# 표준 필드 Panther의 로그 분석은 모든 로그 레코드에 정규화 필드(IP, 도메인 등)를 적용합니다. 이러한 필드는 모든 데이터 소스 전반에서 속성에 대한 표준 이름을 제공하여 빠르고 쉬운 데이터 상관관계를 가능하게 합니다. 예를 들어, 각 데이터 소스에는 이벤트가 발생한 시간이 있지만, 각 데이터 소스가 해당 속성의 이름을 동일하게 지정하지 않을 가능성이 높으며, 관련된 시간에 다른 데이터 소스와 일관된 시간대가 보장되는 것도 아닙니다. Panther의 `p_event_time` 속성은 각 데이터 소스의 해당 이벤트 시간에 매핑되며 [UTC로 정규화됨](/ko/data-onboarding/custom-log-types/reference.md#timestamps). 이는 여러 데이터 소스를 쿼리하는 동안 `p_event_time`를 기준으로 조인하고 정렬할 수 있음을 의미하며, 각 데이터 소스의 서로 다른 스키마에도 불구하고 가능합니다. {% hint style="info" %} 추가된 모든 표준 필드는 다음으로 시작합니다. `p_.` {% endhint %} ## 필수 필드 아래 필드는 모든 로그 레코드에 추가됩니다:

필드 이름	유형	설명
필드 이름	유형	설명
`p_log_type`	`문자열`	로그의 유형입니다.
`p_row_id`	`문자열`	행의 고유 ID(UUID)입니다.
`p_event_time`	`타임스탬프`	로그 유형에 해당하는 관련 이벤트 시간이 여기에 복사되고 UTC로 정규화됩니다. 형식: `YYYY-MM-DD HH:MM:SS.fff`
`p_parse_time`	`타임스탬프`	이벤트가 파싱되었을 때의 현재 시간으로, UTC로 정규화됩니다. 형식: `YYYY-MM-DD HH:MM:SS.fff`
`p_schema_version`	`정수`	이 행에 사용된 스키마의 버전입니다.
`p_source_id`	`문자열`	소스 통합을 위해 Panther가 생성한 내부 ID입니다.
`p_source_label`	`문자열`	소스 통합에 대해 사용자가 제공한 레이블입니다(편집되면 변경될 수 있음).
`p_source_file`	`객체`	S3 소스에서만 사용할 수 있으며, 이 필드에는 버킷 이름과 객체 키를 포함하여 이 이벤트가 발생한 파일의 메타데이터가 포함됩니다.
`p_header`	`객체`	다음 경우 엔벌로프 메타데이터를 포함합니다. 엔벌로프 필드 유지 에 대해 활성화된 경우 CloudWatch 로그 소스. 로그 그룹, 로그 스트림, 소유자 계정 및 구독 필터와 같은 정보를 포함합니다.

{% hint style="info" %} 이벤트에 타임스탬프가 없으면 `p_event_time` 는 다음으로 설정됩니다. `p_parse_time`, 이는 이벤트가 파싱된 시간입니다. {% endhint %} 다음 `p_source_id` 및 `p_source_label` 필드는 데이터가 어디에서 생성되었는지를 나타냅니다. 예를 들어 Panther에 등록된 여러 CloudTrail 소스가 있을 수 있으며, 각 소스에는 고유한 이름(예: "Dev Accounts", "Production Accounts", "HR Accounts" 등)이 있습니다. 이러한 필드를 사용하면 소스를 기준으로 데이터를 분리할 수 있으며, 이는 Panther에서 탐지를 구성할 때 유용합니다. 또한 아래 필드는 `panther_룰_matches` 데이터베이스:

필드 이름	유형	설명
panther_룰_matches의 필드 이름	유형	설명
`p_알러트_id`	`문자열`	행과 관련된 알러트의 ID입니다.
`p_알러트_creation_time`	`타임스탬프`	행과 관련된 알러트 생성 시간입니다.
`p_알러트_context`	객체	룰의 알러트_context() 함수에서 반환된 JSON 객체입니다.
`p_알러트_severity`	`문자열`	알러트 시점의 룰 심각도 수준입니다. 동적으로 설정될 수 있으므로 기본 심각도와 다를 수 있습니다.
`p_알러트_update_time`	`타임스탬프`	행과 관련된 마지막 알러트 업데이트 시간입니다.
`p_룰_id`	`문자열`	알러트를 생성한 룰의 ID입니다.
`p_룰_error`	`문자열`	룰 실행 중 오류가 있었던 경우의 오류 메시지입니다.
`p_룰_reports`	`map[string]array[string]`	행과 관련된 사용자 정의 룰 보고 태그 목록입니다.
`p_룰_severity`	`문자열`	룰의 기본 심각도입니다.
`p_룰_tags`	`array[string]`	행과 관련된 사용자 정의 룰 태그 목록입니다.

