search
Knowledge BaseRelease NotesRequest Demo

저장된 검색 및 예약 검색

검색을 저장하고 선택적으로 예약하기

hashtag
개요

Panther의 검색에서 동일한 검색을 반복해서 생성하는 것을 피하려면 데이터 탐색기검색 검색을 저장하세요. 또한 Data Explorer에서 생성한 검색을 예약할 수 있으며, 이를 통해 규칙에 대해 결과를 실행할 수 있습니다. 이 워크플로우에는 다음 기능이 포함됩니다:

  • 저장된 검색 생성, 보존된 검색 식.

  • 예약된 검색 생성, 지정된 간격으로 실행되도록 예약할 수 있는 저장된 검색입니다.

  • 예약된 규칙 생성, 예약된 검색과 연결된 탐지입니다. 검색이 실행될 때마다 반환된 데이터가 탐지에 대해 실행되어 일치 항목이 발견되면 경고를 발생시킵니다.

기본적으로 각 Panther 계정은 활성 예약된 검색 10개로 제한됩니다. 이 한도는 예방적 성격일 뿐이며 지원 요청을 통해 증가시킬 수 있습니다. 이 한도를 올리더라도 Panther로부터 추가 비용은 부과되지 않지만 처리되는 데이터 양에 따라 데이터베이스 백엔드에서 추가 비용이 발생할 수 있습니다.

circle-info

다음 를 클릭하세요.arrow-up-right, 저장된 검색과 예약된 검색은 종종 쿼리라고도 불립니다.

hashtag
저장된 검색을 만드는 방법

저장된 검색은 보존된 검색 식입니다. 팀이 자주 실행하는 검색을 저장하면 중복 작업을 줄일 수 있습니다. Panther 콘솔(검색 또는 Data Explorer)에서, CLI 워크플로우(PAT)를 사용하거나 Panther API로 저장된 검색을 생성할 수 있습니다.

저장된 검색에 변수를 추가하여 템플릿화된 쿼리를 생성할 수도 있습니다. 자세한 내용은 템플릿 쿼리 및 매크로.

Panther 콘솔에서 저장된 검색을 생성하는 방법

Panther의 Data Explorer 또는 Search에서 검색을 저장할 수 있습니다. 두 도구에 저장된 검색은 모두 저장된 검색으로 간주됩니다. 다음을 따르세요 Data Explorer에서 검색을 저장하는 방법에 대한 이 지침Search에서 검색을 저장하는 방법에 대한 이 지침.

hashtag
예약된 검색을 생성하는 방법

예약된 검색은 일정에 따라 실행되도록 구성된 저장된 검색입니다. Panther 콘솔을 사용하면 현재 Data Explorer에서 생성된 저장된 검색만 예약할 수 있습니다—Search에서 생성된 저장된 검색(SQL 및 PantherFlow) 예약할 수 없습니다. 대신 CLI 워크플로우나 Panther API를 사용하여 예약된 검색을 생성하고 업로드할 수 있습니다.

circle-info

예약된 검색에서 p_occurs_since 를 사용하는 것이 강력히 권장됩니다—아래에서 자세히 알아보세요.

예약된 검색만 생성한다고 해서 반환된 데이터가 탐지에 대해 실행되거나 신호생성되는 것은 아닙니다. 이를 위해서는 또한 예약된 규칙을 생성해야하며, 이를 예약된 검색과 연결해야 합니다.

circle-exclamation

고객이 구성한 Snowflake 계정: 예약된 검색이 실행될 때마다 회사는 데이터베이스 백엔드에 비용이 발생합니다. 검색이 지정된 시간 초과 기간 내에 완료될 수 있는지 확인하세요. 이는 Panther가 관리하는 Snowflake를 사용하는 계정에는 적용되지 않습니다.

