# 간단한 디택션 빌더 사용하기 ## 개요 Panther Console의 Simple 디택션 빌더를 사용하여 생성하고 편집할 수 있습니다 [규칙](/ko/detections/rules.md) 드롭다운 필드를 사용하여. 이 빌더를 사용하면 코드를 작성하지 않고도 디택션을 관리할 수 있지만, 표현력, 테스트 가능성, CI/CD 통합, 재사용성 등 디택션-as-code의 이점은 그대로 유지됩니다. Simple 디택션 빌더는 다음의 일부입니다 [Simple 디택션](/ko/detections.md#simple-detections) 기능 세트로, 모든 수준의 기술 역량을 가진 팀원 간의 협업을 촉진합니다. Simple 디택션 [CLI 워크플로에서 YAML로 구성된](/ko/detections/rules/writing-simple-detections.md), 그런 다음 Panther에 업로드하면 Console의 Simple 디택션 빌더에서 보고 편집할 수 있습니다. Simple 디택션 빌더에서 생성된 규칙은 다음에서 사용할 수 있습니다 [디택션 파생](/ko/detections/rules/derived.md). 아래의 Simple 디택션 builder를 사용하여 룰을 만드는 방법에 대한 단계별 지침은 다음에서 확인하세요. [Simple 디택션 builder에서 룰을 만드는 방법](#how-to-create-a-rule-in-the-simple-detection-builder). {% hint style="info" %} 팀이 디택션 콘텐츠를 관리하기 위해 CLI 워크플로를 사용하는 경우, 콘솔의 Simple 디택션 builder를 사용하여 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](/ko/detections/rules/inline-filters.md) 콘솔에서 생성된 것은 유지됩니다). 콘솔에서 Simple 디택션 builder를 사용하여 디택션을 만들거나 편집하는 경우, 결과 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. 그래야 다음 업로드 시 변경 사항이 덮어써지는 것을 방지할 수 있습니다. {% endhint %} ### 동영상 개요 {% embed url="" %} ### Simple 디택션 builder에 액세스하는 방법 Panther 콘솔에서 Simple 디택션 builder에 액세스하려면: 1. Panther Console의 왼쪽 탐색 모음에서 **디택션**. 2. 클릭하세요. **새로 만들기**. 3. 에서 **디택션 Builder 룰** 타일, 클릭 **시작**. 4. 생성 페이지에서, 다음을 입력하세요 **이름** 및 **ID** 에 대한 디택션: * **이름**: 룰에 대한 설명적인 이름을 입력하세요. * **ID** (선택 사항)**:** 펜 아이콘을 클릭하고 룰에 대한 고유한 ID를 입력하세요. 5. 에서 **다음 소스에 대해** 섹션에서 다음을 선택합니다. **로그 유형** 이 디택션이 적용됩니다.\ ![On the detection editor page, the "Log Types" dropdown in the "For the Following Source" section is opened, and circled.](/files/a699970f2c3eee9addf1d1af9fee73e17752d4a8) 6. 에서 **디택트** 섹션에서 **룰 빌더** 옵션이 미리 선택되어 있는 경우, Simple 디택션 빌더를 참조하세요:\ ![Under a "Detect" title, there are two tabs: Rule Builder and Text Editor.](/files/0c01ee3d232a381240fca85468cc509f9531a9be) {% hint style="info" %} 이 문서에서 "Simple 디택션 빌더"에 대한 참조는 다음일 때 표시되는 빌더를 의미합니다. **룰 빌더** 가 선택됩니다. 다음은 [Simple 디택션 빌더의 제한 사항](#limitations-of-the-simple-detection-builder), 예를 들어, 다음에는 적용되지 않습니다. **텍스트 편집기**. {% endhint %} ## Simple 디택션 builder에서 룰을 만드는 방법 Panther Console의 Simple 디택션 빌더에서 룰을 만들 수 있습니다. 룰에 대해 자세히 알아보려면 [룰 및 예약된 룰](/ko/detections/rules.md). {% hint style="info" %} 팀이 디택션 콘텐츠를 관리하기 위해 CLI 워크플로를 사용하는 경우, 콘솔의 Simple 디택션 builder를 사용하여 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](/ko/detections/rules/inline-filters.md) 콘솔에서 생성된 것은 유지됩니다). 