## 인디케이터 필드 일반적인 보안 질문은 “Was `일부 인디케이터` 에서 관찰된 적이 있는가 *어떤* 우리 로그의?” Panther의 [검색](/ko/search/search-tool.md) 도구를 사용하면 다양한 모든 로그 소스의 데이터를 검색하여 답을 찾을 수 있습니다. 로그 이벤트가 수집되면, [`인디케이터` 필드](/ko/data-onboarding/custom-log-types/reference.md#indicators) 해당 스키마에서 어떤 필드의 값을 추출하여 `p_any_` 필드에 넣을지 식별하며, 이 필드는 이벤트에 추가되어 함께 저장됩니다. 아래 표는 어떤 `p_any_` 필드(s) 데이터가 추출되는지, `인디케이터`별로 보여줍니다. 모든 `p_any_` 필드는 목록입니다. 사용자 정의 스키마를 구성할 때, 아래 표의 Indicator Name 열에 있는 값을 스키마의 [`인디케이터` 필드](/ko/data-onboarding/custom-log-types/reference.md#indicators)에서 사용할 수 있습니다. 각 행은 ( `hostname`, `net_addr`, 그리고 `url`)을 제외하고 의 "Panther Fields" 옵션에 해당합니다. [검색](/ko/search/search-tool.md). 아래 표의 필드 외부에 있는 필드 이름/값 쌍은 다음으로 검색할 수 있습니다 [검색의 키/값 필터 표현식](/ko/search/search-tool.md#key-value-filter-expression) 기능—하지만 해당 필드가 서로 다른 로그 소스에서 대응되는 필드(다른 구문 사용)로 매핑되지 않았기 때문에, 검색한 정확한 필드 이름을 포함하는 로그 소스의 일치 항목만 반환됩니다. {% hint style="info" %} 필드가 스키마에서 지표로 지정되려면 유형이 `문자열`. {% endhint %}

