# 간단한 디택션 빌더 사용

## 개요

Panther Console의 Simple 디택션 빌더를 사용하여 생성하고 편집할 수 있습니다 [규칙](https://docs.panther.com/ko/detections/rules) 드롭다운 필드를 사용하여. 이 빌더를 사용하면 코드를 작성하지 않고도 디택션을 관리할 수 있지만, 표현력, 테스트 가능성, CI/CD 통합, 재사용성 등 디택션-as-code의 이점은 그대로 유지됩니다.

Simple 디택션 빌더는 다음의 일부입니다 [Simple 디택션](https://docs.panther.com/ko/detections/..#simple-detections) 기능 세트로, 모든 수준의 기술 역량을 가진 팀원 간의 협업을 촉진합니다. Simple 디택션 [CLI 워크플로에서 YAML로 구성된](https://docs.panther.com/ko/detections/rules/writing-simple-detections), 그런 다음 Panther에 업로드하면 Console의 Simple 디택션 빌더에서 보고 편집할 수 있습니다.

Simple 디택션 빌더에서 생성된 규칙은 다음에서 사용할 수 있습니다 [디택션 파생](https://docs.panther.com/ko/detections/rules/derived).

아래의 Simple 디택션 builder를 사용하여 룰을 만드는 방법에 대한 단계별 지침은 다음에서 확인하세요. [Simple 디택션 builder에서 룰을 만드는 방법](#how-to-create-a-rule-in-the-simple-detection-builder).

{% hint style="info" %}
팀이 디택션 콘텐츠를 관리하기 위해 CLI 워크플로를 사용하는 경우, 콘솔의 Simple 디택션 builder를 사용하여 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](https://docs.panther.com/ko/detections/rules/inline-filters) 콘솔에서 생성된 것은 유지됩니다).

콘솔에서 Simple 디택션 builder를 사용하여 디택션을 만들거나 편집하는 경우, 결과 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. 그래야 다음 업로드 시 변경 사항이 덮어써지는 것을 방지할 수 있습니다.
{% endhint %}

### 동영상 개요

{% embed url="<https://youtu.be/GcId5sw4dps>" %}

### Simple 디택션 builder에 액세스하는 방법

Panther 콘솔에서 Simple 디택션 builder에 액세스하려면:

1. Panther Console의 왼쪽 탐색 모음에서 **디택션**.
2. 클릭하세요. **새로 만들기**.
3. 에서 **디택션 Builder 룰** 타일, 클릭 **시작**.
4. 생성 페이지에서, 다음을 입력하세요 **이름** 및 **ID** 에 대한 디택션:
   * **이름**: 룰에 대한 설명적인 이름을 입력하세요.
   * **ID** (선택 사항)**:** 펜 아이콘을 클릭하고 룰에 대한 고유한 ID를 입력하세요.
5. 에서 **다음 소스에 대해** 섹션에서 다음을 선택합니다. **로그 유형** 이 디택션이 적용됩니다.\
   ![On the detection editor page, the "Log Types" dropdown in the "For the Following Source" section is opened, and circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-f6a6c446c86a8de324200b846ba79ed72f27f63f%2FScreenshot%202023-08-15%20at%209.56.21%20AM.png?alt=media)
6. 에서 **디택트** 섹션에서 **룰 빌더** 옵션이 미리 선택되어 있는 경우, Simple 디택션 빌더를 참조하세요:\
   ![Under a "Detect" title, there are two tabs: Rule Builder and Text Editor.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-bd348618146b0492cfc7c80ebcfddeaa8a24bb8e%2FScreenshot%202025-06-17%20at%206.14.03%E2%80%AFPM.png?alt=media)

{% hint style="info" %}
이 문서에서 "Simple 디택션 빌더"에 대한 참조는 다음일 때 표시되는 빌더를 의미합니다. **룰 빌더** 가 선택됩니다. 다음은 [Simple 디택션 빌더의 제한 사항](#limitations-of-the-simple-detection-builder), 예를 들어, 다음에는 적용되지 않습니다. **텍스트 편집기**.

<img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-f5cbd7748efc4c8b8a01ccdee6294e4018356d39%2Fimage.png?alt=media" alt="" data-size="original">
{% endhint %}

## Simple 디택션 builder에서 룰을 만드는 방법

Panther Console의 Simple 디택션 빌더에서 룰을 만들 수 있습니다. 룰에 대해 자세히 알아보려면 [룰 및 예약된 룰](https://docs.panther.com/ko/detections/rules).