Data Explorer에서 예약된 검색을 생성하는 방법

Data Explorer에서 생성한 저장된 검색을 예약하는 방법을 알아보려면 아래 지침 중 하나를 따르세요:

hashtag
조회 창을 정의하려면 p_occurs_since 예약된 검색에서 조회(lookback) 창을 정의하려면 Panther SQL 매크로를 사용하는 것이 강력히 권장됩니다

예약된 검색이 실행될 때, p_occurs_since.

의 "now" 시간은 실제 현재 시간이 아닌 예약된 시간으로 대체됩니다. 이는 조회 창을 정확하게 만듭니다. 각 실행마다 검색은 일정에 따라 시간이 앞으로 진행됩니다. p_occurs_since 를 사용하면 Snowflake 또는 클라우드 제공업체의 중단으로 인한 중단을 방지할 수 있습니다. 중단으로 인해 예약된 검색을 실행할 수 없는 경우 예약된 시간은 진행되지 않습니다. 중단이 복구되고 다시 쿼리를 실행할 수 있게 되면 예약된 검색은 일정에 따라 따라잡을 때까지 시간이 앞으로 진행됩니다. p_occurs_since 예약된 검색 crontab 사용 방법

hashtag
Panther의 예약된 검색 crontab은 분, 시간, 월의 일, 월, 요일의 다섯 필드로 구성된 표준 crontab 표기법을 사용합니다. 또한 검색 타임아웃 선택기(현재 최대값은 10분)가 있습니다. 표현식은 UTC에서 실행됩니다.

인터프리터는 표준 crontab 표기법의 일부 하위 집합을 사용합니다:

┌───────── 분 (0 - 59)

은 월요일부터 금요일까지) 또는 쉼표를 사용할 수 있습니다. 예를 들어1-5 에서 0,1,4 요일 필드에 입력하면 명령은 일요일, 월요일 및 목요일에만 실행됩니다. 현재 요일 이름이나 월 이름 사용은 지원되지 않습니다. crontab을 사용하면 기간 빈도 옵션보다 더 구체적으로 일정을 지정할 수 있습니다:

이메일 보고서를 생성하도록 예약된 검색을 구성하는 방법

The Cron expression screen displays options for selecting a time range for the scheduled query to run.

hashtag
이메일 보고서는 Panther 버전 1.115부터 오픈 베타 상태이며 모든 고객이 사용할 수 있습니다. 버그 보고서나 기능 요청은 Panther 지원 팀에 공유해 주세요.

circle-info

예약된 검색이 실행될 때마다 이메일 보고서를 보내도록 구성할 수 있습니다. 이메일 보고서에는 결과 다운로드 링크(결과가 0보다 큰 경우), Data Explorer에서의 검색 링크, 선택적으로 검색 결과를 포함한 CSV 첨부파일이 포함됩니다. 예약된 검색이 어떤 예약된 규칙과 연결되어 있으면 해당 예약된 규칙들은 반환된 데이터를 평소처럼 처리합니다.

이메일 보고서는 다음 주소에서 발송됩니다:

circle-info

[email protected] 입니다. 이메일이 스팸으로 분류되지 않도록 이 주소를 개인 또는 조직 허용 목록에 추가하는 것이 권장됩니다.이메일 보고서에 적용되는 다음 매개변수:

Under the Panther logo, a title reads, "1 events found by your scheduled search." Below that is a "Download search results as CSV" button.

각 이메일 보고서는 최대 10명의 수신자에게 보낼 수 있습니다.

  • CSV 첨부파일의 최대 크기는 10MB입니다. 쿼리 결과가 커서 CSV가 이 크기를 초과하면 CSV는 이메일에 첨부되지 않습니다.

  • 하루에 최대 20개의 이메일 보고서를 보낼 수 있으며 이는 Panther 인스턴스의 모든 예약된 검색에 걸쳐 합산됩니다.

  • 하루에 전송되는 이메일 보고서 수는 예약된 검색의 실행 빈도에 따라 달라집니다.

