search
Knowledge BaseRelease NotesRequest Demo

저장된 및 예약된 검색

검색을 저장하고 선택적으로 예약하기

hashtag
개요

Panther의 데이터 탐색기검색 에서 동일한 검색을 반복적으로 생성하는 것을 방지하려면 검색을 저장하세요. 또한 데이터 탐색기에서 생성한 검색을 예약하여 규칙에 대해 결과를 실행할 수 있습니다. 이 워크플로에는 다음 기능이 포함됩니다:

  • 저장된 검색 생성, 보존된 검색 식.

  • 예약된 검색 생성, 지정된 간격으로 실행되도록 예약할 수 있는 저장된 검색.

  • 예약된 룰 생성, 예약된 검색과 연결된 디텍션입니다. 검색이 실행될 때마다 반환된 데이터는 디텍션에 대해 실행되며 일치 항목이 발견되면 알러트를 발생시킵니다.

기본적으로 각 Panther 계정은 활성화된 예약된 검색 10개로 제한됩니다. 이 제한은 예방적이며 지원 요청을 통해 증가시킬 수 있습니다. Panther에서 이 제한을 올리는 데 추가 비용은 없지만 처리되는 데이터 양에 따라 데이터베이스 백엔드에서 추가 비용이 발생할 수 있습니다.

circle-info

에서 CLI 워크플로arrow-up-right에서는 저장된 검색 및 예약된 검색을 종종 쿼리라고 합니다.

hashtag
저장된 검색을 생성하는 방법

저장된 검색은 보존된 검색 식입니다. 팀이 자주 실행하는 검색을 저장하면 중복 작업을 줄이는 데 도움이 됩니다. 저장된 검색은 Panther 콘솔(검색 또는 데이터 탐색기에서), CLI 워크플로(PAT) 또는 Panther API를 사용하여 생성할 수 있습니다.

저장된 검색에 변수를 추가하여 템플릿 쿼리를 만들 수도 있습니다. 자세한 내용은 템플릿 쿼리 및 매크로.

Panther 콘솔에서 저장된 검색을 생성하는 방법

Panther의 데이터 탐색기 또는 검색에서 검색을 저장할 수 있습니다. 두 도구에 저장된 검색은 저장된 검색으로 간주됩니다. 데이터 탐색기에서 검색을 저장하는 방법은 데이터 탐색기에서 검색을 저장하는 방법에 대한 이 지침검색에서 검색을 저장하는 방법에 대한 이 지침.

hashtag
예약된 검색을 생성하는 방법

예약된 검색은 예약에 따라 실행되도록 구성된 저장된 검색입니다. Panther 콘솔을 사용하면 현재 데이터 탐색기에서 생성된 저장된 검색만 예약할 수 있습니다—검색에서 생성된 저장된 검색( SQL 및 PantherFlow) 으로 생성된 검색 포함)은 예약할 수 없습니다. CLI 워크플로나 Panther API를 사용하여 예약된 검색을 생성하고 업로드할 수도 있습니다.

circle-info

예약된 검색에서 p_occurs_since 를 사용하는 것이 강력히 권장됩니다—아래에서 자세히 알아보세요.

참고: 예약된 검색만 생성한다고 해서 반환된 데이터가 디텍션에 대해 실행되거나 신호가 생성되는 것은 아닙니다. 그렇게 하려면 예약된 룰을 생성하고 이를 예약된 검색과 연결해야 합니다.

circle-exclamation

고객 구성 Snowflake 계정: 예약된 검색이 실행될 때마다 데이터베이스 백엔드에서 비용이 발생합니다. 검색이 지정된 타임아웃 기간 내에 완료될 수 있는지 확인하세요. 이 내용은 Panther가 관리하는 Snowflake를 사용하는 계정에는 적용되지 않습니다.

