> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/quick-start/onboarding-guide.md).
# 온보딩 가이드
## 개요
Panther에서 온보딩에는 로그 소스, 디택션, 알러트 대상 설정과 검색 도구 익히기, 그리고 선택적으로 enrichment 기능 활성화가 포함됩니다. 이 가이드에서는 이러한 각 작업을 완료하는 방법을 설명합니다.
온보딩 중 도움이 필요하면 Panther 지원 팀에 문의해 주세요.
## 사전 요구 사항
* Panther Console에 성공적으로 로그인했습니다.
## 1단계: 로그 소스 온보딩
Panther 환경을 구성하는 첫 번째 단계는 Panther가 분석하고 저장할 데이터를 제공하는 로그 소스를 온보딩하는 것입니다. 중요한 소스를 식별한 후 각 소스를 온보딩하게 됩니다.
### 1.1단계: 온보딩할 로그 소스 식별
보안 모니터링을 위해 확인하려는 환경 내 로그 생성 시스템을 고려하세요. 허용된 수집 볼륨에 가깝게 도달할 수 있도록 충분한 소스를 온보딩하는 것이 권장됩니다. 다음을 사용할 수 있습니다 [로그 필터링](/ko/data-onboarding/ingestion-filters.md) 다음만 수집하려는 경우 *일부* 특정 소스의 로그를 Panther로.
어디서 시작해야 할지에 대한 아이디어가 필요하다면 [지원 로그](/ko/data-onboarding/supported-logs.md) 목록을 검토하세요. 완전히 [커스텀 소스](https://docs.panther.com/data-onboarding/custom-log-types).
### 1.2단계: 각 로그 소스 온보딩
수집하려고 식별한 각 로그 소스에 대해:
* 로그 소스가 Panther의 [지원되는 소스](#supported-logs)중 하나라면 해당 문서 페이지의 지침에 따라 온보딩하세요.
* 로그 소스가 Panther의 [지원되는 소스](#supported-logs):
{% hint style="info" %}
소스가 고볼륨(시간당 최소 1GB 전송)이고/이거나 해당 [페이로드 크기가 HTTP 페이로드 한도를 초과하는 경우](/ko/data-onboarding/data-transports/http.md#payload-requirements), 다음 단계로 건너뛰세요.
{% endhint %}
1. 소스가 이벤트 웹훅을 전송할 수 있는 경우:
1. 다음을 따라 소스를 온보딩하세요 [HTTP 소스 생성 지침](/ko/data-onboarding/data-transports/http.md#how-to-set-up-an-http-log-source-in-panther).
2. 다음을 따르세요 [Panther에서 수신한 HTTP 데이터로 커스텀 스키마를 추론하는 지침](/ko/data-onboarding/custom-log-types.md#http-data-received-in-panther).
2. 소스가 이벤트 웹훅을 전송할 수는 없지만 S3 버킷으로 이벤트를 내보낼 수 있는 경우:
1. 다음을 따라 소스를 온보딩하세요 [S3 소스 생성 지침](/ko/data-onboarding/data-transports/aws/s3.md#how-to-pull-logs-from-aws-s3-buckets-into-panther).
2. 다음 방법 중 하나로 커스텀 스키마를 추론하는 지침을 따르세요:
* [Panther에서 수신한 S3 데이터에서](/ko/data-onboarding/custom-log-types.md#s3-data-received-in-panther)
* [과거 S3 데이터에서](/ko/data-onboarding/custom-log-types.md#historical-s3-data)
3. 소스가 이벤트 웹훅을 전송하거나 S3 버킷으로 이벤트를 내보낼 수는 없지만, 다른 [데이터 전송](/ko/data-onboarding/data-transports.md) Panther가 가져올 수 있는 위치(예: [Google Cloud Storage](/ko/data-onboarding/data-transports/google.md) 또는 [Azure Blob Storage](/ko/data-onboarding/data-transports/azure/blob-storage.md):
1. 다음 방법 중 하나로 커스텀 스키마를 정의하세요:
* [Console에서 샘플 로그로 추론](/ko/data-onboarding/custom-log-types.md#sample-logs)
* [pantherlog를 사용해 추론 `infer`](/ko/panther/pantherlog.md#infer-generate-a-schema-from-json-log-samples)
* [Console에서 수동으로 생성](/ko/data-onboarding/custom-log-types.md#manually)
2. 다음 내의 지침에 따라 소스를 온보딩하세요 [선택한 Data Transport 문서](/ko/data-onboarding/data-transports.md).
