# 룰 및 예약된 룰

## 개요

룰과 예약된 룰은 의심스러운 활동을 디택션하고 생성하기 위해 로그 데이터를 실행하는 논리의 세그먼트입니다 [신호](/ko/detections/signals.md) (그리고 선택적으로 [알러트](/ko/alerts.md)). 룰은 실시간 이벤트를 분석하는 반면, 예약된 룰은 데이터 레이크에서 쿼리된 이벤트를 분석합니다. 이러한 디택션 유형은 [정책](/ko/detections/policies.md), 클라우드 리소스 구성에 적용되는 것과 다릅니다.

Panther는 여러 [Panther 관리형 룰 및 예약된 룰](/ko/detections/panther-managed.md) 을 Python으로 제공하며, 이는 이미 작성되어 있고 지속적으로 업데이트됩니다. 사용자 지정 룰은 Console에서 [Simple 디택션 builder](/ko/detections/rules/simple-detection-builder.md) 를 사용하거나 [Python](/ko/detections/rules/python.md)를 작성하여 만들 수 있으며, CLI 워크플로에서는 룰을 [Simple Detections(YAML에서)로](/ko/detections/rules/writing-simple-detections.md) 또는 [Python](/ko/detections/rules/python.md)로 작성할 수 있습니다. 예약된 룰은 [Python](/ko/detections/rules/python.md) (Console 또는 CLI 워크플로에서)로 작성할 수 있습니다.

{% hint style="info" %}
자연어에서 디택션 코드를 생성하려면 [AI 디택션 Builder](/ko/detections/rules/ai-builder.md) 를 사용하세요.
{% endhint %}

알러트를 생성할 만큼의 가치가 없거나—적어도 그 자체만으로는—없는 작업에 대한 룰 또는 예약된 룰을 만들고 싶다면, [알러트를 생성하지 않도록 구성할 수 있습니다](/ko/detections/signals.md#how-to-create-a-rule-that-only-produces-signals) ( [신호](/ko/detections/signals.md)만 생성). 그런 다음 해당 룰을 [상관관계 룰](/ko/detections/correlation-rules.md).

에 포함하고 싶을 수 있습니다. 룰은 [파생](/ko/detections/rules/derived.md)을 사용할 수 있으며, 이를 통해 단일 Base Detection에서 하나 이상의 Derived Detections를 만들 수 있습니다. 또한 [Sigma 룰을 Panther 룰로 변환할 수 있습니다](/ko/panther/converting-sigma-rules.md).

룰의 일반적인 예로는 다음에 대한 로그 분석이 있습니다:

* 알 수 없거나 예상치 못한 위치에서의 인증
* SaaS 서비스에 대한 관리 변경과 같은 민감한 API 호출
* 데이터베이스나 가상 머신과 같은 민감한 데이터 소스에 대한 네트워크 트래픽 액세스

### 룰 vs. 예약된 룰

룰과 예약된 룰은 모두 로그 이벤트가 실행되는 논리를 정의하지만, 룰은 실시간 이벤트를 분석하는 반면 예약된 룰은 데이터 레이크에서 쿼리된 이벤트를 분석합니다.

* **룰**
  * 룰은 Panther로 전송된 데이터를 분석하는 기본 메커니즘입니다. 룰은 [지원되는 로그 소스](/ko/data-onboarding/supported-logs.md)와 같은 하나 이상의 정의된 로그 유형 또는 사용자 고유의 [사용자 지정 데이터](/ko/data-onboarding/custom-log-types.md)를 받아 작동합니다. 룰은 지연 시간이 짧은 디택션 및 알러팅의 이점이 있습니다.
  * 사용 사례: 다른 데이터와의 조인이 필요하지 않은 고신호 로그.
  * 룰은 스트리밍 룰, 실시간 룰, 저지연 룰이라고도 할 수 있습니다.
* **예약된 룰**
  * 예약된 룰은 연결된 의 출력된 개별 행을 받아 작동합니다 [예약 검색](/ko/search/scheduled-searches.md).
  * 사용 사례: 더 과거의 시간 창 검색, 데이터에 대한 통계 분석 실행, 또는 별도의 데이터 스트림 조인.

