search
Knowledge BaseRelease NotesRequest Demo

저장 및 예약 검색

검색을 저장하고 필요에 따라 예약하기

hashtag
개요

Panther의 동일한 검색을 반복해서 생성하는 것을 데이터 탐색기검색 에 저장하여 방지할 수 있습니다. 또한 Data Explorer에서 생성된 검색을 예약할 수 있으며, 이렇게 하면 결과를 룰에 대해 실행할 수 있습니다. 이 워크플로에는 다음 기능이 포함됩니다:

기본적으로 각 Panther 계정은 최대 10개의 활성 Scheduled Search로 제한됩니다. 이 제한은 예방적 조치일 뿐이며 지원 요청을 통해 늘릴 수 있습니다. Panther에서 이 제한을 올리는 것에 대한 추가 비용은 없지만 처리되는 데이터량에 따라 데이터베이스 백엔드에서 추가 비용이 발생할 수 있습니다.

circle-info

에서 CLI 워크플로arrow-up-right에서는 Saved 및 Scheduled Search를 종종 쿼리라고 부릅니다.

hashtag
Saved Search를 생성하는 방법

Saved Search는 보존된 검색 표현식입니다. 팀이 자주 실행하는 검색을 저장하면 중복 작업을 줄일 수 있습니다. Panther 콘솔(검색 또는 Data Explorer 모두), CLI 워크플로(PAT) 또는 Panther API를 사용하여 Saved Search를 생성할 수 있습니다.

Saved Search에 변수를 추가하여 템플릿화된 쿼리(Templated Queries)를 생성할 수도 있습니다. 자세한 내용은 템플릿화된 쿼리 및 매크로.

Panther 콘솔에서 Saved Search를 생성하는 방법

Panther의 Data Explorer 또는 Search에서 검색을 저장할 수 있습니다. 두 도구에 저장된 검색은 Saved Search로 간주됩니다. 다음을 따르세요 Data Explorer에서 검색을 저장하는 방법에 대한 이 지침그리고 Search에서 검색을 저장하는 방법에 대한 이 지침.

hashtag
Scheduled Search를 생성하는 방법

Scheduled Search는 스케줄에 따라 실행되도록 구성된 Saved Search입니다. Panther 콘솔을 사용하면 현재 Data Explorer에서 생성된 Saved Search만 예약할 수 있습니다—검색(Search)에서 생성된 Saved Search( SQL 및 PantherFlow) 에서 생성된 것 포함 )은 예약할 수 없습니다. 대신 CLI 워크플로나 Panther API를 사용해 Scheduled Search를 생성하고 업로드할 수 있습니다.

circle-info

Scheduled Search에서 p_occurs_since 를 사용하는 것이 강력히 권장됩니다—아래에서 자세히 알아보세요.

Scheduled Search만 생성하는 것만으로는 반환된 데이터가 디택션에 대해 실행되거나 시그널을 생성하지 않습니다. 이를 위해서는 Scheduled Rule을 생성하고 이를 Scheduled Search와 연결해야 합니다.

circle-exclamation

고객이 구성한 Snowflake 계정: Scheduled Search가 실행될 때마다 회사의 데이터베이스 백엔드에 비용이 발생합니다. 검색이 지정된 타임아웃 기간 내에 완료될 수 있는지 확인하세요. 이 내용은 Panther에서 관리하는 Snowflake를 사용하는 계정에는 적용되지 않습니다.

Data Explorer에서 Scheduled Search를 생성하는 방법

Data Explorer에서 생성된 Saved Search를 예약하는 방법을 알아보려면 아래 지침 세트 중 하나를 따르세요:

hashtag
Panther API에서 Scheduled Search를 생성하는 방법 p_occurs_since 다음

을 사용하여 조회 기간(lookback window) 정의하기 p_occurs_since.

Scheduled Search에서 조회 기간을 정의하려면 Panther SQL 매크로를 사용하는 것이 강력히 권장됩니다 p_occurs_since Scheduled Search가 실행될 때, p_occurs_since 에서의 "now" 시간은 실제 현재 시간이 아니라 예약된 시간으로 대체됩니다. 이는 조회 기간을 정밀하게 만듭니다. 각 실행 시 검색은 스케줄에 따라 시간이 앞으로 진행됩니다.

hashtag
을 사용하면 Snowflake 또는 클라우드 공급자 장애로 인한 중단으로부터 보호됩니다. 장애로 인해 Scheduled Search를 실행할 수 없는 경우 예약된 시간은 진행되지 않습니다. 장애가 복구되어 쿼리를 다시 실행할 수 있게 되면 Scheduled Search는 현재 스케줄에 따라 따라잡을 때까지 시간이 앞으로 진행됩니다.

Scheduled Search crontab 사용 방법

Panther의 Scheduled Search crontab은 분, 시, 일(월 중), 월, 요일의 다섯 필드로 구성된 표준 crontab 표기법을 사용합니다. 또한 검색 타임아웃 선택기(현재 최대값이 10분으로 설정됨)가 있습니다. 표현식은 UTC에서 실행됩니다.