4. 소스가 이벤트 웹훅을 전송할 수도 없고 Panther의 어떤 [데이터 전송](/ko/data-onboarding/data-transports.md) 소스로도 이벤트를 내보낼 수 없는 경우, Panther의 [Data Pipeline Tools](/ko/data-onboarding/data-pipeline-tools.md) 가이드를 보거나 Panther 지원 팀에 문의하여 데이터를 Panther에 연결하는 데 도움을 받으세요.
이 1.2단계 지침은 아래의 플로우 차트로도 표현되어 있습니다:
### (선택 사항) 1.3단계: Cloud Security Scanning을 위한 AWS 계정 온보딩
클라우드 공급자로 AWS를 사용하는 경우 Panther의 [클라우드 보안 스캔](/ko/cloud-scanning.md) 기능을 사용하여 클라우드 리소스의 구성을 모니터링할 수 있습니다.
* Cloud Security Scanning을 사용하려면, [이 지침에 따라 하나 이상의 AWS 계정을 온보딩하세요](/ko/cloud-scanning.md#onboarding-a-cloud-account-in-the-panther-console).
{% hint style="info" %}
**로그 소스: 더 알아보기**
* 방법 알아보기 [로그 소스의 상태를 모니터링하세요](/ko/data-onboarding/monitoring-log-sources.md).
* 다음에 대해 알아보기 [필드 디스커버리](/ko/data-onboarding/field-discovery.md).
* 생성한 것이 있다면 [사용자 정의 스키마](/ko/data-onboarding/custom-log-types.md#how-to-define-a-custom-schema), 필드를 다음으로 지정하세요 [지표 필드](/ko/search/panther-fields.md#indicator-fields) 교차 로그 검색 및 디택션을 활성화하려면.
{% endhint %}
## 2단계: 디택션 생성 또는 활성화
이제 데이터가 Panther로 유입되고 있으므로 디택션을 구성할 차례입니다. 먼저 Panther Console 또는 CLI 워크플로에서 디택션 콘텐츠를 관리할지 선택합니다. 그런 다음 각 소스에 대해 Panther 관리형 디택션을 활성화하거나 직접 생성합니다.
디택션을 생성하거나 활성화한 후에는 일치 항목에 대한 알러트가 Panther Console에 표시되고 Panther API를 통해 쿼리할 수 있습니다. 하지만 [다음 단계](#step-3-configure-alert-destinations)를 완료하여 알러트 대상을 설정하기 전까지는 외부 애플리케이션에서 알러트를 받을 수 없습니다.
### 2.1단계: 디택션 관리를 위한 Console 또는 CLI 워크플로 선택
Panther Console에서 디택션 콘텐츠를 관리할지, 아니면 CLI 워크플로에서 관리할지 결정하세요( [Panther Analysis Tool \[PAT\]](/ko/panther/detections-repo/pat.md)를 사용해 업로드를 수행하며, 어쩌면 [CI/CD](/ko/panther/detections-repo/ci-cd.md) 파이프라인에서 수행할 수도 있습니다). 디택션 콘텐츠에는 디택션 팩과 개별 디택션(룰, 예약된 룰, 정책)뿐 아니라 데이터 모델, 글로벌 헬퍼, 조회 테이블, 저장된 검색, 예약된 검색이 포함됩니다. Console과 CLI 워크플로 모두에서 디택션 콘텐츠를 관리하는 것은 지원되지 않습니다.
팀이 git, 명령줄 도구, CI/CD 파이프라인 사용에 익숙하다면 CLI 워크플로를 선택할 수 있습니다. 그렇지 않다면 Panther Console 사용이 권장됩니다.
{% hint style="info" %}
Panther의 [Simple 디택션](/ko/detections.md#simple-detections) 기능은 궁극적으로 Console과 CLI 워크플로를 통합하는 것을 목표로 합니다. 현재 팀이 CLI 워크플로를 사용해 디택션 콘텐츠를 관리하는 경우, Console에서 [Simple 디택션 빌더](/ko/detections/rules/simple-detection-builder.md) 를 사용해 디택션에 적용한 변경 사항은 다음 업로드 시에도 여전히 덮어써집니다(단, [인라인 필터](/ko/detections/rules/inline-filters.md) 콘솔에서 생성된 항목은 유지됩니다).
{% endhint %}
### 2.2단계: 각 로그 소스에 대해 룰 및 예약된 룰 생성 또는 활성화
이전 단계에서 Panther에 온보딩한 각 로그 소스에 대해 Panther 관리형 디택션을 활성화하거나 직접 생성하게 됩니다. 소스가 Panther의 [지원 로그](/ko/data-onboarding/supported-logs.md)중 하나라면 [아래의 지원 로그 섹션](#supported-logs)을 따르세요. 그렇지 않다면 [커스텀 로그 섹션](#custom-logs).