### Python vs. Simple Detections YAML 사용

CLI 워크플로에서 로컬로 룰을 작성하는 경우, Python 또는 Simple Detections로 만들 수 있습니다. (예약된 룰은 Python으로만 작성할 수 있습니다.) 아래에 설명된 대로 두 가지 룰 생성 방법 모두에 장점이 있습니다.

* [Python으로 룰 작성](/ko/detections/rules/python.md) 언제:
  * 논리의 복잡성이 매우 높거나, 디택션에 현재 나열된 기능 중 하나가 필요합니다. [Simple Detections YAML의 제한 사항](/ko/detections/rules/writing-simple-detections.md#limitations-of-simple-detections-yaml).
* [규칙을 간단한 탐지로 작성](/ko/detections/rules/writing-simple-detections.md) 언제:
  * 기술 숙련도 수준이 서로 다른 팀원들 간의 협업을 장려하고 싶습니다. CLI 워크플로에서 작성된 Simple Detections가 Panther에 업로드되면, 콘솔에서는 다음과 같이 표시됩니다. [Simple 디택션 builder](/ko/detections/rules/simple-detection-builder.md). 그런 다음 Console에서 Simple 디택션 builder를 사용하여 디택션을 편집(또는 새로 생성)할 수 있습니다.

Python과 YAML로 작성된 동일한 디택션 로직의 예시는 다음을 참조하세요 [아래 룰 예시](#rule-examples).

## 규칙과 예약된 규칙이 작동하는 방식

규칙과 예약된 규칙은 모두 한 번에 하나의 이벤트를 분석합니다. 이들은 이벤트 임계값과 중복 제거를 사용하여 시간 창 내에서 이벤트 그룹화를 생성합니다.

최소한 각 룰과 예약된 룰은 룰 로직을 정의해야 합니다.  [Python 디택션](/ko/detections/rules/python.md)의 경우, 이는 각각이  `룰()` 함수를 포함해야 함을 의미합니다.  [CLI 워크플로로 작성된 Simple Detections](/ko/detections/rules/writing-simple-detections.md)의 경우, 각 항목은 최소한 하나의  `디택션` 키와 최소한 하나의  [match expression](/ko/detections/rules/writing-simple-detections/match-expression.md).

Python 룰은 또한 다음을 정의할 수 있습니다 [동적 알러트 함수](/ko/detections/rules/python.md#alert-functions-in-python-detections), 그리고 Simple 디택션은 사용할 수 있습니다 [동적 알러트 키](/ko/detections/rules/writing-simple-detections.md#dynamic-alert-keys-in-simple-detections). 둘 다 사용할 수 있습니다 [인라인 필터](/ko/detections/rules/inline-filters.md), 이는 디택션 로직 전에 실행됩니다.

{% hint style="warning" %}
룰은 15초보다 더 오래 실행될 수 없습니다. 이 경우, a [룰 오류](#rule-errors-and-scheduled-rule-errors) 생성되고 처리가 종료됩니다. (이 제약은 예약된 룰에는 적용되지 않습니다.)
{% endhint %}

룰 및 예약된 룰의 일치 항목은 생성합니다 [신호](/ko/detections/signals.md). 룰과 예약된 룰에서 알러트가 활성화되면, 이벤트 임계값과 중복 제거 구성에 따라 알러트를 생성할 수 있는 룰 매치가 생성됩니다. [시그널, 룰 매치, 알러트의 차이점에 대해 여기에서 자세히 알아보세요](https://docs.panther.com/ko/detections/pages/28a2f0a91092222209c65334fa10beb60037d689#signals-vs.-rule-matches-vs.-alerts).