{% hint style="info" %}
팀이 디택션 콘텐츠를 관리하기 위해 CLI 워크플로를 사용하는 경우, 콘솔의 Simple 디택션 builder를 사용하여 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](https://docs.panther.com/ko/detections/rules/inline-filters) 콘솔에서 생성된 것은 유지됩니다).

콘솔에서 Simple 디택션 builder를 사용하여 디택션을 만들거나 편집하는 경우, 결과 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. 그래야 다음 업로드 시 변경 사항이 덮어써지는 것을 방지할 수 있습니다.
{% endhint %}

<details>

<summary>Console의 Simple 디택션 빌더에서 룰 만들기</summary>

1. 다음의 지침을 따르세요 [Simple 디택션 builder에 액세스하는 방법](#how-to-access-the-simple-detection-builder).
2. 오른쪽의 **다음 위치에서**, 클릭 **+**. 나타나는 메뉴에서 다음 중 하나를 선택하세요 **절 추가** 또는 **절 그룹 추가**.\
   ![Within a "Detect" section is a toggle that has two options, "Rule Builder" and "Text Editor." "Rule Builder" is selected. There is a plus button (+) next to the word "Where." A menu is open below the plus, with options "Add Clause" and "Add Clause Group."](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-04d2af9e8b2e2ebf33fd639424daa221e4b7f536%2FScreenshot%202023-08-15%20at%2010.04.47%20AM.png?alt=media)
3. 각 절(단독이든 그룹 내이든)에 대해 로직을 정의합니다:
   1. 클릭하세요. **키**, 그런 다음 조건이 적용될 이벤트 키를 선택합니다.
   2. 클릭하세요. **조건**, 그런 다음 조건을 선택합니다.
   3. 선택한 **조건** 에 입력된 값이 필요하면(예: `다음과 같음` 또는 `포함함`), 값 또는 값 목록을 제공합니다.
4. 각 절과 절 그룹 사이에서 올바른 결합자(즉, **및** 또는 **또는**)가 선택되었는지 확인합니다.
5. (선택 사항) 디택션 로직 구성을 완료하면 **텍스트 편집기** 의 오른쪽 상단 토글에서 선택하여 결과를 원시 YAML로 볼 수 있습니다. **디택트** 섹션.
6. 에서 **Create 알러트** 섹션에서 **Create 알러트** `ON/OFF` 토글을 설정합니다. 이는 일치 항목이 있을 때 [알러트](https://docs.panther.com/ko/alerts) 를 생성할지, 또는 [시그널](https://docs.panther.com/ko/detections/signals)만 생성할지를 나타냅니다. 이 토글을 `ON`:
   1. 아래에서 **필수 필드**, 를 선택합니다 **심각도**.
      * 알러트 심각도에 대해 자세히 알아보려면 [알러트 심각도 표](https://docs.panther.com/ko/detections/rules/..#alert-severity).
   2. 아래에서 **선택 필드**, 동적 알러트 필드를 설정합니다:
      * **제목**: **다음으로 변경**, 의 오른쪽에서 더하기 기호(**+**)를 클릭한 다음, 이벤트 값을 동적으로 대체하려는 위치에 중괄호를 사용하여 문자열을 입력합니다.\
        ![Within an "Optional Fields" section, there is text reading "Default title is my simple detection." There is an arrow pointing to a box with a "Change to:" label. To its right reads, "my updated alert title - {actor.displayName} performed {eventType}](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-b0381f015c7b25f79a4321f50e5918b8b65e0811%2FScreenshot%202023-08-23%20at%204.21.53%20PM.png?alt=media)
      * **설명**: 이 룰에 대한 추가 컨텍스트를 입력합니다.
      * **런북**: 이 룰과 관련된 절차 및 작업을 입력합니다.
        * 자세히 알아보기 [알러트 실행 가이드](https://docs.panther.com/ko/alerts/alert-runbooks).
      * **참조**: 이 룰과 관련된 추가 정보에 대한 외부 링크를 입력합니다.
      * **대상 재정의**: 심각도와 관계없이 이 디택션의 알러트를 수신할 대상을 선택합니다. 대상은 룰 함수에서 동적으로 설정할 수도 있습니다. [라우팅 순서 우선순위](https://docs.panther.com/ko/alerts/destinations#routing-order-precedence) 에서 라우팅 우선순위에 대해 자세히 알아보세요.
      * **중복 제거 기간**: 이벤트를 중복 제거할 기간을 선택합니다. 자세한 내용은 [알러트 중복 제거](https://docs.panther.com/ko/detections/rules/..#deduplication-of-alerts).
      * **이벤트 임계값**: 디택션 이벤트 임계값을 입력하세요. 자세한 내용은에서 확인하세요. [알러트 중복 제거](https://docs.panther.com/ko/detections/rules/..#deduplication-of-alerts).
      * **요약 속성**: 이 디택션으로 트리거되는 알러트에 표시할 속성을 입력하세요.
        * 중첩 필드를 요약 속성으로 사용하려면, Snowflake 점 표기법을 요약 속성 필드에 사용하여 JSON 개체 내 경로를 탐색하세요:\
          `<column>:<level1_element>.<level2_element>.<level3_element>`\
          그러면 알러트의 참조된 개체에 대해 알러트 요약이 생성됩니다. [Snowflake에서 반구조화된 데이터를 탐색하는 방법에 대해 자세히 알아보려면 여기를 참조하세요.](https://docs.snowflake.com/en/user-guide/querying-semistructured.html#label-traversing-semistructured-data)
        * 알러트 요약에 대한 자세한 내용은 다음을 참조하세요. [알러트 할당 및 관리](https://docs.panther.com/ko/alerts/alert-management).
      * **태그**: 룰을 한눈에 이해하는 데 도움이 되도록 사용자 지정 태그를 입력하세요(예:  `HIPAA`.)
      * **프레임워크 매핑**:
        1. 클릭하세요. **새로 추가** 보고서를 입력하려면.
        2. 다음 필드의 값을 입력하세요:
           * **보고서 키**: 보고서와 관련된 키를 입력하세요.
           * **보고서 값**: 해당 보고서의 값을 입력하세요.
7. 아래에서 **테스트**, **단위 테스트** 섹션에서 클릭합니다 **새로 추가** 에서 [룰에 대한 테스트를 생성합니다.](https://docs.panther.com/ko/detections/testing) 룰에 대해.
8. 오른쪽 상단에서 다음을 클릭합니다 **배포**.

