편집기는 읽기 전용이 됩니다.

{% hint style="info" %}
참고: 활성화된 Pack의 경우, 위 필드는 **오직** Panther Console에서만 수동으로 편집할 수 있습니다. 디택션 .yml 파일에서 이러한 필드를 편집해도 이 값은 재정의되지 않습니다.
{% endhint %}

Panther Console에서 편집 가능한 필드를 변경할 수 있습니다:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 편집하려는 디택션이 포함된 Pack의 이름을 클릭한 다음, 디택션의 이름을 클릭합니다.
4. 디택션에 원하는 변경 사항을 적용합니다.
   * 편집할 수 없는 필드는 회색으로 표시됩니다.
5. 다음을 클릭합니다. **업데이트** 변경 사항을 저장하려면 페이지 오른쪽 상단에서 클릭합니다.

### 관리되는 디택션 복제 및 편집

디택션 Pack에 포함된 룰 또는 정책이 요구 사항에 맞지 않는 경우, 이를 복제한 다음 복제된 사본을 사용자 지정할 수 있습니다:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 편집하려는 디택션이 포함된 Pack 이름을 클릭한 다음, 디택션의 이름을 클릭합니다.
4. 다음을 따르세요 [Panther에서 관리하는 디택션을 복제하는 방법 안내](/ko/detections/panther-managed.md#how-to-clone-a-panther-managed-detection) Panther에서 관리하는 디텍션 사용에 대해.

## 팩 소스(레거시)

{% hint style="danger" %}
사용자 지정 팩 소스는 레거시 기능으로, 신규 고객에게는 더 이상 지원되지 않습니다. Panther 콘솔 외부에서 생성 및 편집한 사용자 지정 디택션을 사용하려면 다음을 참조하세요. [Panther 개발자 워크플로 개요](https://docs.panther.com/panther-developer-workflows/overview) 지원되는 워크플로를 이해하려면.
{% endhint %}

팩 소스는 디텍션 팩을 위한 사용자 지정 GitHub 소스를 구성하는 방법을 제공합니다. 팩 소스가 구성되면 Panther는 24시간마다 소스 저장소에서 새 태그가 지정된 릴리스를 확인합니다. Panther가 팩 소스에서 사용자 지정 팩을 찾으려면 다음을 수행해야 합니다:

* 릴리스가 초안 상태가 아니라 최종 확정되었는지 확인하세요
* 릴리스 이름이 다음에 따라 지정되었는지 확인하세요 [SemVer 형식](https://semver.org/)그리고 릴리스의 태그는 릴리스 이름과 같아야 합니다
* 릴리스의 아티팩트 이름이 다음과 같은지 확인하세요 `panther-analysis-all.zip` (및 이에 대응하는 `panther-analysis-all.sig` 릴리스를 서명하는 경우)
* 다음이 포함되어 있는지 확인하세요 `panther-analysis-all.zip` 하나 이상의 Pack Manifest 파일(을)를 포함하고 있는지[아래의 Pack 매니페스트 섹션을 참조하세요](#pack-manifests) (자세한 내용은)

<figure><img src="/files/987a3a16324e08d461aa40c9be690205cb821ce9" alt="A screen shot from the Panther Analysis repo on Github. In the middle of the page, the version number is circled. Under a header labeled &#x22;Assets&#x22;, there is a red circle around panther-analysis-all.zip." width="563"><figcaption></figcaption></figure>

다음을 사용할 수 있습니다. `panther_analysis_tool` (PAT)를 사용하여 필요한 릴리스 자산을 생성하고 초안 릴리스를 게시할 수 있습니다(자세한 내용은 [GitHub 릴리스 만들기 - Panther 분석 도구](#creating-a-github-release-panther-analysis-tool) 를 참조하세요.) Panther에서 제공하는 팩과 동일한 기능으로 사용자 지정 팩을 관리할 수 있습니다.

팩 소스 필드는 다음 표에 설명되어 있습니다.

| **필드 이름** | **필수** | 설명                                | 예상 값 |
| --------- | ------ | --------------------------------- | ---- |
| `소유자`     | 예      | 대상 저장소의 소유자/조직                    | 문자열  |
| `저장소`     | 예      | 저장소의 이름                           | 문자열  |
| `kmsKey`  | 아니요    | 릴리스 서명을 검증하기 위한 서명/검증용 kms 키의 ARN | 문자열  |
| `액세스 토큰`  | 아니요    | 비공개 저장소에 액세스하는 데 사용되는 개인 액세스 토큰   | 문자열  |

### 팩 매니페스트

팩은 Pack manifest YAML 파일을 생성하여 정의되며, 이 파일에는 팩에 대한 메타데이터(예: 이름, 설명, 팩에 포함된 탐지/파일)가 들어 있습니다.