### 관련 알러트의 제목

디택션에서 알러트가 활성화되면, 결과로 생성되는 알러트의 제목은 해당 디택션의 구성에 따라 결정됩니다. 별도의 [중복 제거 문자열](#deduplication-of-alerts) 이 명시적으로 설정되지 않은 경우, 알러트 제목은 알러트를 중복 제거하는 데에도 사용됩니다.

#### 알러트 제목 설정 방법

알러트 제목을 설정할 때의 우선순위는 다음과 같습니다:

{% tabs %}
{% tab title="Python" %}
**Python에서의 알러트 제목 우선순위:**

1. 동적의 출력 [`title()`](/ko/detections/rules/python.md#title) 함수가 사용됩니다.
2. 만약 `title()` 정의되지 않은 경우, 디택션의 표시 이름 값이 사용됩니다. 이는 다음에서 정의됩니다:
   * 콘솔에서: **Name** 필드
   * CLI 워크플로에서: `표시 이름` YAML 파일의 필드
3. 표시 이름이 정의되지 않은 경우, 디택션의 ID가 사용됩니다. 이는 다음에서 정의됩니다:
   * 콘솔에서: **ID** 필드
   * CLI 워크플로에서:`RuleID` 또는 `PolicyID` YAML 파일의 필드
     {% endtab %}

{% tab title="Simple 디택션" %}
**Simple 디택션 YAML에서 알러트 제목 우선순위:**

1. 동적 알러트 제목이 사용됩니다. 이는 다음과 같이 정의됩니다:
   * 콘솔에서: **선택적 필드** > **기본 제목은** > **다음으로 변경** 필드
   * 개발자 워크플로에서: [`AlertTitle`](/ko/detections/rules/writing-simple-detections.md#alerttitle) 필드
2. 동적 알러트 제목이 정의되지 않은 경우, 디택션의 표시 이름 값이 사용됩니다. 이는 다음과 같이 정의됩니다:
   * 콘솔에서: **Name** 필드
   * 개발자 워크플로에서: `표시 이름` 필드
3. 표시 이름이 정의되지 않은 경우, 디택션의 ID가 사용됩니다. 이는 다음에서 정의됩니다:
   * 콘솔에서: **ID** 필드
   * 개발자 워크플로에서:`RuleID` 또는 `PolicyID` 필드
     {% endtab %}
     {% endtabs %}

### 알러트 중복 제거

중복 제거 기간 내에 동일한 디택션을 트리거하는 이벤트가 중복 제거 문자열도 공유하는 경우, 단일 알러트로 함께 그룹화됩니다.

각 룰 및 예약 룰의 기본 이벤트 임계값은 `1` 이며 중복 제거 기간은 `1h입니다.` 이는 다음을 반환하는 모든 이벤트가 `True` 에서 `룰` 함수(동일한 중복 제거 문자열 사용)에서 처음 생성된 후 1시간 이내에 단일 알러트로 그룹화됨을 의미합니다.

이벤트 임계값이 `5` 이며 중복 제거 기간은 `15m` 인 룰 또는 예약 룰은 동일한 중복 제거 문자열을 가진 5개 이상의 이벤트가 `룰` 함수로 전달되어 반환될 때까지 알러트를 트리거하지 않습니다. `True` 15분 시간 내에.

중복 제거 임계값이 1보다 큰 경우(즉, 알러트가 생성되기 전에 여러 이벤트가 일치해야 하는 경우), *first* 일치하는 이벤트는 [Python 디택션의 알러트 함수에서 이벤트 매개변수로 사용됩니다](/ko/detections/rules/python.md#alert-functions-in-python-detections) 와 [Simple 디택션의 알러트 키](/ko/detections/rules/writing-simple-detections.md#dynamic-alert-keys-in-simple-detections).

#### 고유 값 임계값

Python 룰의 경우, `unique()` 함수를 정의하여 고유 값 임계값 디택션을 활성화할 수 있습니다. 이를 통해 총 이벤트 수가 아니라 고유 값의 개수에 따라 룰이 알러트하도록 할 수 있습니다. 예를 들어, 총 5회 로그인 시도 후가 아니라 5개 이상의 고유 IP 주소가 로그인하려고 시도할 때 알러트하도록 할 수 있습니다.

