> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/detections/rules/simple-detection-builder.md).

# 간단한 디택션 빌더 사용

## 개요

Panther Console의 Simple 디택션 빌더를 사용하여 생성하고 편집할 수 있습니다 [룰](/ko/detections/rules.md) 드롭다운 필드를 사용하여. 이 빌더를 사용하면 코드를 작성하지 않고도 디택션을 관리할 수 있지만, 예를 들어 표현력, 테스트 가능성, CI/CD 통합, 재사용성과 같은 디택션-as-code의 이점은 그대로 유지됩니다.

Simple 디택션 빌더는 다음의 일부입니다 [Simple 디택션](/ko/detections.md#simple-detections) 기술 수준이 다양한 팀 구성원 간의 협업을 촉진하는 기능 세트입니다. Simple 디택션은 [CLI 워크플로에서 YAML로 구성된](/ko/detections/rules/writing-simple-detections.md), 그런 다음 Panther에 업로드하면 Console의 Simple 디택션 빌더에서 보고 편집할 수 있습니다.

Simple 디택션 빌더에서 생성된 룰은 다음에서 사용할 수 있습니다 [디택션 파생](/ko/detections/rules/derived.md).

아래의 다음 항목에서 Simple 디택션 빌더를 사용하여 룰을 생성하는 단계별 지침을 확인하세요 [Simple 디택션 빌더에서 룰을 생성하는 방법](#how-to-create-a-rule-in-the-simple-detection-builder).

{% hint style="info" %}
팀에서 CLI 워크플로를 사용하여 디택션 콘텐츠를 관리하는 경우, Console의 Simple 디택션 빌더를 사용해 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](/ko/detections/rules/inline-filters.md) 콘솔에서 생성된 항목은 유지됩니다).

콘솔의 Simple 디택션 빌더를 사용해 디택션을 생성하거나 편집했다면, 결과로 생성된 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. 그래야 다음 업로드 때 변경 사항이 덮어써지는 것을 방지할 수 있습니다.
{% endhint %}

### 비디오 개요

{% embed url="<https://youtu.be/GcId5sw4dps>" %}

### Simple 디택션 빌더에 액세스하는 방법

Panther console에서 Simple 디택션 빌더에 액세스하려면:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**.
2. 다음을 클릭합니다: **새로 만들기**.
3. 다음에서 **디택션 빌더 룰** 타일에서 다음을 클릭합니다: **시작**.
4. 생성 페이지에서 다음을 입력하세요 **이름** 그리고 **ID** 디택션에 대해:
   * **이름**: 룰에 대한 설명적인 이름을 입력하세요.
   * **ID** (선택 사항)**:** 펜 아이콘을 클릭하고 룰의 고유 ID를 입력하세요.
5. 다음의 **다음 소스에 대해** 섹션에서 다음을 선택하세요 **로그 유형** 이 디택션이 적용될 항목입니다.\
   ![On the detection editor page, the "Log Types" dropdown in the "For the Following Source" section is opened, and circled.](/files/a699970f2c3eee9addf1d1af9fee73e17752d4a8)
6. 다음의 **탐지** 섹션에서 **룰 빌더** 옵션이 미리 선택되어 있으면, Simple 디택션 빌더가 표시됩니다:\
   ![Under a "Detect" title, there are two tabs: Rule Builder and Text Editor.](/files/0c01ee3d232a381240fca85468cc509f9531a9be)

{% hint style="info" %}
이 문서에서 "the Simple 디택션 builder"에 대한 언급은 다음일 때 표시되는 빌더를 가리킵니다 **룰 빌더** 가 선택된 경우입니다. 다음의 [Simple 디택션 빌더의 제한 사항](#limitations-of-the-simple-detection-builder), 예를 들어, 다음에는 적용되지 않습니다 **텍스트 편집기**.

<img src="/files/1da4da4a7afe2f9d35f0ec4b819d5e746bcd63d7" alt="" data-size="original">
{% endhint %}

## Simple 디택션 빌더에서 룰을 생성하는 방법

Panther Console의 Simple 디택션 빌더에서 룰을 생성할 수 있습니다. 룰에 대한 자세한 내용은 다음을 참조하세요 [룰 및 예약된 룰](/ko/detections/rules.md).

{% hint style="info" %}
팀에서 CLI 워크플로를 사용하여 디택션 콘텐츠를 관리하는 경우, Console의 Simple 디택션 빌더를 사용해 디택션에 적용한 변경 사항은 다음 업로드 시 덮어써집니다(단, [인라인 필터](/ko/detections/rules/inline-filters.md) 콘솔에서 생성된 항목은 유지됩니다).

