> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/detections/signals.md).

# 신호

**개요**

{% hint style="info" %}
상관 룰은 Panther 버전 1.108부터 오픈 베타이며, 모든 고객이 이용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.
{% endhint %}

룰, 예약 룰 또는 상관 룰에서 일치가 발생하면 시그널이 생성됩니다. 정책 실패에 대해서는 시그널이 생성되지 않습니다.

시그널은 환경에서 발생하는 동작(또는 동작의 그룹이나 연속)을 나타내며, 이에 대해 알아두고 싶지만 최소한 단독으로는 알러트를 생성할 만큼 중요하지는 않습니다. 시그널은 종종 "보안 관련 이벤트"라고도 합니다.

시그널은 알러트와 다릅니다. 다음에 대해 자세히 알아보세요. [여기에서 시그널과 알러트의 차이점을 알아보세요](https://docs.panther.com/ko/detections/pages/28a2f0a91092222209c65334fa10beb60037d689#signals-vs.-alerts).

{% hint style="warning" %}
시간당 1,000개 이상과 같이 상당한 시그널 볼륨을 생성하는 잡음이 많은 룰은 보안 데이터 레이크 컴퓨팅 비용을 증가시킬 수 있습니다. 다음에서 시그널을 더 비용 효율적으로 만드는 방법을 알아보세요 [시그널을 더 효율적으로 만들기](#making-signals-more-efficient), 아래에서.
{% endhint %}

### 시그널 사용 사례

* 시그널은 다음의 기본 구성 요소입니다 [상관 룰](/ko/detections/correlation-rules.md). 상관 룰에서는 하나 이상의 시그널이 생성되었어야 하는 특정 룰, 예약 룰 및 상관 룰을 지정합니다(또는 *이 아니라* 생성됨) 일정 기간 동안(기타 선택 기준 포함) 일치로 간주되려면.
  * 참조 [이러한 상관 룰 예시](/ko/detections/correlation-rules.md#correlation-rule-full-examples)는 알러트가 활성화된 룰과 알러트가 비활성화된 룰을 모두 참조합니다.
* 다음에서 시그널을 검색할 수도 있습니다. `panther_signals.public` 데이터베이스에서 [검색](/ko/search/search-tool.md) 그리고 [Data Explorer](/ko/search/data-explorer.md).

## 시그널만 생성하는 룰을 만드는 방법

시그널만 생성하고 알러트는 생성하지 않는 룰을 만들려면 룰을 만들고 알러트 생성을 비활성화하도록 구성합니다.

{% tabs %}
{% tab title="콘솔" %}
Panther Console에서 시그널만 생성하는(알러트는 생성하지 않는) 룰을 만들려면:

1. Panther Console에서 룰, 예약 룰 또는 상관 룰을 만드세요.
   * 참조 [Console에서 Python 룰을 만드는 방법](/ko/detections/rules/python.md#how-to-create-a-rule-in-python), 그리고 [Console에서 Simple 디택션을 만드는 방법](/ko/detections/rules/simple-detection-builder.md#how-to-create-a-rule-in-the-simple-detection-builder).
   * 참조 [Console에서 예약 룰을 만드는 방법](/ko/detections/rules/python.md#how-to-create-a-scheduled-rule-in-python).
   * 참조 [Console에서 상관 룰을 만드는 방법](/ko/detections/correlation-rules.md#how-to-create-a-correlation-rule).
2. 다음을 설정하세요 **알러트 생성** 토글을 `끔`.\
   ![](/files/ab040f5669c02cb47222accd9c605b4138404949)
   * 이렇게 하면 디택션 편집기에서 알러트 필드가 제거됩니다(포함 **심각도**, **런북**, **중복 제거 기간** 등).\
     ![](/files/7b5f79ca40af171a60fc0e6538584f82e3af809e)
     {% endtab %}

{% tab title="CLI 워크플로" %}
CLI 워크플로에서 시그널만 생성하는(알러트는 생성하지 않는) 룰을 만들려면:

1. 룰, 예약 룰 또는 상관 룰을 로컬에서 만드세요.
   * 참조 [CLI 워크플로에서 Python 룰을 만드는 방법](/ko/detections/rules/python.md#how-to-create-a-rule-in-python), 그리고 [CLI 워크플로에서 YAML 디택션을 만드는 방법](/ko/detections/rules/writing-simple-detections.md#how-to-create-a-rule-in-yaml).
   * 참조 [CLI 워크플로에서 예약 룰을 만드는 방법](/ko/detections/rules/python.md#how-to-create-a-scheduled-rule-in-python).
   * 참조 [CLI 워크플로에서 상관 룰을 만드는 방법](/ko/detections/correlation-rules.md#how-to-create-a-correlation-rule).
2. 다음을 추가하세요 `Create알러트` 필드를 만들고 값을 다음으로 설정하세요 `false`.
   * \~의 기본값은 `Create알러트`설정되지 않은 경우 기본값은 `true`.

