> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/enrichment.md).
# 보강
## 개요
보강은 본질적으로 들어오는 로그의 특정 필드를 가져와 추가 정보로 확장하는 것을 의미합니다. 이는 조직 데이터(예: 직원 기록 또는 클라우드 인프라 계정 데이터)를 디택션에서 참조하거나 알러트로 전달해야 할 때 특히 유용할 수 있습니다.
Panther에서는 이 추가 보강 데이터를 [사용자 정의 보강 테이블](#custom-enrichments)에 저장하거나 Panther 관리형 보강을 활성화할 수 있습니다. Panther의 이러한 보강 기능을 사용하면 배경 노이즈를 걸러내어 더 높은 정밀도의 디택션을 작성하고, 더 유익한 알러트를 전달할 수 있습니다.
보강 소스가 설정되면 다음을 할 수 있습니다 [저장된 데이터를 볼 수 있습니다](#viewing-stored-enrichment-data) 그리고 [보강된 로그 이벤트](#viewing-log-events-with-enrichment-data).
보강 소스 또는 테이블은 서로 바꿔서 "조회 테이블"이라고도 불립니다.
## 커스텀 enrichment
사용자 정의 보강을 사용하면 디택션과 알러트에 사용자 지정 컨텍스트를 추가할 수 있습니다. 보강을 사용하면 디택션을 강화하고 알러트 노이즈를 줄이며 조사를 더 빠르게 진행할 수 있어 시간을 절약할 수 있습니다.
사용자 정의 보강은 다음에 유용할 수 있습니다:
* IP를 자산/사용자 이름이나 지리적 위치 세부 정보로 변환
* IP를 유형별로 그룹화(예: 개발 vs. 운영)
* AWS 계정 ID에 컨텍스트 추가
사용자 정의 보강 설정 방법을 알아보려면 다음을 참조하세요 [사용자 정의 보강](/ko/enrichment/custom.md).
## Panther 관리형 보강
### Anomali ThreatStream
Anomali ThreatStream은 위협 데이터를 정규화하고, 중복을 제거하고, 오탐을 제거하고, 보강하여 여러 위협 피드를 하나의 고정밀 저장소로 통합한 다음, 관련된 모든 위협 지표를 연결합니다.
Panther 관리형 Anomali ThreatStream 보강은 Anomali 지표 데이터를 Panther에 수집된 로그 이벤트와 대조하여 고정밀 알러트를 생성합니다.
Anomali ThreatStream은 다음과 같은 ["자체 API 키를 가져오는" 로그 풀러](#bring-your-own-api-key-log-pullers)입니다. Anomali ThreatStream 보강 사용 방법을 알아보려면 다음을 참조하세요 [Anomali ThreatStream](/ko/enrichment/anomali-threatstream.md).
### Google Threat Intelligence(베타)
[Google Threat Intelligence](https://www.virustotal.com/) 는 포괄적인 위협 인텔리전스 데이터를 제공합니다. Panther는 Google Threat Intelligence와 다음을 통해 통합됩니다 [IoC Stream API](https://gtidocs.virustotal.com/docs/ioc-stream-guide), 이를 통해 사용자가 팔로우하는 Google Threat Intelligence 컬렉션에서 나온 침해 지표(IoC)의 거의 실시간 피드를 제공합니다. Panther 관리형 Google Threat Intelligence 보강은 이러한 IoC를 Panther에 수집된 로그 이벤트와 대조하여 고정밀 알러트를 생성합니다.
Google Threat Intelligence는 다음과 같은 ["자체 API 키를 가져오는" 로그 풀러](#bring-your-own-api-key-log-pullers)입니다. 사용 방법을 알아보려면 다음을 참조하세요 [Google Threat Intelligence](/ko/enrichment/google-threat-intelligence.md).
### Google Workspace 사용자 프로필
Panther는 다음에서 사용자 데이터를 검색하고 저장할 수 있습니다 [Google Workspace](/ko/enrichment/google-workspace.md) 로그 소스로 구성한 후에 가능합니다. 이 데이터는 이후 디택션 로직과 검색 쿼리에서 참조할 수 있습니다.
다음에서 보강을 위해 Google Workspace 로그 소스를 구성하는 방법을 알아보세요 [Google Workspace Profiles](/ko/enrichment/google-workspace.md).
### GreyNoise
[GreyNoise](https://www.greynoise.io/) 는 인터넷 전반의 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대규모 스캐닝을 수행하는 IP를 식별하고 라벨링하여 배경 노이즈를 걸러내고, 더 빠르고 정확한 위협 디택션을 가능하게 함으로써 보안 팀을 돕습니다.
GreyNoise 위협 인텔리전스 데이터로 로그를 보강하는 방법을 알아보려면 다음을 참조하세요 [GreyNoise](/ko/enrichment/greynoise.md).
### IPinfo
IPinfo는 지리적 위치, ASN 및 프라이버시 데이터를 포함하여 IP 주소에 대한 컨텍스트 정보를 제공합니다. IPinfo 데이터를 사용하면 의심스럽거나 고위험 행위자를 식별할 수 있습니다.