다음이 मौजूद할 때 `unique()` 함수:

* 임계값은 `unique()`.
* 에서 반환된 고유 값의 추정 개수에 적용됩니다.
* 이벤트는 여전히 중복 제거 문자열을 기준으로 정상적으로 중복 제거됩니다.

참조 [고유 값 임계값 디택션](/ko/detections/rules/python.md#unique-value-threshold-detection) 자세한 예시와 사용법은

#### 중복 제거 기간

중복 제거 기간을 설정할 때 다음 제약이 적용됩니다:

* Panther Console의 디택션 편집기에서 작업할 때 최소 **15min** 및 최대 **24h**.
* 대량 업로더 또는 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md)를 통해 디택션을 업로드할 때, `DedupPeriodMinutes` 필드의 최소값은 `5` 그리고 최대값은 없습니다.

중복 제거 기간은 알러트 상태를 변경해도 영향을 받지 않습니다. 예를 들어, 이벤트는 중복 제거 기간 동안 계속해서 동일한 알러트로 그룹화됩니다 *심지어* 알러트의 상태가 변경되어 `해결됨`.

#### 중복 제거 문자열이 설정되는 방식

중복 제거 문자열을 설정할 때의 우선순위는 다음과 같습니다:

{% tabs %}
{% tab title="Python" %}
**Python에서의 중복 제거 문자열 우선순위:**

1. 동적의 출력 [`dedup()`](/ko/detections/rules/python.md#dedup) 함수가 사용됩니다.
2. 만약 `dedup()` 가 정의되지 않은 경우, 알러트 제목이 사용됩니다. 알러트 제목은 다음에 의해 정의됩니다 [여기에 정의된 우선순위 순서](#alert-title-precedence-in-python).
   {% endtab %}

{% tab title="Simple 디택션" %}
**Simple Detections YAML에서의 중복 제거 문자열 우선순위:**

1. 의 값이 [`GroupBy`](/ko/detections/rules/writing-simple-detections.md#groupby) 키가 사용됩니다.
2. 만약 `GroupBy` 가 없으면 알러트 제목이 사용됩니다. 알러트 제목은 다음에 의해 정의됩니다 [여기에 정의된 우선순위 순서](#alert-title-precedence-in-simple-detections-yaml).
   {% endtab %}
   {% endtabs %}

중복 제거 문자열을 설정하는 데 사용하는 방법은 알러트를 얼마나 세분화하여 그룹화하려는지에 따라 달라집니다:

* 특정 디택션에 의해 생성된 알러트를, 하나 이상의 이벤트 필드 값이 다른 동일한 디택션에서 트리거된 알러트와 별도로 그룹화하려면 [`title()`](/ko/detections/rules/python.md#title) 또는 [`AlertTitle`](/ko/detections/rules/writing-simple-detections.md#alerttitle) (각각 Python 및 Simple Detections의 경우)를 사용하여 알러트 제목을 동적으로 설정할 수 있으며, 따라서 중복 제거 문자열도 동적으로 설정할 수 있습니다.
* 특정 디택션에 의해 생성된 알러트를, 하나 이상의 이벤트 필드 값이 다른 동일한 디택션에서 생성된 알러트와 구별되게 그룹화하려는 경우 *와* 알림을 다음에서 사용되지 않은 하나 이상의 이벤트 필드를 기준으로 그룹화하려는 경우 `title()` 또는 `AlertTitle` (또는 설정하지 않았다면 `title()` 또는 `AlertTitle` 아예), 다음을 사용할 수 있습니다 [`dedup()`](/ko/detections/rules/python.md#dedup) 또는 [`GroupBy`](/ko/detections/rules/writing-simple-detections.md#groupby) (각각 Python 및 Simple Detections의 경우)를 사용하여 중복 제거 문자열을 설정합니다.