데이터 탐색기에서 예약된 검색을 생성하는 방법

데이터 탐색기에서 생성한 저장된 검색을 예약하는 방법을 알아보려면 아래 지침 중 하나를 따르세요:

hashtag
루크백 창을 정의하기 위해 p_occurs_since 예약된 검색에서 루크백 창을 정의하려면 Panther SQL 매크로를 사용하는 것이 강력히 권장됩니다

예약된 검색이 실행될 때, p_occurs_since.

의 "now" 시간은 실제 현재 시간이 아니라 예약된 시간으로 대체됩니다. 이는 루크백 창을 정확하게 만듭니다. 각 실행에서 검색은 일정에 따라 시간적으로 앞으로 진행합니다. p_occurs_since 를 사용하면 Snowflake 또는 클라우드 공급자 장애로 인한 중단에 대비할 수 있습니다. 장애로 인해 예약된 검색을 실행할 수 없는 경우 예약된 시간은 앞으로 진행되지 않습니다. 장애가 복구되어 쿼리를 다시 실행할 수 있게 되면 예약된 검색은 현재 일정에 따라 따라잡을 때까지 시간적으로 앞으로 진행합니다. p_occurs_since 예약된 검색 crontab 사용 방법

hashtag
Panther의 예약된 검색 crontab은 분, 시, 일(월 내), 월, 요일의 다섯 필드로 이루어진 표준 crontab 표기법을 사용합니다. 또한 검색 타임아웃 선택기(현재 최대값은 10분)를 찾을 수 있습니다. 표현식은 UTC로 실행됩니다.

인터프리터는 표준 crontab 표기법의 하위 집합을 사용합니다:

┌───────── 분 (0 - 59)

는 월요일부터 금요일) 또는 쉼표로 구분할 수 있습니다. 예:1-50,1,4 요일 필드에 입력하면 명령은 일요일, 월요일 및 목요일에만 실행됩니다. 현재는 요일 이름이나 월 이름의 사용을 지원하지 않습니다. crontab을 사용하면 기간 빈도 옵션보다 일정에 대해 더 구체적으로 지정할 수 있습니다:

예약된 검색을 이메일 보고서 생성하도록 구성하는 방법

The Cron expression screen displays options for selecting a time range for the scheduled query to run.

hashtag
이메일 보고서는 Panther 버전 1.115부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원 팀에 공유하세요.

circle-info

예약된 검색이 실행될 때마다 이메일 보고서를 보내도록 구성할 수 있습니다. 이메일 보고서에는 결과 다운로드 링크(결과가 하나 이상인 경우), 데이터 탐색기에서 검색으로 이동하는 링크, 선택적으로 검색 결과가 포함된 CSV 첨부 파일이 포함됩니다. 예약된 검색이 예약된 룰과 연결된 경우 해당 예약된 룰은 반환된 데이터를 평소대로 처리합니다.

이메일 보고서는

circle-info

[email protected] 에서 발송됩니다.이 주소를 개인 또는 조직의 허용 목록에 추가하여 이메일이 스팸으로 분류되지 않도록 하는 것이 좋습니다.

Under the Panther logo, a title reads, "1 events found by your scheduled search." Below that is a "Download search results as CSV" button.

이메일 보고서에 대한 다음 매개변수가 적용됩니다:

  • 각 이메일 보고서는 최대 10명의 수신자에게 전송될 수 있습니다.

  • CSV 첨부파일의 최대 크기는 10MB입니다. 쿼리 결과가 커서 CSV가 이 크기를 초과하면 CSV는 이메일에 첨부되지 않습니다.

  • Panther 인스턴스의 모든 예약된 검색을 합쳐 하루에 최대 20개의 이메일 보고서를 보낼 수 있습니다.

    • 하루에 전송되는 이메일 보고서 수는 예약된 검색이 실행되는 빈도에 따라 달라집니다.

    • 예를 들어 하루에 15개의 이메일 보고서를 보내는 예약된 검색이 하나 있고 하루에 5개의 이메일 보고서를 보내는 다른 예약된 검색이 하나 있다면, 기존 구성의 빈도를 줄이지 않는 한 추가 예약된 검색을 이메일 보고서 생성용으로 구성할 수 없습니다.