IPinfo 데이터 세트를 활용하는 방법을 알아보려면 다음을 참조하세요 [IPinfo](/ko/enrichment/ipinfo.md).
### **Open Threat Exchange (OTX)**
Open Threat Exchange(OTX)는 기여자들이 협력해 새롭게 떠오르는 위협을 식별하는 AlienVault의 커뮤니티 주도 위협 인텔리전스 플랫폼입니다. Panther의 OTX 보강은 OTX pulse 데이터를 Panther에 수집된 로그 이벤트와 대조하여 더 높은 정밀도의 알러트를 생성합니다.
OTX는 다음과 같은 ["자체 API 키를 가져오는" 로그 풀러](#bring-your-own-api-key-log-pullers)입니다. OTX 보강 사용 방법을 알아보려면 다음을 참조하세요 [Open Threat Exchange (OTX)](/ko/enrichment/otx.md).
### MISP
MISP 경고 목록은 잠재적인 오탐 또는 오류와 관련될 수 있는 잘 알려진 지표들의 모음입니다. 이 컨텍스트는 특정 위협 지표가 정당한지 평가하는 데 도움이 될 수 있습니다.
MISP 경고 목록 보강을 활성화하는 방법을 알아보려면 다음을 참조하세요 [MISP 경고 목록](/ko/enrichment/misp.md).
### Okta 사용자 및 디바이스 프로필
Panther는 다음에서 사용자 및 디바이스 데이터를 검색하고 저장할 수 있습니다 [Okta](/ko/enrichment/okta.md) 로그 소스로 구성한 후에 가능합니다. 이 데이터는 이후 디택션 로직과 검색 쿼리에서 참조할 수 있습니다.
다음에서 보강을 위해 Okta 로그 소스를 구성하는 방법을 알아보세요 [Okta Profiles](/ko/enrichment/okta.md).
### Snowflake
사용자 및 역할 정보와 같은 데이터를 Snowflake 인스턴스에서 가져와 로그를 보강합니다.
Snowflake 보강 설정 방법을 알아보려면 다음을 참조하세요 [Snowflake 보강](/ko/enrichment/snowflake.md).
### Tor Exit Nodes
Tor는 악성 행위자가 위치를 숨기기 위해 때때로 사용하는 익명화 네트워크입니다. Panther 관리형 Tor 보강에는 Tor Exit Nodes의 IP 주소가 포함되어 있습니다.
Tor Exit Nodes 보강 사용 방법을 알아보려면 다음을 참조하세요 [Tor Exit Nodes](/ko/enrichment/tor-exit-nodes.md).
### TrailDiscover
TrailDiscover는 자세한 설명, MITRE ATT\&CK 인사이트, 실제 사고 사례 참조, 연구 링크, 보안 영향에 대한 정보를 포함하는 CloudTrail 이벤트의 지속적으로 진화하는 저장소입니다.
TrailDiscover로 보강하는 방법을 알아보려면 다음을 참조하세요 [TrailDiscover](/ko/enrichment/traildiscover.md).
## Panther에서 관리하는 보강 방법
### "자체 API 키 사용" 로그 풀러
이 보강 소스는 보강 소스에서 API 키를 생성한 다음 Panther에 입력해야 합니다:
* [Anomali ThreatStream](/ko/enrichment/anomali-threatstream.md)
* [Google Threat Intelligence](/ko/enrichment/google-threat-intelligence.md)
* [GreyNoise](/ko/enrichment/greynoise.md)
* [Open Threat Exchange (OTX)](/ko/enrichment/otx.md)
### Panther 로그 소스 풀러
이러한 보강 소스는 다음에서 보강 데이터를 가져옵니다 [로그 소스](/ko/data-onboarding/supported-logs.md) Panther에 설정해 둔 것입니다.
* [Google Workspace Profiles](/ko/enrichment/google-workspace.md)
* [Okta Profiles](/ko/enrichment/okta.md)
* [Snowflake](/ko/enrichment/snowflake.md)
### 추가 보강 소스
이러한 보강 소스는 디택션 Packs 또는 the를 사용하여 활성화할 수 있습니다 [Panther Analysis Tool](/ko/panther/detections-repo/pat/managing-enrichment.md):
* [IPinfo](/ko/enrichment/ipinfo.md)
* [MISP 경고 목록](/ko/enrichment/misp.md)
* [Tor Exit Nodes](/ko/enrichment/tor-exit-nodes.md)
* [TrailDiscover](/ko/enrichment/traildiscover.md)
## 보강 데이터 보기 및 관리
보강 세부 정보 페이지를 사용하여 보강 데이터를 보고, 검증하고, 관리하세요.