## 규칙 및 예약 규칙 작성 방법

Panther Console에서 규칙을 작성할 수 있습니다( [Simple 디택션 builder](/ko/detections/rules/simple-detection-builder.md) 또는 [Python](/ko/detections/rules/python.md)) 또는 로컬에서( [Simple Detections YAML](/ko/detections/rules/writing-simple-detections.md) 또는 [Python](/ko/detections/rules/python.md)); 예약 규칙은 다음에서 작성할 수 있습니다 [Python](/ko/detections/rules/python.md) (Panther Console 또는 로컬에서).

{% hint style="info" %}
자연어에서 디택션 코드를 생성하려면 [AI 디택션 Builder](/ko/detections/rules/ai-builder.md) 자연어를 사용하여 룰을 생성하고 수정합니다. Panther AI는 룰 편집기에서 직접 디택션 코드 생성, 테스트 케이스 추가, 디택션 로직 설명을 할 수 있습니다.
{% endhint %}

로컬에서 디택션을 작성한다는 것은 자신의 컴퓨터에서 Panther 디택션을 정의하는 Python 및/또는 YAML 파일을 만드는 것을 의미합니다. 로컬에서 디택션을 작성한 후에는 일반적으로 다음을 통해 파일을 Panther 인스턴스에 업로드합니다. [PAT](/ko/panther/detections-repo/pat.md).

다음으로 출력되는 모든 내용은 `stdout` 또는 `stderr` Python 코드에 의해 CloudWatch에 표시됩니다. SaaS/CPaaS 고객의 경우, Panther 직원은 정기적인 애플리케이션 모니터링 중에 이러한 CloudWatch 로그를 볼 수 있습니다.

{% hint style="info" %}
새로운 룰을 작성하기 전에, 기존의 [Panther가 관리하는 룰](/ko/detections/panther-managed.md) 이 있는지 확인하세요. 당신(또는 Panther)이 이미 만들고자 하는 것과 유사한 룰을 만든 적이 있다면, 다음을 만드는 것을 고려하세요. [파생 디택션](/ko/detections/rules/derived.md).
{% endhint %}

### 룰 작성 방법

이 지침은 실시간 룰을 설정하는 방법을 설명합니다. 예약된 룰을 구성하려면 다음을 참조하세요 [예약된 룰 작성 방법](#how-to-write-scheduled-rules).

아래 지침을 따라 룰 작성 방법을 알아보세요:

* [Python에서(콘솔 또는 CLI 워크플로 중 하나에서)](/ko/detections/rules/python.md#how-to-create-a-rule-in-python)
* [콘솔의 Simple 디택션 빌더에서](/ko/detections/rules/simple-detection-builder.md#how-to-create-a-rule-in-the-simple-detection-builder)
* [CLI 워크플로의 Simple 디택션으로](/ko/detections/rules/writing-simple-detections.md#how-to-create-a-simple-detection-rule-in-yaml)

### 예약된 룰 작성 방법

예약된 룰은 하나 이상의 항목과 연결됩니다 [예약된 검색](/ko/search/scheduled-searches.md). 아직 스케줄된 검색을 만들지 않았다면, 다음을 따르세요. [저장 및 스케줄된 검색을 만드는 방법](/ko/search/scheduled-searches.md#how-to-create-a-scheduled-search) 먼저 지침을 따라 스케줄된 룰을 만든 다음, 이 지침으로 돌아오세요.

스케줄된 검색이 여러 행을 반환하면 각 행은 룰 로직에 의해 별도의 이벤트로 처리됩니다. 트리거되는 경보 수는 스케줄된 룰에 구성한 중복 제거 설정에 따라 달라집니다.

