# panther-analysis 사용하기 ## 개요 [panther-analysis](https://github.com/panther-labs/panther-analysis) Panther가 관리하는 보안 콘텐츠의 공개 오픈소스 저장소로, 디택션, Saved Searches, global helpers, Lookup Tables 등을 포함합니다. 명령줄에서 Panther 디택션 저장소와 상호작용하려면 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md)를 사용하세요. 자체 맞춤 디택션 콘텐츠를 추가하고, Panther의 Threat Intelligence 팀이 새 버전을 출시할 때 업데이트를 받아보세요. Panther 디택션에 대한 일반 정보와 모범 사례, 그리고 Panther Console에서 디택션을 관리하는 방법에 대한 정보는 [디택션 문서](/ko/detections.md). 에서 확인하세요. panther-analysis의 자체 복사본을 받은 후에는 [CI/CD 워크플로](/ko/panther/detections-repo/ci-cd.md) 와 [GitHub 동기화 설정](/ko/system-configuration.md#github-sync). ## 권장 워크플로 Panther Analysis Tool (PAT) v1.4.0부터 Panther 콘텐츠를 사용하여 버전을 지능적으로 추적하고, 자동 병합을 제공하며, 콘텐츠를 최신 상태로 유지할 수 있습니다. * 맞춤 설정이 어떤 Panther 디택션 버전을 기반으로 하는지 추적합니다(`BaseVersion` 필드) * 최신 Panther 콘텐츠를 자동으로 가져옵니다 * 업데이트를 지능적으로 병합하고, 준비가 되면 충돌을 처리할 수 있게 해줍니다 * 충돌에 대한 대화형 병합 프로세스를 제공합니다 * 관심 있는 콘텐츠만 필요로 합니다 ## 가상 환경 및 패키지 관리자 panther-analysis와 상호작용하거나 PAT를 사용할 때는 Python 종속성 관리가 복잡해질 수 있으므로, 가상 환경과 패키지 관리자를 사용하는 것이 좋습니다. [uv](https://docs.astral.sh/uv/) 는 속도와 안정성 때문에 권장되지만 [poetry](https://python-poetry.org/), [pipenv](https://pipenv.pypa.io/en/latest/)및 [venv](https://docs.python.org/3/library/venv.html) 도 사용할 수 있습니다. ## panther-analysis 릴리스 최신 상태 유지 새 콘텐츠가 릴리스되면 `pat explore` 인지 `pat install` 을 실행하여 새 콘텐츠를 사용할 수 있습니다. `pat update` 를 사용하면 콘텐츠를 업데이트할 수 있습니다. 또한 `pat clone --filter LogTypes=Okta.SystemLog --filter Severity=High` 를 GitHub Action 또는 다른 스케줄러 내에서 실행하여 제공된 기준과 일치하는 새 콘텐츠를 계속 가져올 수도 있습니다. ## 실험적 디택션 Panther는 일반적으로 새 디택션을 "experimental" 단계로 출시하는데, 이는 아직 다듬는 과정에 있으며 프로덕션 환경에는 적합하지 않을 수 있음을 의미합니다. 실험 단계의 디택션은 다음과 같습니다: * 다음과 같은 값을 가집니다 `Status: Experimental` * 알러트를 생성하지 않습니다 * Panther Console에서 보이지 않습니다(하지만 [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 저장소에서 볼 수 있습니다) * 예상 알러트 볼륨을 검증하기 위해 집계된 성능 지표(로그 데이터가 아님)를 수집합니다 실험적 디택션을 사용하도록 선택할 수 있지만, 아직 조정 중이므로 평균보다 높은 알러트 볼륨이 발생할 수 있습니다. 공식 출시 전에 실험적 디택션을 사용하려면 `상태` 필드의 `Experimental` 값을 제거하고 룰을 업로드하세요. 실험 단계의 기간은 디택션마다 다르지만, 일반적으로 몇 주간 지속됩니다. 디택션이 실험 단계를 벗어나면 해당 `상태` 값은 `Experimental` 에서 `Stable`로 변경됩니다. 안정 단계로 승격된 후에도 디택션은 계속 업데이트될 수 있지만, 빈도는 줄어듭니다. ## 더 이상 사용되지 않는 Panther 관리 디택션 제거 Panther는 때때로 더 이상 사용되지 않게 된 [Panther-managed](/ko/detections/panther-managed.md) 디택션 콘텐츠를 사용 중단하고 삭제합니다. 이는 panther-analysis의 새 버전에 더 이상 해당 디택션(또는 Saved/Scheduled Searches)이 포함되지 않음을 의미합니다. 이런 일이 발생했을 때 제거된 콘텐츠 사용을 중단하려면 Panther 인스턴스에서 수동으로 삭제해야 합니다. 저장소에서 콘텐츠를 제거하는 것만으로는 충분하지 않습니다. 왜냐하면 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md) 는 Panther에 업로드하는 동안 콘텐츠를 삭제하지 않기 때문입니다. 사용 중단된 콘텐츠를 식별하고 제거하는 데 도움을 주기 위해 Panther는 [Makefile 명령](https://github.com/panther-labs/panther-analysis/blob/main/Makefile), `make remove-deprecated`를 제공하며, 이는 Panther 인스턴스에서 더 이상 사용되지 않는 디택션 콘텐츠를 제거합니다. 이 명령은 저장소의 콘텐츠를 [`deprecated.txt`](https://github.com/panther-labs/panther-analysis/blob/main/deprecated.txt)와 비교하여 작동합니다. 이 파일은 panther-analysis에 있는 제거된 모든 항목의 ID를 포함하는 파일입니다. 인스턴스에서 더 이상 사용되지 않는 디택션을 정리하려면 `make remove-deprecated` 를 최소한 한 달에 한 번 실행하는 것이 좋습니다. 참고로 `make remove-deprecated` 를 사용하려면 API 호스트와 토큰이 환경 변수로 설정되어 있어야 합니다. 자세한 내용은 [환경 변수로 PAT 구성](/ko/panther/detections-repo/pat/install-configure-and-authenticate-with-pat.md#environment-variables) 지침을 참조하세요. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/panther/detections-repo.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.