#### 지원 로그
* 소스가 Panther의 [지원 로그](/ko/data-onboarding/supported-logs.md):
* 중 하나라면, 해당 소스에 대해 Panther 관리형 디택션 팩을 활성화하세요. 아래의 Panther Console 및 CLI 워크플로에서 디택션 팩을 활성화하는 지침을 참조하세요.
* 온보딩 중("Success!" 최종 페이지에서) 이미 이 로그 소스에 대한 디택션 팩을 활성화했다면 다음 로그 소스로 이동하세요.
{% tabs %}
{% tab title="콘솔" %}
**Console에서 Panther 관리형 디택션 팩 활성화**
* 다음을 따르세요 [Panther 관리형 디택션 팩을 활성화하는 이 지침](https://docs.panther.com/detections/panther-managed/packs#enabling-and-disabling-detection-packs) 을 소스에 대해 따르세요.
더 알아보기:
* 알아보기 [Panther 관리형 디택션을 사용자 지정하는 방법](/ko/detections/panther-managed.md#how-to-customize-a-panther-managed-detection).
* 이 소스에 대해 추가적인 커스텀 디택션을 생성하세요.
{% endtab %}
{% tab title="CLI" %}
**CLI 워크플로에서 Panther 관리형 디택션 팩 활성화**
1. 아직 하지 않았다면, [이 지침을 따르세요](https://docs.panther.com/panther-developer-workflows/ci-cd/detections-repo) 를 클론하거나 포크하려면 [panther-analysis 저장소](https://github.com/panther-labs/panther-analysis/tree/master) 디택션 저장소.
2. 다음 안에서 [복사한 panther-analysis 리포지토리의 rules 디렉터리](https://github.com/panther-labs/panther-analysis/tree/master/rules), 이 소스의 디렉터리를 찾으세요. 여기에는 Panther 관리형 룰과 (가능한 경우) 예약된 룰이 포함되어 있습니다.
3. 활성화하려는 각 Panther 관리형 룰 및 예약된 룰에 대해, 해당 디택션의 YAML 파일에서 다음을 설정하세요:
```yaml
Enabled: True
```
4. 소스 디렉터리 내 룰 또는 예약된 룰 중 활성화하지 않으려는 것이 있다면, 해당 디택션의 YAML 파일에서 다음을 설정하세요:
```yaml
Enabled: False
```
5. 다음을 사용하여 디택션을 수동으로 Panther에 업로드하거나 [PAT](/ko/panther/detections-repo/pat.md), 또는 [CI/CD 파이프라인을 구성하세요](/ko/panther/detections-repo/ci-cd.md) PAT로 디택션 콘텐츠를 업로드하도록.
더 알아보기:
* 이 소스에 대해 추가적인 커스텀 디택션을 생성하세요.
{% endtab %}
{% endtabs %}
#### 커스텀 로그
* 소스가 커스텀 로그 소스인 경우:
* 직접 디택션을 생성하세요. 아래의 Panther Console 및 CLI 워크플로에서 디택션을 생성하는 지침을 참조하세요. 디택션을 생성하는 동안:
* Panther 관리형 [헬퍼 함수](/ko/detections/rules/python/globals.md)를 활용하거나 직접 만드는 것을 고려하세요.
* 만들기 [테스트](/ko/detections/testing.md).
{% tabs %}
{% tab title="콘솔" %}
**Console에서 룰 및 예약된 룰 생성**
* 로그 소스에 대한 하나 이상의 룰을 생성하세요.
* [Python 룰을 생성하려면 이 지침을 따르세요](/ko/detections/rules/python.md#creating-a-rule-in-python-in-the-console).
* [Simple 디택션 빌더를 사용하려면 이 지침을 따르세요.](/ko/detections/rules/simple-detection-builder.md#how-to-create-a-rule-in-the-simple-detection-builder)
* 필요한 경우, 로그 소스에 대한 하나 이상의 예약된 룰을 다음을 통해 생성하세요 [이 지침을 따르세요](/ko/detections/rules/python.md#creating-a-scheduled-rule-in-python-in-the-console).
{% endtab %}
{% tab title="CLI" %}
**CLI 워크플로에서 룰 및 예약된 룰 생성**
1. 아직 하지 않았다면, [이 지침을 따르세요](https://docs.panther.com/panther-developer-workflows/ci-cd/detections-repo) 를 클론하거나 포크하려면 [panther-analysis 저장소](https://github.com/panther-labs/panther-analysis/tree/master) Python 디택션의.