</details>

## Simple 디택션 빌더의 제한 사항

콘솔의 Simple 디택션 builder는 특정 YAML 표현식을 렌더링할 수 없습니다. 다음 중 하나를 [로컬에서 작성하고 Simple 디택션을 업로드하면](https://docs.panther.com/ko/detections/rules/writing-simple-detections) 아래 표현식 중 하나를 사용한 경우, 콘솔의 Simple 디택션 builder에는 표시되지 않으며 원시 YAML로 표시됩니다.

아래는 Simple 디택션 builder의 제한 사항입니다.

* Simple 디택션 빌더에서는 규칙(예약된 규칙이나 정책은 제외)만 생성 및/또는 렌더링할 수 있습니다.
* [절대적](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#absolute-match-expressions), [다중 키](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#multi-key-match-expressions), [리스트 내포](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#list-comprehension-match-expressions)및 [강화](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#enrichment-match-expressions) match expressions는 Simple 디택션 빌더에서 렌더링할 수 없습니다.
  * 노코드 빌더는 다음을 렌더링할 수 있습니다. [키/값](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#key-value-match-expressions) 및 [키/값들](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#key-values-match-expressions) match expressions.
* The `OnlyOne` 및 `None` [결합자](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#combinators) Simple 디택션 빌더에서는 렌더링할 수 없습니다.
  * Simple 디택션 빌더는 다음을 렌더링할 수 있습니다. `All` 및 `Any` 결합자.
* 에서 **알러트 컨텍스트** JSON 형식의 field, event fields는 사용할 수 없습니다.
* 특정 [`조건`](https://docs.panther.com/ko/detections/writing-simple-detections/match-expression#condition) 값은 Simple 디택션 builder에서 렌더링할 수 없습니다. 다음 조건은 지원되지 않습니다:
  * `존재함`
  * `존재하지 않음`
  * `IsNull`
  * `IsNotNull`
  * `IsIPAddress`
  * `IsIPv4Address`
  * `IsIPv6Address`
  * `AnyElement`
  * `AllElements`
  * `OnlyOneElement`
  * `NoElement`