> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/panther/detections-repo.md). # panther-analysis 사용하기 ## 개요 [panther-analysis](https://github.com/panther-labs/panther-analysis) Panther가 관리하는 보안 콘텐츠의 공개 오픈 소스 저장소로, 디택션, 저장된 검색, 전역 헬퍼, 룩업 테이블 등도 포함됩니다. 명령줄에서 Panther 디택션 저장소와 상호작용하려면 다음을 사용하세요 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md). 자체 맞춤 디택션 콘텐츠를 추가하고, Panther의 Threat Intelligence 팀이 새 버전을 출시하면 업데이트를 받으세요. Panther 디택션에 대한 일반 정보와 모범 사례, 그리고 Panther Console에서 디택션을 관리하는 방법에 대한 정보는 다음을 참조하세요. [디택션 문서](/ko/detections.md). 자신의 panther-analysis 복사본을 확보한 후에는 다음을 구성할 수 있습니다 [CI/CD 워크플로](/ko/panther/detections-repo/ci-cd.md) 그리고 [Panther GitHub App을 설치하세요](/ko/panther/detections-repo/github-app.md). ## 권장 워크플로 Panther Analysis Tool(PAT) v1.4.0부터는 Panther 콘텐츠를 사용해 버전을 지능적으로 추적하고, 자동 병합을 제공하며, 콘텐츠를 최신 상태로 유지할 수 있습니다. * 사용자 지정이 어떤 Panther 디택션 버전을 기반으로 하는지 추적합니다 (`BaseVersion` 필드) * 최신 Panther 콘텐츠를 자동으로 가져옵니다 * 업데이트를 지능적으로 병합하고, 준비가 되면 충돌을 처리할 수 있게 합니다 * 충돌에 대한 대화형 병합 프로세스를 제공합니다 * 관심 있는 콘텐츠만 필요로 합니다 ## 가상 환경 및 패키지 관리자 panther-analysis와 상호작용하거나 PAT를 사용할 때는 가상 환경과 패키지 관리자를 사용하는 것이 권장됩니다. Python 종속성을 관리하는 일이 복잡해질 수 있기 때문입니다. [uv](https://docs.astral.sh/uv/) 는 속도와 안정성 때문에 권장되지만, [poetry](https://python-poetry.org/), [pipenv](https://pipenv.pypa.io/en/latest/), 그리고 [venv](https://docs.python.org/3/library/venv.html) 도 사용할 수 있습니다. ## panther-analysis 릴리스와 최신 상태를 유지하기 새 콘텐츠가 출시되면, `pat explore` 또는 `pat install` 를 실행하면 새 콘텐츠를 사용할 수 있습니다. `pat update` 를 실행하면 콘텐츠를 업데이트할 수 있습니다. 또한 다음을 실행하도록 선택할 수도 있습니다. `pat clone --filter LogTypes=Okta.SystemLog --filter Severity=High` 를 GitHub Action 또는 다른 스케줄러 내에서 실행하여 제공된 기준에 맞는 새 콘텐츠를 지속적으로 가져올 수 있습니다. ## 실험 단계 디택션 Panther는 일반적으로 새 디택션을 "experimental" 단계로 출시합니다. 이는 아직 개선 중이며 프로덕션 환경에 적합하지 않을 수 있음을 의미합니다. 실험 단계의 디택션은 다음과 같습니다: * 다음을 갖습니다 `상태: Experimental` * 알러트를 생성하지 않습니다 * Panther Console에는 표시되지 않지만(하지만 다음에서 볼 수 있지만 [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 저장소) * 예상 알러트 볼륨을 검증하기 위해 집계된 성능 메트릭(로그 데이터는 아님)을 수집합니다 실험 단계 디택션을 사용하도록 선택할 수 있지만, 아직 조정 중이므로 평균보다 높은 알러트 볼륨이 발생할 수 있습니다. 공식 출시 전에 실험 단계 디택션을 사용하려면 다음을 제거하세요. `상태` 필드의 `Experimental` 값을 제거하고 룰을 업로드하세요. 실험 단계의 지속 기간은 디택션마다 다르지만, 보통 몇 주간 지속됩니다. 디택션이 실험 단계를 벗어나면, 그 `상태` 값은 다음에서 변경됩니다 `Experimental` 에서 `Stable`. Stable로 승격된 후에도 디택션은 여전히 업데이트될 수 있지만, 빈도는 줄어듭니다. ## 사용 중단된 Panther 관리 디택션 제거 Panther는 때때로 더 이상 사용되지 않게 되고 삭제합니다 [Panther에서 관리하는](/ko/detections/panther-managed.md) 더 이상 사용되지 않게 된 디택션 콘텐츠. 이는 panther-analysis의 새 버전에서 더 이상 디택션(또는 저장된/예약된 검색)을 포함하지 않는다는 뜻입니다. 이런 일이 발생하면 제거된 콘텐츠 사용을 중단하려는 경우 Panther 인스턴스에서 수동으로 삭제해야 합니다. 저장소에서 콘텐츠를 제거하는 것만으로는 충분하지 않습니다. 왜냐하면 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md) 는 Panther로 업로드하는 동안 콘텐츠를 삭제하지 않기 때문입니다. 사용 중단된 콘텐츠를 식별하고 제거할 수 있도록 Panther는 다음을 제공합니다. [Makefile 명령](https://github.com/panther-labs/panther-analysis/blob/main/Makefile), `make remove-deprecated`는 Panther 인스턴스에서 사용 중단된 디택션 콘텐츠를 제거합니다. 이 명령은 저장소의 콘텐츠를 다음과 비교하여 작동합니다 [`deprecated.txt`](https://github.com/panther-labs/panther-analysis/blob/main/deprecated.txt)은 제거된 모든 항목의 ID를 포함하는 panther-analysis의 파일입니다. 실행하는 것이 권장됩니다 `make remove-deprecated` 인스턴스에서 사용 중단된 디택션을 정리하기 위해 최소 한 달에 한 번 참고로 `make remove-deprecated` API 호스트와 토큰이 환경 변수로 설정되어 있어야 합니다. 다음의 지침을 참조하세요 [환경 변수를 사용하여 PAT 구성](/ko/panther/detections-repo/pat/install-configure-and-authenticate-with-pat.md#environment-variables) 자세한 내용은. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/panther/detections-repo.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.