콘솔의 Simple 디택션 빌더를 사용해 디택션을 생성하거나 편집했다면, 결과로 생성된 YAML 표현을 복사하여 로컬 디택션 파일에 포함하세요. 그래야 다음 업로드 때 변경 사항이 덮어써지는 것을 방지할 수 있습니다.
{% endhint %}

<details>

<summary>Console의 Simple 디택션 빌더에서 룰 생성하기</summary>

1. 다음의 지침을 따르세요 [Simple 디택션 빌더에 액세스하는 방법](#how-to-access-the-simple-detection-builder).
2. 오른쪽의 **위치**, 다음을 클릭하세요 **+**. 표시되는 메뉴에서 다음 중 하나를 선택하세요 **절 추가** 또는 **절 그룹 추가**.\
   ![Within a "Detect" section is a toggle that has two options, "Rule Builder" and "Text Editor." "Rule Builder" is selected. There is a plus button (+) next to the word "Where." A menu is open below the plus, with options "Add Clause" and "Add Clause Group."](/files/3089c07925e87a4e63d080559a6a2ba30ba56af6)
3. 각 절(단독 또는 그룹 내)에 대해 로직을 정의하세요:
   1. 다음을 클릭합니다: **키**, 그런 다음 조건이 적용될 이벤트 키를 선택하세요.
   2. 다음을 클릭합니다: **조건**, 그런 다음 조건을 선택하세요.
   3. 선택한 **조건** 에 입력 값(예: `있거나` 또는 `포함`)이 필요한 경우, 값 또는 값 목록을 제공하세요.
4. 각 절과 절 그룹 사이에서 올바른 결합자( **그리고** 또는 **또는**)가 선택되어 있는지 확인하세요.
5. (선택 사항) 디택션 로직 구성을 완료하면 다음을 선택하여 원시 YAML로 결과를 볼 수 있습니다 **텍스트 편집기** 의 오른쪽 상단에 있는 토글에서 **탐지** 섹션.
6. 다음의 **알러트 생성** 섹션에서 다음을 설정하세요 **알러트 생성** `ON/OFF` 토글입니다. 이는 다음을 나타냅니다 [알러트](/ko/alerts.md) 일치 항목이 있을 때 생성할지, 아니면 단지 [신호](/ko/detections/signals.md). 이 토글을 다음으로 설정하면 `켬`:
   1. 다음에서 **필수 필드**, 다음을 선택하세요 **심각도**.
      * 알러트 심각도에 대한 자세한 내용은 다음을 참조하세요 [알러트 심각도 표](/ko/detections/rules.md#alert-severity).
   2. 다음에서 **선택 필드**, 동적 알러트 필드를 설정하세요:
      * **제목**: 오른쪽의 **다음으로 변경**, 더하기(**+**)를 클릭한 다음, 이벤트 값을 동적으로 대체하려는 위치에 중괄호를 사용하여 문자열을 입력하세요.\
        ![Within an "Optional Fields" section, there is text reading "Default title is my simple detection." There is an arrow pointing to a box with a "Change to:" label. To its right reads, "my updated alert title - {actor.displayName} performed {eventType}](/files/4e036cfda34713c6d9883ddae40740d957d93f39)
      * **설명**: 룰에 대한 추가 컨텍스트를 입력하세요.
      * **런북**: 이 룰과 관련된 절차 및 작업을 입력하세요.
        * 자세한 내용은 [알러트 런북](/ko/alerts/alert-runbooks.md).
      * **참조**: 이 룰과 관련된 추가 정보로 연결되는 외부 링크를 입력하세요.
      * **대상 재정의**: 심각도와 관계없이 이 디택션에 대한 알러트를 받을 대상을 선택하세요. 대상은 룰 함수에서 동적으로 설정할 수도 있습니다. 다음을 참조하세요 [라우팅 순서 우선순위](/ko/alerts/destinations.md#routing-order-precedence) 라우팅 우선순위에 대해 자세히 알아보세요.
      * **중복 제거 기간**: 이벤트를 중복 제거할 기간을 선택하세요. 자세한 내용은 다음을 참조하세요 [알러트 중복 제거](/ko/detections/rules.md#deduplication-of-alerts).
      * **이벤트 임계값**: 중복 제거 이벤트 임계값을 입력하세요. 자세한 내용은 다음을 참조하세요 [알러트 중복 제거](/ko/detections/rules.md#deduplication-of-alerts).
      * **요약 속성**: 이 디택션에 의해 트리거되는 알러트에서 강조 표시할 속성을 입력하세요.
        * 중첩 필드를 요약 속성으로 사용하려면, Summary Attribute 필드에서 Snowflake 점 표기법을 사용하여 JSON 객체의 경로를 탐색하세요:\
          `<column>:<level1_element>.<level2_element>.<level3_element>`\
          그러면 알러트의 참조된 객체에 대한 알러트 요약이 생성됩니다. [Snowflake에서 반구조화된 데이터를 탐색하는 방법을 여기에서 자세히 알아보세요.](https://docs.snowflake.com/en/user-guide/querying-semistructured.html#label-traversing-semistructured-data)
        * 알러트 요약에 대한 자세한 내용은 다음을 참조하세요 [알러트 할당 및 관리](/ko/alerts/alert-management.md).
      * **Tags**: 룰을 한눈에 이해하는 데 도움이 되는 사용자 지정 태그를 입력하세요(예, `HIPAA`.)
      * **프레임워크 매핑**:
        1. 다음을 클릭합니다: **새로 추가** 보고서를 입력하려면.
        2. 다음 필드에 값을 입력합니다:
           * **보고서 키**: 보고서와 관련된 키를 입력하세요.
           * **보고서 값**: 해당 보고서의 값을 입력하세요.
7. 다음에서 **테스트**, 다음에서 **단위 테스트** 섹션에서 다음을 클릭합니다 **새로 추가** 에서 [테스트를 생성하세요](/ko/detections/testing.md) 룰에 대해.
8. 오른쪽 상단에서 다음을 클릭합니다: **배포**.