{% hint style="info" %}
SQL에서 가능한 한 많은 데이터 처리를 수행하는 것이 권장됩니다(즉, [예약 검색](/ko/search/scheduled-searches.md)) 데이터베이스 최적화를 활용하고 룰 성능을 향상시키기 위해서입니다.
{% endhint %}

스케줄된 룰을 작성하는 방법을 알아보려면 아래 지침을 따르세요:

* [Python에서(콘솔 또는 CLI 워크플로 중 하나에서)](/ko/detections/rules/python.md#how-to-create-a-scheduled-rule-in-python)

## 룰 오류 및 스케줄된 룰 오류

룰 오류 및 스케줄된 룰 오류는 다음 유형의 [디택션 오류](/ko/alerts.md) 다음 경우에 생성됨:

* 디택션의 코드에서 예외가 발생합니다.
* 룰 또는 Scheduled Rule의 Python 처리가 15초보다 오래 실행됩니다.

만약 아무 [알러트 대상](/ko/alerts/destinations.md) 이 룰 오류(또는 예약 룰 오류)를 받도록 구성되지 않은 경우, 룰 오류(또는 예약 룰 오류)에 대한 알러트는 해당 룰 또는 예약 룰의 알러트에 사용될 것과 동일한 대상으로 라우팅됩니다. 자세한 내용은 [알러트 대상에서의 라우팅 순서 우선순위](/ko/alerts/destinations.md#routing-order-precedence) 을(를) 참조하십시오.

다음의 경우에 [예약 검색](/ko/search/scheduled-searches.md) 타임아웃이 발생하면, 하나의 [시스템 오류](/ko/system-configuration/notifications/system-errors.md) 생성됩니다.

## 룰 예시

룰 및 예약된 룰 템플릿을 다음에서 참조하세요 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/templates).

디택션 작성 방법에 대한 자세한 정보는 다음을 참조하세요 [Python 디택션 작성](/ko/detections/rules/python.md) 와 [Simple 디택션 작성](/ko/detections/rules/writing-simple-detections.md).

### Auth0 다중 요소 인증 정책 비활성화

하나의 디택션이 Python과 Simple 디택션으로 어떻게 표현되는지 보세요:

{% tabs %}
{% tab title="Python" %}
**Python에서의 Auth0 다중 요소 인증 정책 비활성화 디택션**

이 디택션 전체 보기 [GitHub의 panther-analysis 저장소에서](https://github.com/panther-labs/panther-analysis/blob/13e49e6589b1160928ec85678884da0e72e986f3/rules/auth0_rules/auth0_mfa_policy_disabled.py).

```python
from panther_auth0_helpers import auth0_알러트_context, is_auth0_config_event
from panther_base_helpers import deep_get


def 룰(event):
    data_description = deep_get(event, "data", "description", default="<NO_DATA_DESCRIPTION_FOUND>")
    request_path = deep_get(
        event, "data", "details", "request", "path", default="<NO_REQUEST_PATH_FOUND>")
    )
    request_body = deep_get(event, "data", "details", "request", "body", default=[-1])
    return all(
        [
            data_description == "다단계 인증 정책 설정",
            request_path == "/api/v2/guardian/policies",
            request_body == [],
            is_auth0_config_event(event),
        ]
    )
```

{% endtab %}

{% tab title="Simple 디택션" %}
**Auth0 다중 요소 인증 정책 비활성화 디택션 in Simple 디택션 YAML**

```yaml
디택션:
  - DeepKey:
      - data
      - description
    조건: 같음
    값: 다중 요소 인증 정책을 설정하세요
  - DeepKey:
      - data
      - 세부 정보
      - 요청
      - 경로
    조건: 같음
    값: /api/v2/guardian/policies
  - DeepKey:
      - data
      - 세부 정보
      - 요청
      - 본문
    조건: IsNullOrEmpty
  - DeepKey:
      - data
      - 세부 정보
      - 요청
      - 채널
    조건: 같음
    값: 'https://manage.auth0.com/'
```

{% endtab %}
{% endtabs %}

### 웹 서버에서 관리자 패널이 액세스될 때 디택션하고 알러트합니다

예를 들어, 웹 서버에서 관리자 패널이 액세스될 때 알러트를 보내는 룰을 작성해 보겠습니다.