    • 예를 들어, 하루에 15개의 이메일 보고서를 보내는 예약된 검색 하나와 하루에 5개의 이메일 보고서를 보내는 다른 예약된 검색이 있다면, 기존 구성의 빈도를 줄이지 않는 한 추가 예약된 검색에 대해 이메일 보고서를 생성하도록 구성할 수 없습니다.

    • 이메일 보고서는 예약된 검색에서만 구성할 수 있습니다—

에서 필터 식과 함께 만든 검색은 검색 저장할 수는 있지만 예약할 수 PantherFlow 또는 없으므로 이메일 보고서를 생성하도록 구성할 수 없습니다. Panther 콘솔에서 예약된 검색이 이메일 보고서를 생성하도록 구성하는 방법 지침을 따르되이메일로 예약된 검색 결과

토글이

  1. 다음을 따르세요 Data Explorer에서 저장된 검색 또는 예약된 검색 생성 설정되어 있는지 확인하세요. 기존 예약된 검색을 구성하려면 해당 검색의 검색 업데이트 켜기.

    • 모달에 액세스하려면 다음을 따르세요 저장된 검색 메타데이터 업데이트 지침을 따르고, 다음을 설정하세요 이메일 보고서 설정 구성: 수신자 기존 예약된 검색을 구성하려면 해당 검색의 토글을 켜기.

      In a "Save Search" modal, various fields, such as "Tags" and "Description" are visible. An "Email scheduled search results" toggle is circled.

  2. : 최대 10명의 수신자를 선택하거나 입력하세요. 드롭다운 목록의 값은 Panther 콘솔의 사용자들이지만 추가 이메일 주소를 입력할 수도 있습니다.

    • 이메일에 CSV 데이터 첨부: 이메일 보고서에 쿼리 결과를 포함하는 CSV 첨부파일(최대 10MB)이 포함되기를 원하면

    • 토글하세요.검색이 0개의 결과를 반환하더라도 이메일 전송 켜기 검색이 0개의 결과를 생성하더라도 이메일 보고서를 보내려면

    • 설정하세요.검색이 0개의 결과를 반환하더라도 이메일 전송 켜기 CLI 워크플로우에서 예약된 검색이 이메일 보고서를 생성하도록 구성하는 방법

    Three toggles are shown: Email scheduled search results, Attach CSV data to the email, and Send an email even if search returns 0 results.

hashtag
저장된 검색을 삭제하거나 다운로드하는 방법

hashtag
저장된 검색을 개별적으로 또는 대량으로 삭제할 수 있습니다. 저장된 검색이 예약된 검색(즉, 예약된 검색인 경우)인 경우 삭제하려면 연결된 모든 예약된 규칙과의 연결을 해제해야 합니다.

조사

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 상자를 체크하세요. > 저장된 검색.

  2. 페이지 상단에서 다음 중 하나를 클릭하세요

  3. 만약 다운로드 또는 삭제. The top of the Saved Queries page is shown, with two buttons: "Download" and "Delete"

    • 를 클릭했다면, 다운로드saved_queries.zip 파일이 다운로드됩니다. 만약

    • 를 클릭했다면, 삭제라면, 주의! 모달이 표시됩니다. 클릭하세요 확인. A modal titled "Attention!" is shown, with the text, "Are you sure you want to delete these (2) selected Saved Queries" and there are "Cancel" and "Confirm" buttons

hashtag
예약된 검색 비활성화하는 방법

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 상자를 체크하세요. > 저장된 검색.

  2. 비활성화하려는 예약된 검색을 찾고 해당 타일의 오른쪽 상단에서 점 세 개 아이콘을 클릭하세요. The image shows a query from the list of queries in the Panther Console. In the right side, there is a red arrow pointing to the 3 dots icon.

  3. 드롭다운 메뉴에서 클릭하세요 검색 메타데이터 편집.

  4. 다음 저장된 검색 메타데이터 업데이트 양식에서 설정을 토글하세요 활성화되어 있습니까? 에서 OFF 쿼리를 비활성화하려면 The "Update Search" form is displayed. It contains fields for Search Name, Tags, Description, and Default Database. The toggle next to "Is it active?" is set to "Off."