이메일 보고서는 예약된 검색에 대해서만 구성할 수 있습니다— 검색 에서 PantherFlow 또는 필터 식 으로 만든 검색은 저장되지만 예약할 수는 없으므로이메일 보고서를 생성하도록 구성할 수 없습니다.

Panther 콘솔에서 예약된 검색을 이메일 보고서 생성하도록 구성하는 방법

  1. 지침을 따르고 데이터 탐색기에서 저장된 검색 또는 예약된 검색 생성 이메일로 예약된 검색 결과 토글이 ON 으로 설정되어 있는지 확인하세요..

    • 기존 예약된 검색을 구성하려면 해당 검색의 검색 업데이트 모달에 액세스하려면 저장된 검색의 메타데이터 업데이트 지침을 따르고 토글을 토글이 다음으로 설정하세요: 으로 설정되어 있는지 확인하세요..

      In a "Save Search" modal, various fields, such as "Tags" and "Description" are visible. An "Email scheduled search results" toggle is circled.

  2. 이메일 보고서 설정 구성:

    • 수신자: 최대 10명의 수신자를 선택하거나 입력하세요. 드롭다운 목록의 값은 Panther 콘솔의 사용자이지만 추가 이메일 주소를 직접 입력할 수도 있습니다.

    • 이메일에 CSV 데이터 첨부: 쿼리 결과가 포함된 CSV 첨부파일(최대 10MB)을 이메일 보고서에 포함하려면 으로 설정되어 있는지 확인하세요. 토글하세요.

    • 검색이 0개의 결과를 반환해도 이메일 전송: 쿼리 결과가 포함된 CSV 첨부파일(최대 10MB)을 이메일 보고서에 포함하려면 으로 설정되어 있는지 확인하세요. 검색이 0개의 결과를 생성하더라도 이메일 보고서를 전송하려면

    Three toggles are shown: Email scheduled search results, Attach CSV data to the email, and Send an email even if search returns 0 results.

hashtag
저장된 검색 및 예약된 검색 사용하기

hashtag
저장된 검색을 삭제하거나 다운로드하는 방법

저장된 검색은 개별적으로 또는 일괄로 삭제할 수 있습니다. 저장된 검색이 예약되어 있는 경우(즉, 예약된 검색인 경우) 해당 검색을 삭제하려면 연결된 모든 예약된 룰과의 연결을 해제해야 합니다.

  1. Panther 콘솔 왼쪽 탐색 바에서 조사 > 저장된 검색.

  2. 을 클릭하세요.

  3. 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 체크박스를 선택하세요. 페이지 상단에서 또는 다운로드. The top of the Saved Queries page is shown, with two buttons: "Download" and "Delete"

    • 또는 페이지 상단에서삭제 를 클릭하세요. 만약

    • 또는 다운로드을 클릭했다면, saved_queries.zip 파일이 다운로드됩니다. 만약. A modal titled "Attention!" is shown, with the text, "Are you sure you want to delete these (2) selected Saved Queries" and there are "Cancel" and "Confirm" buttons

hashtag
을 클릭했다면,

  1. Panther 콘솔 왼쪽 탐색 바에서 조사 > 저장된 검색.

  2. 주의! The image shows a query from the list of queries in the Panther Console. In the right side, there is a red arrow pointing to the 3 dots icon.

  3. 모달이 나타납니다. 클릭하세요 확인.

  4. 에서 검색 업데이트 예약된 검색 비활성화 방법 비활성화하려는 예약된 검색을 찾은 다음, 해당 타일의 오른쪽 상단에서 점 세 개 아이콘을 클릭하세요. 드롭다운 메뉴에서 검색 메타데이터 편집 양식을 클릭하고 설정 The "Update Search" form is displayed. It contains fields for Search Name, Tags, Description, and Default Database. The toggle next to "Is it active?" is set to "Off."