지표 이름	필드로 추출됨	설명
actor_id	p_any_actor_ids	값을 p_any_actor_ids에 추가합니다.
aws_account_id	p_any_aws_account_ids	값이 유효한 AWS 계정 ID이면 p_any_aws_account_ids에 추가합니다.
aws_arn	p_any_aws_arns, p_any_aws_instance_ids, p_any_aws_account_ids, p_any_emails	값이 유효한 AWS ARN이면 p_any_aws_arns에 추가합니다. ARN에 AWS 계정 ID가 포함되어 있으면 추출하여 p_any_aws_account_ids에 추가합니다. ARN에 EC2 인스턴스 ID가 포함되어 있으면 추출하여 p_any_aws_instance_ids에 추가합니다. ARN이 AWS STS Assume Role을 참조하고 이메일 주소를 포함하고 있으면 이메일 주소를 추출하여 p_any_emails에 넣습니다.
aws_instance_id	p_any_aws_instance_ids	값이 유효한 AWS 인스턴스 ID이면 p_any_aws_instance_ids에 추가합니다.
aws_tag	p_any_aws_tags	값을 p_any_aws_tags에 추가합니다.
cve	p_any_cves	정규식과 일치하는 모든 값을 추출하여 `^[Cc][Vv][Ee]-\d{4}-\d+$` p_any_cves에 추가합니다
도메인	p_any_domain_names	값을 p_any_domain_names에 추가합니다.
이메일	p_any_emails	값이 유효한 이메일 주소이면 값을 p_any_emails에 추가합니다. 값 중에서 다음에 오는 부분은 `@` 또한 p_any_usernames에 채워집니다
hostname	p_any_domain_names, p_any_ip_addresses	값을 p_any_domain_names에 추가합니다. 값이 유효한 IPv4 또는 IPv6 주소이면 p_any_ip_addresses에 추가합니다.
ip	p_any_ip_addresses	값이 유효한 IPv4 또는 IPv6 주소이면 p_any_ip_addresses에 추가합니다.
mac	p_any_mac_addresses	값이 유효한 IEEE 802 MAC-48, EUI-48, EUI-64 또는 20옥텟 IP over InfiniBand 링크 계층 주소이면 p_any_mac_addresses에 추가합니다.
md5	p_any_md5_hashes	값이 유효한 MD5이면 값을 p_any_md5_hashes에 추가합니다.
mitre_attack_technique	p_any_mitre_attack_techniques	정규식과 일치하는 모든 값을 추출하여 `\b[Tt]\d{4}(?:\.\d{3})?\b` 에 추가합니다. 예를 들어, 필드 값이 `"Technique: T1234"`이면 p_any_mitre_attack_techniques의 값은 `["T1234"]`
net_addr	p_any_domain_names, p_any_ip_addresses	형식의 값에서 추출 `<host>:<port>` 호스트 부분을 p_any_domain_names에 추가합니다. 호스트 부분이 유효한 IPv4 또는 IPv6 주소인 경우 p_any_ip_addresses에 추가합니다.
serial_number	p_any_serial_numbers	값을 p_any_serial_numbers에 추가합니다.
sha1	p_any_sha1_hashes	값이 유효한 sha1이면 p_any_sha1_hashes에 추가합니다.
sha256	p_any_sha256_hashes	값이 유효한 sha256이면 p_any_sha256_hashes에 추가합니다.
trace_id	p_any_trace_ids	값을 p_any_trace_ids에 추가합니다. 세션 ID 및 문서 ID와 같은 태그 필드는 관련 이벤트의 시퀀스 전체 활동을 추적하기 위해 요소를 다른 로그와 연관시키는 데 사용됩니다.
url	p_any_domain_names, p_any_ip_addresses	url을 구문 분석하여 "http://" 또는 "https://" 뒤의 호스트 부분을 추출합니다. 호스트 부분을 p_any_domain_names에 추가합니다. 호스트 부분이 유효한 IPv4 또는 IPv6 주소인 경우 p_any_ip_addresses에 추가합니다.
username	p_any_usernames	값을 p_any_usernames에 추가합니다. 이 필드에는 `이메일` 표시기로 표시된 값도 채워집니다. 이메일 값 중 `@` 앞선 부분이 이 필드에 추가됩니다.

## 보강 필드 Panther 규칙 엔진은 다음에서 조회된 일치 항목을 가져와 [조회 테이블 ](/ko/enrichment/custom.md)키를 사용하여 해당 데이터를 이벤트에 추가합니다. `p_enrichment` 다음 JSON 구조에서: ```json { 'p_enrichment': { : { <로그에서 일치한 키>: <조회된 일치 행>, ... <로그에서 일치한 키>: <조회된 일치 행>, } } } ```

보강 필드 이름	유형	보강 필드 설명
`p_enrichment`	객체	일치하는 행이 발견된 조회 결과의 사전입니다.
`p_match`	문자열	`p_match` 내 각 일치 행의 데이터에 주입됩니다. `p_enrichment`. 그 값은 이벤트에서 일치한 값입니다.

## "all\_logs" 뷰 Panther는 표준 필드가 포함된 모든 데이터 소스에 대한 뷰를 관리합니다. 이를 통해 다음과 같은 질문에 답할 수 있습니다. " *어떤* 에서의 활동이 있었는가 `some-bad-ip`가 있었고, 있었다면 어디에서였는가?" 아래 쿼리는 로그 유형별로, IP 주소와 관련된 레코드 수를 보여줍니다. `95.123.145.92`: ```sql SELECT p_log_type, count(1) AS row_count FROM panther_views.public.all_logs WHERE p_occurs_between('2020-1-30', '2020-1-31') AND array_contains('95.123.145.92'::variant, p_any_ip_addresses) GROUP BY p_log_type ``` 이 결과에서 활동이 표시된 특정 로그로 피벗할 수 있습니다. ## detections의 표준 필드 Panther 표준 필드는 detections에서 사용할 수 있습니다. 예를 들어, 아래 Python 룰은 모든 GuardDuty 알러트가 다음으로 태그된 리소스에 있을 때 트리거됩니다. `중요`: ```python def 룰(event): if 'p_any_aws_tags' in event: for tag in event['p_any_aws_tags']: if 'critical' in tag: return True return False ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/search/panther-fields.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.