다음 NGINX 로그를 보겠습니다:

```javascript
{
  "httpReferer": "https://domain1.com/?p=1",
  "httpUserAgent": "Chrome/80.0.3987.132 Safari/537.36",
  "remoteAddr": "180.76.15.143",
  "request": "GET /admin-panel/ HTTP/1.1",
  "status": 200,
  "time": "2019-02-06 00:00:38 +0000 UTC"
}
```

다음과 같은 디택션을 만들고자 합니다:

* "admin-panel"을 포함하는 모든 URL에 대한 200(OK) 웹 요청을 찾습니다
* 특정 IP 주소에서 성공한 관리자 패널 로그인이 있었다고 말하는 알러트 제목을 생성합니다
* IP 주소를 기준으로 이벤트를 중복 제거합니다

{% tabs %}
{% tab title="Python" %}

```python
def 룰(event):
  return event.get('status') == 200 and 'admin-panel' in event.get('request')

    
def title(event):
  return f"{event.get('remoteAddr')}에서 성공적인 관리자 패널 로그인 디택션됨"


def dedup(event):
  return event.get('remoteAddr')
```

{% endtab %}

{% tab title="Simple 디택션" %}

```yaml
디택션:
  - KeyPath: status
    조건: 같음
    값: 200
  - KeyPath: request
    조건: Contains
    값: 'admin-panel'

AlertTitle: "{remoteAddr}에서 성공적인 관리자 패널 로그인 디택션됨"

GroupBy:
  - KeyPath: remoteAddr
```

{% endtab %}
{% endtabs %}

그러면 다음이 발생합니다:

1. 알러트가 생성되어 연결된 [대상](/ko/alerts/destinations.md)의 집합으로 전송되며, 기본적으로 이는 룰 심각도에 따라 결정됩니다.
2. 알러트의 제목은 다음과 같습니다: `180.76.15.143에서 성공적인 관리자 패널 로그인 디택션됨`.
3. 다음과 동일한 중복 제거 문자열을 가진 유사한 이벤트는 `180.76.15.143` 동일한 알러트에 추가됩니다.
   * 각 고유한 중복 제거 문자열마다 고유한 알러트가 생성되며, 이 경우 이는 요청자의 IP입니다.
4. 그런 다음 알러트 수신자는 Panther에 로그인하여 모든 알러트 메타데이터와 이벤트 요약을 확인하고, 추가 분석을 수행하기 위해 [검색](/ko/search.md) 을 모든 이벤트에 대해 실행할 수 있습니다.

## 참조

### 알러트 심각도

알러트 심각도 수준을 정의할 때 다음 지침을 따르는 것을 권장합니다:

<table data-header-hidden><thead><tr><th width="133.26171875">심각도</th><th width="128.59765625">악용 가능성</th><th width="202.296875">설명</th><th>예제</th></tr></thead><tbody><tr><td>심각도</td><td>악용 가능성</td><td>설명</td><td>예제</td></tr><tr><td><code>정보</code></td><td>None</td><td>위험 없음, 단순 정보 제공</td><td>운영 상황 인식 확보</td></tr><tr><td><code>낮음</code></td><td>어려움</td><td>악용되어도 위험이 거의 없거나 전혀 없음</td><td>시스템 시간 및 OS 버전과 같은 민감하지 않은 정보 유출</td></tr><tr><td><code>중간</code></td><td>어려움</td><td>악용 시 중간 정도의 위험</td><td>만료된 자격 증명, 우발적 데이터 손실 방지 미흡, 암호화 설정, 감사 도구에 대한 모범 사례 설정</td></tr><tr><td><code>높음</code></td><td>보통</td><td>악용되면 매우 큰 피해를 초래함</td><td>가시성의 큰 공백, 직접적으로 취약한 인프라, 데이터 노출과 직접 관련된 잘못된 구성</td></tr><tr><td><code>심각</code></td><td>쉬움</td><td>악용되면 극심한 피해를 초래함</td><td>공개된 데이터/시스템 사용 가능, 유출된 액세스 키</td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/detections/rules.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.