콘솔에서 Simple 디택션 builder를 사용하여 디택션을 만들거나 편집하는 경우, 결과 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. 그래야 다음 업로드 시 변경 사항이 덮어써지는 것을 방지할 수 있습니다. {% endhint %}
Console의 Simple 디택션 빌더에서 룰 만들기 1. 다음의 지침을 따르세요 [Simple 디택션 builder에 액세스하는 방법](#how-to-access-the-simple-detection-builder). 2. 오른쪽의 **다음 위치에서**, 클릭 **+**. 나타나는 메뉴에서 다음 중 하나를 선택하세요 **절 추가** 또는 **절 그룹 추가**.\ ![Within a "Detect" section is a toggle that has two options, "Rule Builder" and "Text Editor." "Rule Builder" is selected. There is a plus button (+) next to the word "Where." A menu is open below the plus, with options "Add Clause" and "Add Clause Group."](/files/3089c07925e87a4e63d080559a6a2ba30ba56af6) 3. 각 절(단독이든 그룹 내이든)에 대해 로직을 정의합니다: 1. 클릭하세요. **키**, 그런 다음 조건이 적용될 이벤트 키를 선택합니다. 2. 클릭하세요. **조건**, 그런 다음 조건을 선택합니다. 3. 선택한 **조건** 에 입력된 값이 필요하면(예: `다음과 같음` 또는 `포함함`), 값 또는 값 목록을 제공합니다. 4. 각 절과 절 그룹 사이에서 올바른 결합자(즉, **및** 또는 **또는**)가 선택되었는지 확인합니다. 5. (선택 사항) 디택션 로직 구성을 완료하면 **텍스트 편집기** 의 오른쪽 상단 토글에서 선택하여 결과를 원시 YAML로 볼 수 있습니다. **디택트** 섹션. 6. 에서 **Create 알러트** 섹션에서 **Create 알러트** `ON/OFF` 토글을 설정합니다. 이는 일치 항목이 있을 때 [알러트](/ko/alerts.md) 를 생성할지, 또는 [시그널](/ko/detections/signals.md)만 생성할지를 나타냅니다. 이 토글을 `ON`: 1. 아래에서 **필수 필드**, 를 선택합니다 **심각도**. * 알러트 심각도에 대해 자세히 알아보려면 [알러트 심각도 표](/ko/detections/rules.md#alert-severity). 2. 아래에서 **선택 필드**, 동적 알러트 필드를 설정합니다: * **제목**: **다음으로 변경**, 의 오른쪽에서 더하기 기호(**+**)를 클릭한 다음, 이벤트 값을 동적으로 대체하려는 위치에 중괄호를 사용하여 문자열을 입력합니다.\ ![Within an "Optional Fields" section, there is text reading "Default title is my simple detection." There is an arrow pointing to a box with a "Change to:" label. To its right reads, "my updated alert title - {actor.displayName} performed {eventType}](/files/4e036cfda34713c6d9883ddae40740d957d93f39) * **설명**: 이 룰에 대한 추가 컨텍스트를 입력합니다. * **런북**: 이 룰과 관련된 절차 및 작업을 입력합니다. * 자세히 알아보기 [알러트 실행 가이드](/ko/alerts/alert-runbooks.md). * **참조**: 이 룰과 관련된 추가 정보에 대한 외부 링크를 입력합니다. * **대상 재정의**: 심각도와 관계없이 이 디택션의 알러트를 수신할 대상을 선택합니다. 대상은 룰 함수에서 동적으로 설정할 수도 있습니다. [라우팅 순서 우선순위](/ko/alerts/destinations.md#routing-order-precedence) 에서 라우팅 우선순위에 대해 자세히 알아보세요. * **중복 제거 기간**: 이벤트를 중복 제거할 기간을 선택합니다. 자세한 내용은 [알러트 중복 제거](/ko/detections/rules.md#deduplication-of-alerts). * **이벤트 임계값**: 디택션 이벤트 임계값을 입력하세요. 자세한 내용은에서 확인하세요. [알러트 중복 제거](/ko/detections/rules.md#deduplication-of-alerts). * **요약 속성**: 이 디택션으로 트리거되는 알러트에 표시할 속성을 입력하세요. * 중첩 필드를 요약 속성으로 사용하려면, Snowflake 점 표기법을 요약 속성 필드에 사용하여 JSON 개체 내 경로를 탐색하세요:\ `:..