귀하의 `panther-analysis-all.zip` 릴리스 아티팩트에는 탐지, 전역 헬퍼, 데이터 모델 등 리포지토리의 다른 파일과 함께 여러 개의 서로 다른 Pack 매니페스트가 포함될 수 있습니다. GitHub 리포지토리를 Panther Console의 Pack Source로 추가하면, 이러한 Pack manifest 파일 각각이 Panther Console에 Pack으로 표시되며 개별적으로 활성화/비활성화할 수 있습니다.

다음 표는 Pack manifest에서 유효한 다양한 키에 대한 참고 자료입니다. Panther가 사용하는 Pack 매니페스트의 추가 예시는 우리의 [GitHub의 Panther 제공 팩](https://github.com/panther-labs/panther-analysis/tree/master/packs).

<table><thead><tr><th>필드 이름</th><th width="150">필수</th><th width="210">설명</th><th>예상 값</th></tr></thead><tbody><tr><td>AnalysisType</td><td>true</td><td>이 파일이 어떤 분석 유형인지 나타냅니다</td><td><code>팩</code></td></tr><tr><td>PackID</td><td>true</td><td>이 팩의 고유 ID</td><td>문자열</td></tr><tr><td>설명</td><td>false</td><td>Panther Console에 표시될 이 Pack에 대한 추가 정보</td><td>문자열</td></tr><tr><td>PackDefinition</td><td>true</td><td>다음이라는 단일 필드를 가진 매핑 <code>IDs</code> 이며 문자열 목록입니다. 목록의 각 문자열은 <code>IDs</code> 이 팩에 포함된 파일의 고유 ID여야 합니다</td><td>{ IDs: [string] }</td></tr><tr><td>표시 이름</td><td>true</td><td>Panther Console에서 이 Pack에 대해 표시될 사용자 친화적인 제목</td><td>문자열</td></tr></tbody></table>

### 비공개 저장소에 액세스하기

Panther가 비공개 저장소를 폴링할 수 있도록 하려면 개인 액세스 토큰으로 Pack Source를 구성해야 합니다. 자세한 내용은 [GitHub 문서](https://docs.github.com/en/github/authenticating-to-github/creating-a-personal-access-token) 에서 토큰 생성에 대해 확인하세요.

개인 액세스 토큰은 계정 소유자가 액세스할 수 있는 모든 저장소에 대한 액세스 권한을 부여합니다. 다음을 생성하는 것을 권장합니다. ["machine user"](https://docs.github.com/en/developers/overview/managing-deploy-keys#machine-users) 를 만들어 디택션 팩이 포함된 저장소에 외부 협업자로 추가할 수 있습니다. 이렇게 하면 액세스 토큰의 범위를 특정 용도와 저장소로 제한할 수 있습니다.

### 릴리스 서명

Panther에서 관리하는 Pack은 비대칭 AWS KMS 키를 사용해 서명됩니다. Panther pack source에서 디택션을 가져오기 전에 릴리스 애셋 `panther-analysis.sig`의 서명을 검증합니다. 이를 통해 가져오는 디택션이 변조되거나 수정되지 않았음을 보장합니다. 유사한 기능을 사용하고 싶다면, [서명/검증 KMS 키를 생성하고](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 정책을 수정하여 Panther가 다음을 실행하도록 허용하세요 `kms:Verify` 를 해당 키를 사용해.

키 정책에 추가할 이 예제 항목에서 계정 ID는 Panther가 실행 중인 계정 ID로 바꿔야 합니다:

```javascript
{
    "Sid": "Enable KMS Verify",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{accountid}:root"
    },
    "Action": "kms:Verify",
    "Resource": "*"
}
```

### Pack Source 관리

**Pack Source를 추가하려면**:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 을 클릭합니다. **디택션 Pack Source** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
4. 다음을 클릭합니다. **Create New** 를 클릭하세요.
   * 각 입력 필드의 필드 이름을 입력하세요.
5. 다음을 클릭합니다. **Save**.

<figure><img src="/files/d9f28cc2a96986754c5372e67b4504c8aa4e1b00" alt="The &#x22;New Detection Pack Source&#x22; form in the Panther Console shows fields for Source ID, Github Owner, Github Repo, Access Token, and Public Key or ARN." width="563"><figcaption></figcaption></figure>

**다음을 수정하려면 `kmsKey` 또는 `액세스 토큰` Pack Source의 필드를**:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 을 클릭합니다. **디택션 Pack Source** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
4. 다음을 클릭합니다. **...** 옆에 있는 Pack Source를 클릭한 다음 **편집**. Pack Source를 클릭하세요.
   * 이 페이지에서 필드를 편집하세요.
5. 다음을 클릭합니다. **Save**.

**Pack Source를 삭제하려면**:

1. Panther Console의 왼쪽 탐색 표시줄에서 **Detections**.
2. 을 클릭합니다. **Packs** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
3. 을 클릭합니다. **디택션 Pack Source** 탭을 클릭하면 Panther Console에서 Panther가 제공하는 디택션 팩 목록을 볼 수 있습니다.
4. 다음을 클릭합니다. **...** 옆에 있는 Pack Source를 클릭한 다음 **삭제**.