  5. 클릭 쿼리 업데이트 를 클릭하여 변경사항을 저장하세요.

hashtag
이메일 보고서 설정 구성:

저장된 검색의 이름, 태그, 설명 및 기본 데이터베이스(예약된 검색의 경우 활성 여부, 빈도 및 이메일 보고서 설정):

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 상자를 체크하세요. > 저장된 검색.

  2. 을(를) 편집하려면 편집하려는 쿼리를 찾아 해당 타일의 오른쪽 상단에 있는 점 세 개 아이콘을 클릭하세요. The 3 dots icon is expanded to a dropdown menu. The option "Edit Search Metadata" is highlighted.

  3. 드롭다운 메뉴에서 클릭하세요 검색 메타데이터 편집.

  4. 필요에 따라 저장된 검색 메타데이터 업데이트 양식에서 변경하세요.

  5. 클릭 저장된 검색 메타데이터 업데이트.

hashtag
저장된 검색 검색하기

저장된 검색 페이지에서 다음을 사용하여 쿼리를 검색할 수 있습니다:

  • 쿼리 목록 상단의 검색창

  • 오른쪽 상단의 날짜 범위 선택기

  • 설정은 필터 오른쪽 상단의 옵션

    • 쿼리가 예약되었는지, 활성인지, 유형(네이티브 SQL, 검색, 또는 PantherFlow 검색)인지, 또는 최대 100개의 태그로 필터링할 수 있습니다.

in the Saved Searches list, use the date range or filters in the upper right corner to search for queries. In the image, the date range selector is circled and the Filters button is circled.

저장된 검색 이름을 클릭하면 쿼리가 채워진 상태로 바로 Data Explorer( 네이티브 SQL 쿼리용) 또는 Search( 검색PantherFlow 검색 검색용)로 이동합니다.

hashtag
사용 LIMIT예약된 검색의 s

Panther 데이터 레이크 설정 페이지에서 예약된 검색에 LIMIT 절이 지정되어 있는지 확인하는 설정을 선택적으로 활성화할 수 있습니다. 이 옵션은 예약된 검색이 의도치 않게 수천 개의 결과를 반환하여 경고 지연, 다운스트림 시스템에 대한 서비스 거부(DoS) 및 잘못 조정된 쿼리로 인한 일반적인 정리 오버헤드를 초래할 수 있다고 우려되는 경우에 사용하세요. LIMIT 타임아웃이 발생한 예약된 검색은 실패했음을 식별하기 위해

circle-info

를 생성합니다. 타임아웃이 발생할 경우, Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭하세요. 표시되는 드롭다운 메뉴에서

  1. 데이터 레이크 일반. The gear icon's dropdown menu is expanded, showing options for General, Users, User Roles, API Tokens, and API Playground.

  2. 다음 항목을 클릭하십시오 예약된 쿼리 탭을 클릭하십시오.

  3. 을 클릭하세요 헤더를 클릭하세요. 헤더 아래에서 LIMIT 절 토글 설정을 볼 수 있습니다: 설정을 토글하여 At the top, a tab labeled Data Lake is selected. Near the bottom of the screen, there is a header called "Scheduled Queries." The option "LIMIT Clause for Scheduled Queries" is set to "Off."

  4. 예약된 쿼리에 대한 LIMIT 절 LIMIT 을(를) 로 설정하여 예약된 쿼리에 LIMIT 강제 적용을 시작하세요. 켜기 이 필드가 The toggle next to "LIMIT Clause for Scheduled Queries" is set to "On."

로 설정되면, LIMIT 절이 쿼리 정의에 지정되지 않은 상태에서는 활성으로 표시된 모든 신규 예약된 검색을 저장할 수 없습니다. 켜기이미지는 쿼리 생성 화면을 보여줍니다. 상단에 빨간 배너가 있으며 "저장된 쿼리를 생성할 수 없습니다. 이 예약된 쿼리는 SQL 식에 LIMIT 절이 포함되어 있지 않습니다. 이 예약된 쿼리를 저장하려면 SQL 식에 LIMIT 절을 추가하세요."라고 적혀 있습니다.