`\ 그러면 알러트의 참조된 개체에 대해 알러트 요약이 생성됩니다. [Snowflake에서 반구조화된 데이터를 탐색하는 방법에 대해 자세히 알아보려면 여기를 참조하세요.](https://docs.snowflake.com/en/user-guide/querying-semistructured.html#label-traversing-semistructured-data) * 알러트 요약에 대한 자세한 내용은 다음을 참조하세요. [알러트 할당 및 관리](/ko/alerts/alert-management.md). * **태그**: 룰을 한눈에 이해하는 데 도움이 되도록 사용자 지정 태그를 입력하세요(예: `HIPAA`.) * **프레임워크 매핑**: 1. 클릭하세요. **새로 추가** 보고서를 입력하려면. 2. 다음 필드의 값을 입력하세요: * **보고서 키**: 보고서와 관련된 키를 입력하세요. * **보고서 값**: 해당 보고서의 값을 입력하세요. 7. 아래에서 **테스트**, **단위 테스트** 섹션에서 클릭합니다 **새로 추가** 에서 [룰에 대한 테스트를 생성합니다.](/ko/detections/testing.md) 룰에 대해. 8. 오른쪽 상단에서 다음을 클릭합니다 **배포**.
## Simple 디택션 빌더의 제한 사항 콘솔의 Simple 디택션 builder는 특정 YAML 표현식을 렌더링할 수 없습니다. 다음 중 하나를 [로컬에서 작성하고 Simple 디택션을 업로드하면](/ko/detections/rules/writing-simple-detections.md) 아래 표현식 중 하나를 사용한 경우, 콘솔의 Simple 디택션 builder에는 표시되지 않으며 원시 YAML로 표시됩니다. 아래는 Simple 디택션 builder의 제한 사항입니다. * Simple 디택션 빌더에서는 규칙(예약된 규칙이나 정책은 제외)만 생성 및/또는 렌더링할 수 있습니다. * [절대적](/ko/detections/rules/writing-simple-detections/match-expression.md#absolute-match-expressions), [다중 키](/ko/detections/rules/writing-simple-detections/match-expression.md#multi-key-match-expressions), [리스트 내포](/ko/detections/rules/writing-simple-detections/match-expression.md#list-comprehension-match-expressions)및 [강화](/ko/detections/rules/writing-simple-detections/match-expression.md#enrichment-match-expressions) match expressions는 Simple 디택션 빌더에서 렌더링할 수 없습니다. * 노코드 빌더는 다음을 렌더링할 수 있습니다. [키/값](/ko/detections/rules/writing-simple-detections/match-expression.md#key-value-match-expressions) 및 [키/값들](/ko/detections/rules/writing-simple-detections/match-expression.md#key-values-match-expressions) match expressions. * The `OnlyOne` 및 `None` [결합자](/ko/detections/rules/writing-simple-detections/match-expression.md#combinators) Simple 디택션 빌더에서는 렌더링할 수 없습니다. * Simple 디택션 빌더는 다음을 렌더링할 수 있습니다. `All` 및 `Any` 결합자. * 에서 **알러트 컨텍스트** JSON 형식의 field, event fields는 사용할 수 없습니다. * 특정 [`조건`](/ko/detections/rules/writing-simple-detections/match-expression.md#condition) 값은 Simple 디택션 builder에서 렌더링할 수 없습니다. 다음 조건은 지원되지 않습니다: * `존재함` * `존재하지 않음` * `IsNull` * `IsNotNull` * `IsIPAddress` * `IsIPv4Address` * `IsIPv6Address` * `AnyElement` * `AllElements` * `OnlyOneElement` * `NoElement` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/detections/rules/simple-detection-builder.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.