각 보강 소스에는 데이터 소스 방식을 나타내는 설명형 유형 레이블이 표시됩니다:
* **SQL → 조회 테이블**: SQL 기반 예약 쿼리
* **S3 → 조회 테이블**: S3 버킷 동기화
* **GCS → 조회 테이블**: Google Cloud Storage 동기화
* **Anomali**: Anomali ThreatStream 통합
* **Open Threat Exchange**: OTX 통합
* **GreyNoise**: GreyNoise 위협 인텔리전스
* **Google Threat Intelligence**: Google 위협 데이터
보강 세부 정보 페이지에 액세스하려면:
1. Panther Console의 왼쪽 탐색 모음에서 클릭 **구성** > **보강**.
2. 세부 정보를 보려는 보강의 이름을 클릭하세요.
* 그러면 보강 세부 정보 페이지로 이동하며, 사용 가능한 탭 사이를 탐색할 수 있습니다:
* **Lookup Table**: 보강 데이터를 보고 관리
* **보강된 로그 유형**: 이 보강을 사용하는 로그 유형을 구성합니다
* **스키마 및 SQL**: 스키마와 SQL 쿼리를 봅니다(예약된 SQL 기반 조회용)
* **스키마**: 데이터 스키마를 봅니다(비예약 조회용)
### 보강 소스 필터링
보강 페이지에는 다양한 기준에 따라 보강 소스 목록을 좁힐 수 있는 필터 패널이 포함되어 있습니다:
* **상태**: 보강 소스의 상태(정상 또는 비정상)로 필터링
* 비정상 보강 소스는 세부 정보 페이지에 상태 배지와 오류 세부 정보를 표시합니다
* **상태**: 보강 소스가 활성화 또는 비활성화되어 있는지로 필터링
* **가져오기 방법**: 보강 데이터를 가져오는 데 사용된 방법으로 필터링합니다(예: 수동 업로드, 예약 쿼리, S3 동기화)
* **보강된 로그 유형**: 소스에 의해 보강되는 특정 로그 유형으로 필터링합니다
* **최종 업데이트**: 보강 소스가 마지막으로 업데이트된 시점으로 필터링합니다
* **생성됨**: 보강 소스가 생성된 시점으로 필터링합니다
필터를 사용하려면:
1. Panther Console의 왼쪽 탐색 모음에서 클릭 **구성** > **보강**.
2. 다음을 사용하세요 **필터** 페이지 왼쪽의 패널에서 원하는 필터링 기준을 선택하세요.
3. 보강 소스 표는 선택한 필터와 일치하는 소스만 표시하도록 자동으로 업데이트됩니다.
{% hint style="info" %}
"Lookup Table Not Available" 메시지가 다음에 대해 표시됩니다 [IPInfo](/ko/enrichment/ipinfo.md) CIDR 데이터셋(데이터 레이크에 저장되지 않음).
{% endhint %}
## 보강 데이터가 포함된 로그 이벤트 보기
로그 이벤트는 관련 디택션(들)에 적용되기 전에 보강되지만, 데이터 레이크에 저장될 때는 보강되지 않습니다. 즉, 데이터 레이크에서 조회한 로그 데이터에는 [`p_enrichment`](/ko/search/panther-fields.md#enrichmentfields). ([시그널](/ko/detections/signals.md) 에서 조회한 `panther_signals.public.correlation_signals`는, 그러나 보강 데이터는 포함합니다.)
보강된 로그 이벤트가 귀하의 디택션(들)에 의해 처리될 때 어떤 모습일지 아는 것이 유용할 수 있습니다. 정확하게 재현하려면 [단위 테스트로 로그 이벤트를 보강할 수 있습니다](#enriching-a-log-event-as-a-unit-test). 대략적으로 재현하려면 [Data Explorer에서 조인을 수행할 수 있습니다](#joining-log-and-enrichment-data).
Search를 사용하여 특정 이벤트 값과 관련된 보강 데이터도 볼 수 있습니다—[방법은 여기에서 알아보세요](/ko/search/search-tool.md#how-to-explore-enrichment-data-for-a-value-from-results).
### 단위 테스트로 로그 이벤트 보강하기
보강된 로그 이벤트가 귀하의 디택션(들)에 의해 처리될 때 어떤 모습인지 완벽하게 재현하려면, [단위 테스트를 생성하고](/ko/detections/testing.md#how-to-create-a-test), 이벤트를 추가한 다음 [테스트 데이터를 보강하세요](/ko/detections/testing.md#enrich-test-data). (그다음 단위 테스트를 저장할 필요는 없습니다.)
### 로그 및 보강 데이터 결합하기
다음에서 [Data Explorer](/ko/search/data-explorer.md), 다음과 같은 쿼리로 로그 및 보강 데이터 간 조인을 수행할 수 있습니다:
```sql
with logs as
(select * from panther_logs.public.my_logs),
lookup as (select * from panther_lookups.public.my_lookup_table)
select logs.fieldA, lookup.fieldB
from logs join lookup on logs.selector_field = lookup.key_field
```
## 보강 문제 해결
Panther Knowledge Base를 방문하여 [enrichment에 관한 문서를 확인하여](https://help.panther.com/Enrichment) 자주 묻는 질문에 대한 답변을 찾고 일반적인 오류와 문제를 해결하세요.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/enrichment.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.