2. 로그 소스에 대한 하나 이상의 룰을 작성하세요:
* [Python 룰을 작성하려면 이 지침을 따르세요](/ko/detections/rules/python.md#creating-a-rule-in-python-in-the-cli-workflow).
* [Simple 디택션 룰을 작성하려면 이 지침을 따르세요](/ko/detections/rules/writing-simple-detections.md#how-to-create-a-simple-detection-rule-in-yaml).
3. 필요한 경우, 로그 소스에 대한 하나 이상의 예약된 룰을 다음에 따라 작성하세요 [이 지침을 따르세요](/ko/detections/rules/python.md#creating-a-scheduled-rule-in-python-in-the-cli-workflow).
4. 다음을 사용하여 디택션을 수동으로 Panther에 업로드하거나 [PAT](/ko/panther/detections-repo/pat.md), 또는 [CI/CD 파이프라인을 구성하세요](/ko/panther/detections-repo/ci-cd.md) PAT로 디택션 콘텐츠를 업로드하도록.
{% endtab %}
{% endtabs %}
### (선택 사항) 2.3단계: 각 Cloud Security Scanning 계정에 대한 정책 생성 또는 활성화
다음을 위해 하나 이상의 AWS 계정을 온보딩했다면 [클라우드 보안 스캔](/ko/cloud-scanning.md), Panther 관리형 정책을 활성화하거나 직접 생성하세요.
{% tabs %}
{% tab title="콘솔" %}
**Console에서 Panther 관리형 정책 활성화**
* 다음을 활성화하세요 [Panther Core AWS Pack](https://github.com/panther-labs/panther-analysis/blob/13e49e6589b1160928ec85678884da0e72e986f3/packs/aws.yml) 을 Panther Console에서. 이 팩에는 정책 외에도 룰, 헬퍼, 데이터 모델이 포함된다는 점에 유의하세요.
* [여기에서 Console에서 Packs를 활성화하는 지침을 참조하세요](/ko/detections/panther-managed/packs.md#enabling-and-disabling-detection-packs).
**Console에서 정책 생성**
* Console에서 정책을 생성하려면, [이 지침을 따르세요](/ko/detections/policies.md#how-to-write-policies-in-the-panther-console).
{% endtab %}
{% tab title="CLI" %}
**CLI 워크플로에서 Panther 관리형 정책 활성화**
* 아직 하지 않았다면, [이 지침을 따르세요](https://docs.panther.com/panther-developer-workflows/ci-cd/detections-repo) 를 클론하거나 포크하려면 [panther-analysis 저장소](https://github.com/panther-labs/panther-analysis/tree/master) Python 디택션의.
* 다음 안에서 [복사한 panther-analysis 리포지토리의 policies 디렉터리](https://github.com/panther-labs/panther-analysis/tree/master/policies), 관심 있는 디렉터리, 즉 모니터링하려는 AWS 리소스를 다루는 디렉터리를 식별하세요.
* 각 관심 디렉터리에서 활성화하려는 각 Panther 관리형 정책에 대해, 해당 디택션의 YAML 파일에서 다음을 설정하세요:
```yaml
Enabled: True
```
* 각 관심 디렉터리에서 활성화하지 않으려는 정책이 있다면, 해당 디택션의 YAML 파일에서 다음을 설정하세요:
```yaml
Enabled: False
```
* 다음을 사용하여 디택션을 수동으로 Panther에 업로드하거나 [PAT](/ko/panther/detections-repo/pat.md), 또는 [CI/CD 파이프라인을 구성하세요](/ko/panther/detections-repo/ci-cd.md) PAT로 디택션 콘텐츠를 업로드하도록.
**CLI 워크플로에서 정책 생성**
* CLI 워크플로에서 정책을 작성하려면, [이 지침을 따르세요](/ko/detections/policies.md#how-to-write-a-policy).
{% endtab %}
{% endtabs %}
{% hint style="info" %}
**디택션: 더 알아보기**
* CLI 워크플로를 사용 중이라면, [Panther에 업로드하도록 CI/CD 파이프라인을 구성하세요](/ko/panther/detections-repo/ci-cd.md).
* 사용합니다 [데이터 리플레이](/ko/detections/testing/data-replay.md) 디택션이 예상대로 일치하는지 확인하려면.
* Cloud Security Scanning용 AWS 계정을 온보딩했다면, 다음을 설정하세요 [실시간 모니터링](/ko/cloud-scanning.md#real-time-monitoring).
{% endhint %}
## 3단계: 알러트 대상 구성
설정하세요 [알러트 대상](/ko/alerts/destinations.md) 을 설정하여 Panther Console 외부 위치에서 알러트를 수신하세요.