  5. 활성 상태입니까? OFF

hashtag
저장된 검색의 메타데이터 업데이트

로 전환하여 쿼리를 비활성화하세요. 변경 사항을 저장하려면):

  1. Panther 콘솔 왼쪽 탐색 바에서 조사 > 저장된 검색.

  2. 쿼리 업데이트 The 3 dots icon is expanded to a dropdown menu. The option "Edit Search Metadata" is highlighted.

  3. 모달이 나타납니다. 클릭하세요 확인.

  4. 를 클릭하세요. 검색 업데이트 저장된 검색의 이름, 태그, 설명 및 기본 데이터베이스(및 예약된 검색의 경우 활성 여부, 빈도 및

  5. 활성 상태입니까? 검색 업데이트.

hashtag
이메일 보고서 설정

)을 편집하려면 편집하려는 쿼리를 찾고 해당 타일의 오른쪽 상단에 있는 점 세 개 아이콘을 클릭하세요.

  • 필요에 따라

  • 양식에서 변경하세요.

  • 저장된 검색 검색하기 저장된 검색 페이지에서 다음을 사용하여 쿼리를 검색할 수 있습니다: 쿼리 목록 상단의 검색 표시줄

    • 오른쪽 상단의 날짜 범위 선택기오른쪽 상단의, 검색필터 옵션쿼리가 예약되었는지 여부, 활성 상태, 유형(

in the Saved Searches list, use the date range or filters in the upper right corner to search for queries. In the image, the date range selector is circled and the Filters button is circled.

네이티브 SQL 오른쪽 상단의 , 또는 검색옵션 PantherFlow 검색

hashtag
), 또는 최대 100개의 태그로 필터링할 수 있습니다. 저장된 검색 이름을 클릭하면 쿼리가 채워진 상태로 데이터 탐색기(쿼리의 경우) 또는 검색(검색의 경우)으로 바로 이동합니다.예약된 검색에서

LIMIT 저장된 검색 이름을 클릭하면 쿼리가 채워진 상태로 데이터 탐색기(쿼리의 경우) 또는 검색(검색의 경우)으로 바로 이동합니다. 사용하기

circle-info

Panther 데이터 레이크 설정 페이지에서 예약된 검색에 절이 지정되어 있는지 확인하는 설정을 선택적으로 활성화할 수 있습니다. 예약된 검색이 의도치 않게 수천 개의 결과를 반환하여 알러트 지연, 하류 시스템에 대한 서비스 거부(DoS) 및 잘못 조정된 쿼리로 인한 일반적인 정리 오버헤드를 초래할 위험이 있다면 이 옵션을 사용하세요. 타임아웃이 발생한 예약된 검색은 실패했음을 식별하기 위해

  1. 시스템 오류 를 생성합니다.. The gear icon's dropdown menu is expanded, showing options for General, Users, User Roles, API Tokens, and API Playground.

  2. Panther 콘솔 오른쪽 상단에서 톱니바퀴 아이콘을 클릭하세요. 나타나는 드롭다운 메뉴에서 일반 을 클릭하세요.

  3. 데이터 레이크 탭을 클릭하세요. 아래로 스크롤하여 At the top, a tab labeled Data Lake is selected. Near the bottom of the screen, there is a header called "Scheduled Queries." The option "LIMIT Clause for Scheduled Queries" is set to "Off."

  4. 예약된 쿼리 저장된 검색 이름을 클릭하면 쿼리가 채워진 상태로 데이터 탐색기(쿼리의 경우) 또는 검색(검색의 경우)으로 바로 이동합니다. 헤더를 찾으세요. 헤더 아래에서 LIMIT 절 토글 설정을 볼 수 있습니다: 예약된 쿼리에 대한 으로 설정되어 있는지 확인하세요.The toggle next to "LIMIT Clause for Scheduled Queries" is set to "On."

