PantherFlow(베타)

개요

PantherFlow는 Panther의 파이프라인형 쿼리 언어입니다. 이해하기 쉽도록 설계되었지만 강력하고 표현력이 뛰어납니다.

PantherFlow를 사용하여 Panther에서 데이터를 탐색하고 분석하세요. 그 연산자 및 함수를 사용하면 필터링, 변환 및 집계와 같은 다양한 데이터 작업을 수행할 수 있으며, 이와 더불어 결과를 시각화 하여 막대형 또는 선형 차트로 표시할 수 있습니다. PantherFlow는 스키마 유연성을 제공하므로 단일 쿼리에서 여러 데이터 소스(다른 스키마를 가진 소스 포함)를 원활하게 검색할 수 있습니다.

PantherFlow 쿼리는 파이프(|)를 사용하여 데이터 연산을 구분하며, 이들은 순차적으로 처리됩니다.|즉, 쿼리의 첫 번째 연산자 출력은 두 번째 연산자의 입력으로 전달되고, 이후에도 동일하게 이어집니다. 아래 예제 쿼리를 참조하세요:

panther_logs.public.okta_systemlog
| where p_event_time > time.ago(1d)
| search 'doug'
| summarize agg.count() by eventType 

PantherFlow 쿼리를 최적화하는 방법은 PantherFlow 모범 사례.

PantherFlow를 사용해야 하는 곳

검색에서 데이터를 쿼리하려면 PantherFlow를 사용하세요. 검색에서 PantherFlow를 입력하는 방법은 여기에서 알아보세요및 여기에서 자연어로 PantherFlow를 생성하기 위해 AI를 사용하는 방법.

쿼리 작성을 돕기 위해 검색의 PantherFlow 코드 편집기에는 자동완성, 오류 밑줄 표시, 호버 툴팁, 인레이 힌트 및 함수 시그니처 지원이 포함되어 있습니다.

PantherFlow 쿼리가 작동하는 방식

"PantherFlow 쿼리"라는 용어는 일반적으로 테이블식 표현 문장을 가리키며, 이는 데이터셋을 검색하여 어떤 형태로든 반환합니다(대조적으로 let 문.) 테이블식 표현 문장에는 보통 연산자 파이프(|)로 구분된|각 연산자는 데이터에 대해 어떤 동작(예: 필터링 또는 변환)을 수행한 후 다음 연산자에 전달합니다. 연산자의 순서는 중요하며 PantherFlow 문장은 순차적으로 읽힙니다.

PantherFlow 문법 개요는 PantherFlow 빠른 참조에서 확인하거나 문법 주제를 더 자세히 살펴보세요:

• PantherFlow 문장

• PantherFlow 연산자

• PantherFlow 데이터 타입

• PantherFlow 표현식

• PantherFlow 함수

단계별 PantherFlow 쿼리 예제

다음 PantherFlow 쿼리를 살펴보겠습니다:

요약하면, 이 쿼리는 aws_alb 테이블에서 데이터를 읽고, 지난 하루 이전에 발생한 이벤트를 필터링하고, 남은 이벤트를 시간별로 정렬한 다음 처음 10개의 이벤트를 반환합니다.

각 줄을 자세히 살펴보겠습니다:

1. panther_logs.public.aws_alb

   • 이 문장은 데이터 소스를 식별합니다.

   • 이 쿼리는 다음 테이블에서 읽고 있습니다 panther_logs.public.aws_alb 테이블. 쿼리에 이 줄만 포함되어 있다면 테이블의 모든 데이터가 반환됩니다.

2. | where p_event_time > time.ago(1d)

   • 그 where . 자세한 내용은 은(는) 다음을 사용합니다 표현식 으로 데이터를 필터링합니다.

   • 이 쿼리는 다음 조건의 데이터를 요청하고 있습니다 p_event_time 필드 값이 하루 전 시간보다 큽니다. 다시 말해, 지난 하루 동안 발생한 이벤트를 요청하는 것입니다. time.ago() 함수는 현재 시간에서 빼며, 그 인자(1d)는 하루를 나타내는 타임스탬프 상수입니다.

3. | sort p_event_time

   • 그 sort . 자세한 내용은 를 사용하면 하나 이상의 필드 값으로 이벤트를 정렬할 수 있습니다.

   • 이 쿼리는 데이터를 다음으로 정렬합니다 p_event_time. 왜냐하면 기본 정렬 순서 가 내림차순이기 때문에 가장 최근 이벤트가 먼저 반환됩니다.

4. | limit 10

   • 그 limit . 자세한 내용은 는 반환하고자 하는 최대 이벤트 수를 정의합니다.

   • 이 쿼리는 최대 10개의 이벤트를 요청하고 있습니다.

추가 쿼리 예제를 보려면:

• PantherFlow 예제 쿼리

• 예약 검색 예제

PantherFlow의 제한 사항

• 다음 작업은 가능하지만 Panther 콘솔에서 PantherFlow를 사용하여 저장된 검색을 생성할 수 있습니다 다음 작업은 불가능합니다:

  • 저장된 검색을 예약(Saved Search 예약, 즉 직접 PantherFlow 쿼리를 작성하는 것 외에도 자연어를 사용해 AI로 쿼리를 생성할 수 있습니다. 즉, 원하는 검색 의도를 평범한 언어(어떤 언어든)로 설명할 수 있습니다. 예: "지난 24시간 동안 Okta System Log에서 실패한 로그인 표시.")

  • 개발자 워크플로우에서 PantherFlow를 사용하여 저장된 검색을 생성(예: saved_query 를 업로드하여) Panther Analysis Tool 을(를) 통해 또는 ID REST GraphQL

• API) 집계(예: . 자세한 내용은summarize 를 사용하여 열고자 하는 검색을 찾으세요..

• )는 다음에 대한 정보를 표시하지 않습니다 검색의 결과 테이블을 사용자 정의하여 열을 추가하고 Search에서, 프로젝트, 는 extend 같은 연산자를 사용할 때 추가되거나 제거되는 필드를 반영하지 않습니다필요한 경우 상단의 검색 창과 집계(예:.

• 경우에 따라 PantherFlow 쿼리가 동등한 SQL 쿼리보다 느리게 실행될 수 있습니다.

• 그 visualize 연산자에도 자체 제한이 있습니다.