<figure><img src="/files/2cc4b0f3a69d6c39506cf16f7c027261acb4551e" alt="The dropdown menu on a Pack source is expanded, with options visible to Edit or Delete." width="535"><figcaption></figcaption></figure>

{% hint style="info" %}
Pack Source를 삭제하면 해당 Source에서 생성된 packs와 그 안의 모든 디택션이 삭제됩니다.
{% endhint %}

### GitHub 릴리스 생성 - Panther Analysis Tool

해당 `panther_analysis_tool` (PAT)는 관련 서명 파일의 유무와 상관없이 적절한 Github 릴리스를 생성하는 과정을 간소화할 수 있습니다.

릴리스 아티팩트를 생성하려면 다음을 사용하세요. `release` 명령어.

```bash
% panther_analysis_tool release --help
사용법: panther_analysis_tool release [-h] [--aws-profile AWS_PROFILE]
                                     [--filter KEY=VALUE [KEY=VALUE ...]]
                                     [--kms-key KMS_KEY]
                                     [--minimum-tests MINIMUM_TESTS]
                                     [--out OUT] [--path PATH] [--skip-tests]

선택적 인수:
  -h, --help            이 도움말 메시지를 표시하고 종료합니다
  --aws-profile AWS_PROFILE
                        AWS Panther 배포를 업데이트할 때 사용할 AWS 프로필
                        입니다.
  --filter KEY=VALUE [KEY=VALUE ...]
  --kms-key KMS_KEY     릴리스 아티팩트에 서명하는 데 사용할 키 ID입니다.
  --minimum-tests MINIMUM_TESTS
                        디택션이 통과로 간주되기 위해 필요한 최소 테스트 수입니다.
                        1보다 큰 수가 지정되면
                        적어도 하나의 True 테스트와 하나의 False 테스트가
                        필요합니다.
  --out OUT             출력 파일을 저장할 경로입니다.
  --path PATH           Panther 정책 및 규칙에 대한 상대 경로입니다.
  --skip-tests
```

GitHub 저장소에 초안 릴리스를 자동으로 생성하려면 먼저 `GITHUB_TOKEN` 환경 변수를 대상 저장소에 접근할 수 있는 적절한 권한이 있는 개인 액세스 토큰으로 설정하세요. 그런 다음 다음을 사용하세요. `publish` 명령어.

{% hint style="warning" %}
참고: `panther_analysis_tool publish` 명령은 초안 릴리스를 생성합니다. Panther가 이 릴리스 아티팩트를 가져오기 전에, GitHub 저장소로 이동해 초안을 수동으로 릴리스로 마무리해야 합니다.
{% endhint %}

```bash
% panther_analysis_tool publish --help
사용법: panther_analysis_tool publish [-h] [--body BODY]
                                     [--github-branch GITHUB_BRANCH]
                                     [--github-owner GITHUB_OWNER]
                                     [--github-repository GITHUB_REPOSITORY]
                                     --github-tag GITHUB_TAG
                                     [--aws-profile AWS_PROFILE]
                                     [--filter KEY=VALUE [KEY=VALUE ...]]
                                     [--kms-key KMS_KEY]
                                     [--minimum-tests MINIMUM_TESTS]
                                     [--out OUT] [--skip-tests]

선택적 인수:
  -h, --help            이 도움말 메시지를 표시하고 종료합니다
  --body BODY           릴리스의 본문 텍스트
  --github-branch GITHUB_BRANCH
                        릴리스를 기준으로 삼을 브랜치
  --github-owner GITHUB_OWNER
                        저장소의 GitHub 소유자
  --github-repository GITHUB_REPOSITORY
                        GitHub 저장소 이름
  --github-tag GITHUB_TAG
                        이 릴리스의 태그 이름
  --aws-profile AWS_PROFILE
                        AWS Panther 배포를 업데이트할 때 사용할 AWS 프로필
                        입니다.
  --filter KEY=VALUE [KEY=VALUE ...]
  --kms-key KMS_KEY     릴리스 아티팩트에 서명하는 데 사용할 키 ID입니다.
  --minimum-tests MINIMUM_TESTS
                        디택션이 통과로 간주되기 위해 필요한 최소 테스트 수입니다.
                        1보다 큰 수가 지정되면
                        적어도 하나의 True 테스트와 하나의 False 테스트가
                        필요합니다.
  --out OUT             출력 파일을 저장할 경로입니다.
  --skip-tests
```

{% hint style="info" %}
해당 `kms-key` 인수는 서명 파일을 생성하는 데 사용할 수 있는 선택적 인수입니다. 이 인수를 사용하려면 반드시 적절한 AWS 자격 증명으로 panther\_analysis\_tool을 실행하여 다음을 호출하세요. `kms:Sign` 지정된 키에서.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/detections/panther-managed/packs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.