LIMIT 절이 없는 기존 예약된 검색은 저장된 검색 목록에 경고 메시지와 함께 표시되며 LIMIT 절이 포함되지 않은 경우 편집을 저장할 수 없습니다.

이 설정은 저장된 검색 어디에든 LIMIT 절의 존재만 검사합니다. 외부 LIMIT 절인지 여부를 구체적으로 검사하지 않습니다.

A Scheduled Query without a LIMIT clause shows a warning banner that says "This Scheduled Query does not contain a LIMIT clause in the SQL expression."

Panther 콘솔에서 예약된 검색 내보내기

hashtag
Panther 콘솔에 있는 모든 탐지와 예약된 검색의 .zip 파일을 내보낼 수 있습니다:

업로드

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 탐지.

  2. 오른쪽 상단에서 클릭하십시오 대량 업로더.

  3. 다음 모달에서, 클릭하세요 모든 엔터티 다운로드 필수 필드는.

hashtag
저장된 검색 사양 참조

다음에 있습니다 굵게.

저장된 검색 사양 필드의 전체 목록:

를 작성하세요. 이 테스트는 규칙의
설명
로직에서

설정

이 분석이 규칙, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

saved_query

QueryName

UI에 표시할 친숙한 이름입니다.

문자열

태그

이 규칙을 분류하는 데 사용되는 태그입니다.

문자열 목록

설명

규칙에 대한 간단한 설명입니다.

문자열

Query

데이터 쿼리입니다. SQL로 작성되어야 합니다(즉, PantherFlow).

문자열

hashtag
예약된 검색 사양 참조

다음에 있습니다 굵게.

예약된 검색 사양 필드의 전체 목록:

를 작성하세요. 이 테스트는 규칙의
설명
로직에서

설정

이 분석이 규칙, 정책, 예약된 검색, 저장된 검색 또는 전역인지 여부를 나타냅니다.

scheduled_query

QueryName

UI에 표시할 친숙한 이름입니다.

문자열

활성화됨

이 규칙이 활성화되어 있는지 여부.

부울

태그

이 규칙을 분류하는 데 사용되는 태그입니다.

문자열 목록

설명

규칙에 대한 간단한 설명입니다.

문자열

Query

데이터 쿼리.

문자열

일정

이 쿼리가 실행되어야 하는 일정입니다. CronExpression 또는 Rate Minutes로 표현됩니다. TimeoutMinutes는 쿼리가 예상보다 오래 걸릴 경우 쿼리를 해제하기 위해 필요합니다. 크론과 Rate Minutes는 상호 배타적입니다.

객체를 추가하여 예약된 검색을 이메일 보고용으로 구성할 수 있습니다. 이 객체는 다음 중첩 필드를 함께 포함합니다:

제공된 경우, 예약된 검색에 대한 이메일 보고서를 생성할 수 있습니다. 다음의 세 가지 중첩 필드를 지원합니다:

  • (필수) 이메일에 CSV 데이터 첨부: 이메일 보고서를 보낼 각 이메일 주소를 포함하는 문자열 배열입니다. 최대 수신자 수는 10명입니다.

  • (선택) 아래의 필드에 대해 자세히 알아보세요.: 기본값이 true인 부울 필드입니다. 만약 부울 값로 설정하면 이메일 보고서에 예약된 검색 결과의 CSV 첨부파일이 포함됩니다(결과가 10MB 첨부 파일 크기 제한 내에 들어맞는 경우).

  • (선택) PreferAttachment: 기본값이 true인 부울 필드입니다. 만약 부울 값로 설정하면 예약된 검색이 0개의 결과를 생성하더라도 이메일 보고서가 전송됩니다.

Previous표준 필드Next템플릿화된 검색

Last updated

Was this helpful?