조사 및 검색

개요

Panther의 데이터 분석 도구는 보안 데이터 레이크에 수집되고 정규화된 로그 데이터를 검색할 수 있게 해줍니다. 다음을 사용하여 로그 전반(및 SQL 없이)을 검색할 수 있습니다 검색, 또는 에서 SQL을 사용해 자세히 조사할 수 있습니다 데이터 탐색기.

데이터가 Panther로 수집되면 파싱 및 정규화된 후 Snowflake에 저장됩니다. 이는 과거 데이터에 대한 조사 수행, 규칙 작성, 기본 동작 식별 및 분석 생성에 필요합니다.

Panther에서 데이터 검색을 시작하기

조사를 어디서 시작할지 결정하기

팀에서 경고를 받았고 조사를 시작해야 합니다 — 그러나 어디서 시작해야 할까요?

• 검색 SQL 지식이 제한된 경우에는 SQL 구문 없이 쿼리를 구성할 수 있으므로 시작하기에 좋은 곳입니다. 검색을 생성한 후에는 데이터 탐색기나 외부 애플리케이션에서 분석을 위해 생성된 SQL 명령을 복사할 수 있습니다.

• 데이터 탐색기 복잡하거나 고도로 사용자 지정된 검색을 수행하는 경우에는 예를 들어 데이터베이스 테이블을 조인하거나 추가 절을 추가하여 반환될 필드를 제어하고자 하는 경우에 시작하기에 가장 좋은 곳입니다.

검색으로 시작하기

에서 검색에서는 SQL 구문 대신 필터를 사용하여 데이터 쿼리를 구성할 수 있습니다. 검사하려는 테이블을 표시하기 위해 드롭다운 선택 필드에서 선택하라는 메시지가 표시됩니다 — 거기에서 필터를 추가하여 검색을 좁혀 예를 들어 결과가 field_xyz 이(가) some_specific_value.

첫 번째 검색을 구축하는 방법을 알아보려면 검색 문서.

데이터 탐색기로 시작하기

에서 데이터 탐색기에서는 자동완성 기능이 있는 SQL 쿼리를 작성·실행하여 로그 데이터, 시그널및 Panther의 표준 필드를 포함한 데이터 전반을 검색할 수 있습니다. 또한 검색을 저장하고 예약할 수 있으며템플릿화된 검색 을(를) 생성하여 재사용하고, 단위 테스트 이벤트로 사용할 JSON 행을 검색하고, 결과를 CSV로 다운로드하고, 고유한 URL을 사용해 쿼리와 결과를 팀과 공유할 수 있습니다. 데이터 탐색기를 콘솔의 해당 페이지로 직접 이동하거나 검색에서 시작하여 검색에서 생성된 SQL을 복사한 다음 데이터 탐색기로 가져가 사용하여 Data Explorer를 이용할 수 있습니다.

데이터 탐색기 문서에서 시작하세요

시작하려면 데이터 탐색기 문서.

Panther의 조사 및 검색 기능

검색 및 데이터 탐색기 외에도 Panther는 데이터를 빠르고 효율적으로 검색할 수 있게 해주는 기타 기능을 제공합니다. 아래 박스를 확장하여 자세히 알아보세요.

예제 검색

Panther는 로그에서 의심스러운 활동을 조사할 때 실행할 수 있는 일반적인 사용 사례 및 예제 검색을 제공합니다:

• 데이터 탐색기 쿼리 예제

• 예약된 검색 예제

사용 가능한 데이터베이스

Panther에서 분석을 위해 사용 가능한 데이터베이스 목록은 데이터 레이크.

Panther 검색 도구 문제 해결

Panther 지식 기반을 방문하여 데이터 분석에 관한 문서를 보고 자주 묻는 질문에 대한 답변과 일반적인 오류 및 문제 해결에 도움이 되는 자료를 확인하세요.