# 조사 및 검색

## 개요

Panther의 데이터 분석 도구를 사용하면 보안 데이터 레이크에서 정규화된 로그 데이터, 시그널 등을 검색할 수 있습니다. 다음을 사용하여 로그(및 SQL 없이) 전체를 검색할 수 있습니다 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool)또는 다음에서 SQL을 사용하여 철저히 조사할 수 있습니다 [panther\_monitor](#starting-with-data-explorer).

데이터가 Panther로 수집되면 파싱 및 정규화된 후 Snowflake에 저장됩니다. 이는 과거 데이터에 대한 조사 수행, 룰 작성, 기준 및 이상 행동 식별, 분석 생성에 필요합니다.

어떤 [도구](#tools-for-data-search-and-analysis-in-panther) 를 사용하여 Panther에서 데이터를 검색할지 결정할 때:

* **: 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요** 는 SQL 또는 PantherFlow 대신 자연어로 데이터를 검색하고 싶을 때 유용합니다.
* **로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다** 는 SQL 지식이 제한적인 경우 시작하기에 좋은 곳으로, SQL 구문 없이 쿼리를 구성할 수 있습니다. 또한 다음을 실행할 수 있습니다 [PantherFlow](https://docs.panther.com/ko/pantherflow) 검색에서(또한 Panther AI를 사용하여 [PantherFlow 쿼리 생성](https://docs.panther.com/ko/search-tool#ai-powered-pantherflow-query-generation)).
* **panther\_monitor** 는 데이터 결합이나 반환 필드 제어를 위해 추가 절을 추가하는 등 복잡하거나 고도로 맞춤화된 검색을 수행할 때 시작하기에 가장 적합합니다.

{% hint style="info" %}
Panther에서 알러트를 받은 후 조사 시작 방법을 잘 모르겠습니까? 다음을 참조하세요 [Panther에서의 위협 헌팅](https://docs.panther.com/ko/search/threat-hunting) 에서 영감을 얻으세요.&#x20;
{% endhint %}

룰의 매치(예: [신호](https://docs.panther.com/ko/detections/signals))는 클라우드 보안 스캔 데이터 및 룰 오류와 함께 데이터 레이크에 저장됩니다.

## Panther의 데이터 검색 및 분석 도구

### : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요

다음과 함께 [: 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요](https://docs.panther.com/ko/ai)를 사용하면 [자연어](https://docs.panther.com/ko/resources/help/glossary#natural-language) 로 데이터 레이크를 쿼리할 수 있습니다.

지침은 다음을 참조하세요 [AI 기반 PantherFlow 쿼리 생성](https://docs.panther.com/ko/search-tool#ai-powered-pantherflow-query-generation).

### 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다

안에 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool)에서는 로우코드 [필터 칩](https://docs.panther.com/ko/search-tool#creating-filter-expressions) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [PantherFlow](https://docs.panther.com/ko/pantherflow). Search는 도메인별 쿼리 언어 및/또는 로우코드 워크플로를 사용하여 SQL을 작성하는 것을 선호하는 경우 사용하기 좋은 도구입니다.

조사를 시작하는 방법을 알아보려면 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool).

### panther\_monitor

안에 [panther\_monitor](https://docs.panther.com/ko/search/data-explorer)에서는 SQL 쿼리를 작성하고 실행하여 데이터 전체를 검색할 수 있습니다. 또한 [검색 저장 및 예약](https://docs.panther.com/ko/search/scheduled-searches)에서, 생성하십시오 [템플릿 검색](https://docs.panther.com/ko/search/scheduled-searches/templated-searches) 을(를) 재사용을 위해 저장하고 예약하는 등 다양한 작업을 할 수 있습니다.

다음으로 시작하세요 [데이터 탐색기 문서](https://docs.panther.com/ko/search/data-explorer).

### GraphQL API

다음을 통해 데이터 레이크에 대해 쿼리를 실행할 수 있습니다 [Panther GraphQL API](https://docs.panther.com/ko/panther/api/graphql).