예:

```yaml
AnalysisType: 룰
룰ID: 'GitHub.Repo.Archived'
표시 이름: 'GitHub.Repo.Archived'
Enabled: true
Create알러트: false
알러트컨텍스트:
  - KeyName: repo
    KeyValue:
      KeyPath: repo
디택션:
  - KeyPath: action
    Condition: Equals
    Value: repo.archived
```

{% endtab %}
{% endtabs %}

## 시그널을 보는 방법

### 디택션의 시그널을 보는 방법

특정 디택션의 시그널을 보려면 다음을 사용하세요. **Search에서 시그널 보기** 세부 정보 페이지의 버튼입니다. 또한 직접 쿼리를 작성하여 신호를 볼 수도 있습니다. [검색](/ko/search/search-tool.md) 또는 [Data Explorer](/ko/search/data-explorer.md).

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **디택션**.
2. 신호를 보고 싶은 디택션의 이름을 클릭하세요.
3. 디택션의 세부 정보 페이지 오른쪽 상단 모서리에서 클릭하세요. **Search에서 시그널 보기**.

   * 해당 [검색](/ko/search/search-tool.md) 페이지가 해당 항목에 대해 미리 채워진 필터 표현식과 함께 열립니다. `panther_signals.public` 데이터베이스입니다. 클릭하세요 **검색**.

   <figure><img src="/files/8f9b6156ea5ac753d86e270117ade51373fa1645" alt="A &#x22;Dropbox.External.Share&#x22; detection details page is shown. A &#x22;View Signals in Search&#x22; button is circled." width="563"><figcaption></figcaption></figure>

### 모든 신호를 보는 방법

신호는 다음에서 볼 수 있습니다 [검색](/ko/search/search-tool.md) 또는 [Data Explorer](/ko/search/data-explorer.md).

{% tabs %}
{% tab title="검색" %}
**Search에서 신호 보기**

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **조사** > **검색**.
2. 다음의 [데이터베이스 필터](/ko/search/search-tool.md#database-filter), 다음을 선택합니다: **시그널**.
3. 다음의 [테이블 필터](/ko/search/search-tool.md#table-filter), 다음을 선택합니다: **시그널**.
   * 선택적으로 추가 [키/값 필터 표현식](/ko/search/search-tool.md#key-value-filter-expression) 검색 결과를 좁히기 위해.
4. 다음을 클릭합니다: **검색**.
   {% endtab %}

{% tab title="Data Explorer" %}
**Data Explorer에서 신호 보기**

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **조사** > **Data Explorer**.
2. 관심 있는 열을 다음에서 선택하는 SQL 쿼리를 작성하세요. `panther_signals.public.correlation_signals` 테이블.
   * 예:

     ```sql
     SELECT tag FROM panther_signals.public.correlation_signals LIMIT 10;
     ```
3. 다음을 클릭합니다: **Search 실행**.
   {% endtab %}
   {% endtabs %}

## 시그널을 더 효율적으로 만들기

디택션에서 일치가 발생할 때마다 신호가 생성됩니다. 따라서 신호를 더 효율적으로 만든다는 것은 디택션 자체를 더 효율적으로 만들거나, 범위를 좁히는 것을 의미합니다.

### 1단계: 가장 많은 신호를 생성하는 디택션 식별하기

1. 위 단계를 따라 [Search에서 모든 신호 보기](#view-signals-in-search).
2. 다음을 추가하세요 `p_룰_id` 다음의 지침에 따라 결과 테이블의 열로 field를 표시하세요. [Search 결과 테이블에 열을 추가하는 방법](/ko/search/search-tool.md#how-to-add-a-column-in-the-search-results-table).\
   ![Various event fields (like p\_event\_time and p\_parse\_time) and their values are shown.](/files/ccf0a5a39dbc9623345aa3a4f10e3ecd7a6d6ed4)
3. 다음을 클릭합니다: **시각화** 에서 [요약 차트를 보세요](/ko/search/search-tool.md#search-results-summary-charts) 다음과 같은 **룰 ID**.
   * 차트가 내림차순으로 정렬되어 있는지 확인하세요.
4. 차트 상단의 룰 ID를 확인해 두세요—이것들이 가장 많은 신호를 생성하는 디택션입니다(구성된 기간 내에서).

### 2단계: 가장 많은 신호를 생성하는 디택션 조정하기

1단계에서 가장 많은 신호를 생성하는 디택션을 식별한 후에는 범위를 좁혀 조정할 수 있습니다. 아래는 디택션 범위를 좁히는 몇 가지 일반적인 방법입니다:

* **신뢰할 수 있는 IP를 허용 목록에 추가하기**: 조직의 프록시 서버나 클라우드 서비스 제공업체와 같이 알려진 "정상" IP 주소를 명시적으로 제외합니다.
* **임계값 조정하기**: 실패한 로그인이나 데이터 전송과 같은 이벤트의 빈도 및 볼륨 임계값을 조정하여 실제 위협을 놓치지 않으면서 오탐을 줄입니다.
* **컨텍스트 활용하기**: 시간대, 사용자 역할, 지리적 위치와 같은 추가 컨텍스트를 포함하여 룰 정확도를 높이고 오탐을 줄입니다.
* **다중 요소 룰 구현하기**: 여러 지표 또는 조건을 하나의 룰에 결합하여 정밀도를 높이고 오탐을 줄입니다.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.panther.com/ko/detections/signals.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.