</details>

## Simple 디택션 빌더의 제한 사항

Console의 Simple 디택션 빌더는 특정 YAML 표현식을 렌더링할 수 없습니다. 만약 [로컬에서 Simple 디택션을 작성하고 업로드하면](/ko/detections/rules/writing-simple-detections.md) 아래 표현식 중 하나를 사용하면 Console의 Simple 디택션 빌더에서는 표시되지 않고 원시 YAML로 표시됩니다.

다음은 Simple 디택션 빌더의 제한 사항입니다:

* Simple 디택션 빌더에서는 룰만(예약된 룰이나 정책은 제외) 생성 및/또는 렌더링할 수 있습니다.
* [절대](/ko/detections/rules/writing-simple-detections/match-expression.md#absolute-match-expressions), [다중 키](/ko/detections/rules/writing-simple-detections/match-expression.md#multi-key-match-expressions), [리스트 컴프리헨션](/ko/detections/rules/writing-simple-detections/match-expression.md#list-comprehension-match-expressions), 그리고 [보강](/ko/detections/rules/writing-simple-detections/match-expression.md#enrichment-match-expressions) 일치 표현식은 Simple 디택션 빌더에서 렌더링할 수 없습니다.
  * 노코드 빌더는 다음을 렌더링할 수 있습니다 [키/값](/ko/detections/rules/writing-simple-detections/match-expression.md#key-value-match-expressions) 그리고 [키/값](/ko/detections/rules/writing-simple-detections/match-expression.md#key-values-match-expressions) 일치 표현식.
* 해당 `OnlyOne` 그리고 `없음` [ 결합자](/ko/detections/rules/writing-simple-detections/match-expression.md#combinators) 은(는) Simple 디택션 빌더에서 렌더링할 수 없습니다.
  * Simple 디택션 빌더는 다음을 렌더링할 수 있습니다 `모든` 그리고 `Any` 결합자입니다.
* 다음의 **알러트 컨텍스트** 필드에서는 JSON 유형의 이벤트 필드를 사용할 수 없습니다.
* 일부 [`조건`](/ko/detections/rules/writing-simple-detections/match-expression.md#condition) 값은 Simple 디택션 빌더에서 렌더링할 수 없습니다. 다음 조건은 지원되지 않습니다:
  * `Exists`
  * `DoesNotExist`
  * `IsNull`
  * `IsNotNull`
  * `IsIPAddress`
  * `IsIPv4Address`
  * `IsIPv6Address`
  * `AnyElement`
  * `AllElements`
  * `OnlyOneElement`
  * `NoElement`


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/detections/rules/simple-detection-builder.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.