설정을 으로 설정되어 있는지 확인하세요.로 전환하여 예약된 쿼리에서 LIMIT를 적용하기 시작하세요.

이 필드가

로 설정되면, 원하는 경우 새로 활성으로 표시된 예약된 검색은 쿼리 정의에 LIMIT 절이 지정되지 않으면 저장할 수 없습니다.

A Scheduled Query without a LIMIT clause shows a warning banner that says "This Scheduled Query does not contain a LIMIT clause in the SQL expression."

이미지에는 쿼리 생성 화면이 표시됩니다. 상단에 빨간 배너가 있으며 "저장된 쿼리를 생성할 수 없습니다. 이 예약된 쿼리는 SQL 식에 LIMIT 절이 포함되어 있지 않습니다. 이 예약된 쿼리를 저장하려면 SQL 식을 업데이트하여 LIMIT 절을 추가하세요."라는 문구가 있습니다.

hashtag
LIMIT 절이 없는 기존 예약된 검색은 저장된 검색 목록에 경고 메시지와 함께 표시되며 LIMIT 절을 포함하지 않으면 편집을 저장할 수 없습니다.

이 설정은 저장된 검색 어디에든 LIMIT 절의 존재만 확인합니다. 외부 LIMIT 절을 구체적으로 검사하지는 않습니다.

  1. Panther 콘솔 왼쪽 탐색 바에서 Panther 콘솔에서 예약된 검색 내보내기.

  2. 콘솔에 있는 모든 디텍션 및 예약된 검색의 .zip 파일을 내보낼 수 있습니다: 디텍션.

  3. 에서 오른쪽 상단에서 업로드 대량 업로더.

hashtag
저장된 검색 사양 참조

모달을 클릭한 다음 모든 엔터티 다운로드.

를 클릭하세요.

필수 필드는
굵게
표시됩니다.

저장된 검색 사양 필드의 전체 목록:

필드 이름

설명

예상 값

AnalysisType

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

saved_query

QueryName

UI에 표시할 친숙한 이름입니다.

굵게

문자열

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

Tags

이 룰을 분류하는 데 사용되는 태그입니다. PantherFlow).

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

hashtag
예약된 검색 사양 참조

모달을 클릭한 다음 모든 엔터티 다운로드.

문자열 목록

필수 필드는
굵게
표시됩니다.

저장된 검색 사양 필드의 전체 목록:

필드 이름

룰에 대한 간단한 설명.

예상 값

AnalysisType

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

Query

데이터 쿼리입니다. SQL로 작성되어야 합니다(즉,

예약된 검색 사양 필드의 전체 목록:

saved_query

QueryName

UI에 표시할 친숙한 이름입니다.

굵게

문자열

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

Tags

scheduled_query

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

Enabled

이 룰이 활성화되어 있는지 여부.

불리언

EmailConfig

데이터 쿼리입니다. Schedule 이 쿼리가 실행되어야 하는 일정입니다. CronExpression 또는 Rate Minutes로 표현됩니다. 예상보다 오래 걸릴 경우 쿼리를 해제하기 위해 TimeoutMinutes가 필요합니다. cron과 rate minutes는 상호 배타적입니다.

  • 수신자제공된 경우,

  • 예약된 검색에 대한 이메일 보고서 생성 PreferAttachment을 지원합니다. 세 가지 중첩 필드를 지원합니다: (필수): 이메일 보고서를 보낼 각 이메일 주소를 포함하는 문자열 배열입니다. 최대 10명의 수신자가 있습니다. (선택 사항): 기본값이

  • 예약된 검색에 대한 이메일 보고서 생성 SendEmpty을 지원합니다. 세 가지 중첩 필드를 지원합니다: (필수): 이메일 보고서를 보낼 각 이메일 주소를 포함하는 문자열 배열입니다. 최대 10명의 수신자가 있습니다. (선택 사항)false

불리언

이전표준 필드다음템플릿화된 검색

마지막 업데이트

도움이 되었나요?