### 3.1단계: Panther 알러트를 받을 위치 식별
팀이 Panther 알러트를 받기에 가장 적합한 장소는 어디인가요? 여러 대상을 구성하고 서로 다른 [심각도](/ko/detections/rules.md#alert-severity) 의 알러트를 서로 다른 위치로 라우팅하는 것이 합리적일까요?
시작하는 데 아이디어가 필요하다면 [알러트 대상](/ko/alerts/destinations.md) 페이지의 지원 대상 목록을 확인하세요. 또한 [커스텀 대상](https://docs.panther.com/alerts/destinations#setting-up-destinations-that-are-not-natively-supported).
### 3.2단계: 대상 설정
설정하려는 각 알러트 대상에 대해:
* 대상이 다음 중 하나인 경우 [Panther에서 기본 지원하는 대상](/ko/alerts/destinations.md), 해당 대상에 맞는 설정 지침을 따르세요.
* 대상이 Panther에서 기본 지원되지 않는 경우:
* 대상이 HTTP를 수신할 수 있고 `POST` 다음을 포함하는 요청 `JSON` 페이로드를 포함하는 경우, [커스텀 웹훅 대상을 사용하는 지침](/ko/alerts/destinations/custom_webhook.md).
* 또는 일정에 따라 새 알러트를 위해 Panther API를 폴링하는 것도 고려해 보세요. [이 옵션에 대해 여기에서 자세히 알아보기](/ko/alerts/destinations.md#panther-api).
### 3.3단계: 최소 하나의 대상이 System Errors를 수신하는지 확인
System Errors는 로그 소스가 비정상 상태가 되거나 알러트 전달에 실패하는 경우처럼 Panther 워크플로의 일부가 올바르게 작동하지 않을 때 사용자에게 알립니다. System Errors에 대해 자세히 알아보려면 [시스템 상태 알림](/ko/system-configuration/notifications/system-errors.md).
각 알러트 대상을 설정할 때, 해당 대상으로 전송될 **알러트 유형** 항목을 선택하게 되며, 이는 아래에 표시되어 있습니다. 최소 하나의 알러트 대상이 System Errors를 수신하도록 구성하는 것을 강력히 권장합니다.
{% hint style="info" %}
**알러트 대상: 더 알아보기**
* 다음에서 Panther의 알러트를 트리아지하는 방법 알아보기 [알러트 할당 및 관리](/ko/alerts/alert-management.md).
{% endhint %}
## 4단계: 검색 도구 사용 방법 익히기
보안 인시던트를 조사할 때가 오기 전에 Panther의 [검색 도구](/ko/search.md).
* 에서 필터를 만들고 검색을 실행하는 연습을 하세요 [검색](/ko/search/search-tool.md) 도구.
* SQL 작성에 익숙하다면, 다음에서 쿼리를 실행하는 연습을 하세요 [Data Explorer](/ko/search/data-explorer.md).
* 다음에서 예제 쿼리 보기 [Data Explorer SQL 검색 예제](/ko/search/data-explorer/example-queries.md).
{% hint style="info" %}
**검색: 더 알아보기**
* [예약된 검색 생성](/ko/search/scheduled-searches.md#how-to-create-a-scheduled-search), 그 위에 다음을 생성할 수 있습니다 [예약된 룰](/ko/detections/rules.md#how-to-write-scheduled-rules).
{% endhint %}
## (선택 사항) 5단계: Enrichment 설정
Panther의 [보강](/ko/enrichment.md) 기능은 로그 이벤트에 유용한 컨텍스트를 추가하여 더 높은 정확도의 디택션을 작성하고 더 많은 정보를 담은 알러트를 생성할 수 있게 합니다. 이러한 기능에는 다음이 포함됩니다:
* 다음과 같은 Panther 관리형 enrichment [IPinfo](/ko/enrichment/ipinfo.md), [Tor Exit Nodes](/ko/enrichment/tor-exit-nodes.md), 그리고 [Anomali ThreatStream](/ko/enrichment/anomali-threatstream.md)
* 다음과 같은 로그 소스 풀러 [Google Workspace Profiles](/ko/enrichment/google-workspace.md) 그리고 [Okta Profiles](/ko/enrichment/okta.md)
* [커스텀 enrichment](/ko/enrichment/custom.md) 자체 데이터를 포함하는
위의 각 기능에 대해 활성화할지 여부를 결정하고, 활성화하려는 경우 해당 페이지의 설정 지침을 따르세요.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.panther.com/ko/quick-start/onboarding-guide.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.