예제 쿼리는 다음을 참조하세요 [데이터 레이크 쿼리](https://docs.panther.com/ko/panther/api/graphql/data-lake-queries).

## Panther의 조사 및 검색 기능

Search 및 Data Explorer 외에도 Panther는 데이터를 빠르고 효율적으로 검색할 수 있는 다른 기능을 제공합니다. 아래 상자를 확장하여 자세히 알아보세요.

<details>

<summary>표준 필드</summary>

Panther의 로그 분석은 모든 로그 레코드에 정규화 필드(IP, 도메인 등)를 적용합니다. 이러한 필드는 모든 데이터 소스에 걸쳐 속성의 이름을 표준화하여 빠르고 쉬운 데이터 상관관계를 가능하게 합니다. 자세한 내용은 다음을 참조하세요 [표준 필드](https://docs.panther.com/ko/search/panther-fields).

</details>

<details>

<summary>시각화 및 대시보드</summary>

Panther 콘솔에서 자체 맞춤 대시보드를 생성하거나 Panther가 관리하는 다양한 시각화를 사용할 수 있습니다. 자세한 내용은 다음에서 확인하세요 [시각화 및 대시보드](https://docs.panther.com/ko/search/visualization-and-dashboards).

</details>

<details>

<summary>저장된 및 예약된 검색</summary>

저장된 검색을 사용하면 Search, Data Explorer 또는 CLI 워크플로에서 생성한 검색을 저장, 재사용, 업데이트 및 삭제할 수 있습니다. 즉, 실행할 때마다 쿼리를 다시 작성하거나 재구성할 필요가 없습니다.

Panther의 예약된 검색은 일정에 맞춰 실행되도록 구성된 저장된 검색입니다. 예약된 룰과 연결할 수 있으며, 이는 실시간 "스트리밍" 데이터 대신 검색에서 반환된 데이터를 룰의 이벤트 입력으로 사용할 수 있게 합니다. 예약된 검색이 실행될 때 해당 [예약된 룰](https://docs.panther.com/ko/scheduled-searches#create-a-scheduled-rule) 이 매치를 생성하면, [신호](https://docs.panther.com/ko/detections/signals) (및 선택적으로 [알러트](https://docs.panther.com/ko/alerts))가 생성됩니다.

자세한 내용은 [저장된 및 예약된 검색](https://docs.panther.com/ko/search/scheduled-searches).

</details>

<details>

<summary>검색 기록</summary>

Panther 콘솔의 검색 기록 페이지에는 콘솔에서 실행된 지난 30일간의 검색이 표시됩니다. 검색 이름을 클릭하면 결과를 보고 검색을 다시 실행할 수 있는 [로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다](https://docs.panther.com/ko/search/search-tool) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [panther\_monitor](https://docs.panther.com/ko/search/data-explorer) 로 이동합니다. 실행 중인 검색을 취소할 수도 있습니다. 자세한 내용은 다음을 참조하세요 [검색 기록](https://docs.panther.com/ko/search/search-history).

</details>

## 예제 검색

Panther는 로그에서 의심스러운 활동을 조사할 때 실행할 수 있는 일반적인 사용 사례와 예제 검색을 제공합니다:

* [데이터 탐색기 쿼리 예시](https://docs.panther.com/ko/search/data-explorer/example-queries)
* [예약된 검색 예시](https://docs.panther.com/ko/search/scheduled-searches/examples)

## 사용 가능한 데이터베이스

Panther에서 분석을 위해 사용 가능한 데이터베이스 목록은 다음을 참조하세요 [backend](https://docs.panther.com/ko/search/backend "mention").

## Panther의 검색 도구 문제 해결

Panther 지식 기반을 방문하여 [데이터 분석에 관한 문서를 보세요](https://help.panther.com/Analyzing_Data) 자주 묻는 질문에 답하고 일반적인 오류와 문제를 해결하는 데 도움이 됩니다.