↓ ↓ ↓ ↓ ↓1-5 요일을 일 단위로 지정하려면 대시(예: 0,1,4 는 월요일부터 금요일까지) 또는 쉼표로 구분할 수 있습니다. 예를 들어 요일 필드는 일요일, 월요일 및 목요일에만 명령을 실행합니다. 현재는 요일 이름이나 월 이름 사용을 지원하지 않습니다.

crontab을 사용하면 기간(Period) 빈도 옵션보다 스케줄을 더 구체적으로 지정할 수 있습니다:

The Cron expression screen displays options for selecting a time range for the scheduled query to run.

hashtag
Scheduled Search를 이메일 보고서 생성하도록 구성하는 방법

Scheduled Search를 실행할 때마다 이메일 보고서를 보내도록 구성할 수 있습니다. 이메일 보고서에는 결과(0개 초과일 경우)에 대한 다운로드 링크, Data Explorer의 검색 링크, 선택적으로 검색 결과가 포함된 CSV 첨부파일이 포함됩니다. Scheduled Search가 어떤 Scheduled Rule과 연결되어 있는 경우 해당 Scheduled Rule은 반환된 데이터를 평소대로 처리합니다.

circle-info

이메일 보고서는 다음 주소에서 발송됩니다 [email protected]. 스팸으로 분류되는 것을 피하려면 이 주소를 개인 또는 조직의 허용 목록에 추가하는 것이 권장됩니다.

Under the Panther logo, a title reads, "1 events found by your scheduled search." Below that is a "Download search results as CSV" button.

이메일 보고서에 적용되는 다음 매개변수가 있습니다:

  • 각 이메일 보고서는 최대 10명의 수신자에게 보낼 수 있습니다.

  • CSV 첨부파일의 최대 크기는 10MB입니다. 쿼리 결과가 커서 CSV가 이 크기를 초과하면 CSV는 이메일에 첨부되지 않습니다.

  • Panther 인스턴스의 모든 Scheduled Search를 합쳐 하루에 최대 20개의 이메일 보고서를 보낼 수 있습니다.

    • 하루에 전송되는 이메일 보고서 수는 Scheduled Search가 실행되는 빈도에 따라 달라집니다.

    • 예를 들어 하루에 15개의 이메일 보고서를 보내는 Scheduled Search 하나와 하루에 5개의 이메일 보고서를 보내는 다른 Scheduled Search가 있는 경우, 기존 구성의 빈도를 줄이지 않는 한 추가 Scheduled Search를 이메일 보고서 생성용으로 구성할 수 없습니다.

이메일 보고서는 Scheduled Search에 대해서만 구성할 수 있습니다— 검색 에서 PantherFlow 또는 필터 표현식 을 사용한 검색은 저장할 수는 있지만 예약할 수는없으므로 이메일 보고서를 생성하도록 구성할 수 없습니다.

Panther 콘솔에서 Scheduled Search가 이메일 보고서를 생성하도록 구성하는 방법

  1. 다음 지침을 따라 Data Explorer에서 Saved 또는 Scheduled Search 생성 Email scheduled search results 토글이 켜짐(ON)으로 설정되어 있는지 확인하세요. 켜짐.

    • 기존 Scheduled Search를 구성하려면 해당 검색 업데이트 모달에 액세스하려면 다음을 따라 Saved Search의 메타데이터 업데이트 지침을 따르고 토글을 토글이 로 설정하세요. 켜짐.

      In a "Save Search" modal, various fields, such as "Tags" and "Description" are visible. An "Email scheduled search results" toggle is circled.

  2. 이메일 보고서 설정 구성:

    • 수신자: 최대 10명의 수신자를 선택하거나 입력하세요. 드롭다운 목록의 값은 Panther 콘솔의 사용자들이지만 추가 이메일 주소를 직접 입력할 수도 있습니다.

    • 이메일에 CSV 데이터 첨부: 쿼리 결과가 포함된 CSV 첨부파일(최대 10MB)을 이메일 보고서에 포함하려면 켜짐 토글하세요.

    • 검색 결과가 0개여도 이메일 전송: 쿼리 결과가 포함된 CSV 첨부파일(최대 10MB)을 이메일 보고서에 포함하려면 켜짐 : Scheduled Search가 0개의 결과를 생성하더라도 이메일 보고서를 보내려면

    Three toggles are shown: Email scheduled search results, Attach CSV data to the email, and Send an email even if search returns 0 results.

hashtag
저장된 검색 및 스케줄된 검색 사용하기

hashtag
저장된 검색을 삭제하거나 다운로드하는 방법

저장된 검색은 개별적으로 또는 일괄로 삭제할 수 있습니다. 저장된 검색이 스케줄된 검색(즉, Scheduled Search)인 경우에는 삭제하려면 연관된 Scheduled 룰에서 링크를 해제해야 합니다.

  1. Panther 콘솔의 왼쪽 탐색 모음에서 조사 > 저장된 검색.

  2. 저장된 검색 목록에서 다운로드하거나 삭제하려는 검색을 찾습니다. 각 검색 이름 왼쪽의 확인란을 선택하세요.

  3. 페이지 상단에서, 다운로드 또는 삭제. The top of the Saved Queries page is shown, with two buttons: "Download" and "Delete"

    • 을(를) 클릭했다면 다운로드, saved_queries.zip 파일이 다운로드됩니다.

    • 을(를) 클릭했다면 삭제, 주의! 모달이 나타납니다. 클릭하세요 확인. A modal titled "Attention!" is shown, with the text, "Are you sure you want to delete these (2) selected Saved Queries" and there are "Cancel" and "Confirm" buttons

hashtag
스케줄된 검색 비활성화하는 방법

  1. Panther 콘솔의 왼쪽 탐색 모음에서 조사 > 저장된 검색.

  2. 비활성화하려는 스케줄된 검색을 찾은 다음, 해당 타일의 오른쪽 상단에서 점 3개 아이콘을 클릭합니다. The image shows a query from the list of queries in the Panther Console. In the right side, there is a red arrow pointing to the 3 dots icon.

  3. 드롭다운 메뉴에서 클릭하세요 검색 메타데이터 편집.

  4. 에서 검색 업데이트 폼에서 설정을 전환하세요 활성 상태인가요?OFF 로 쿼리를 비활성화합니다. The "Update Search" form is displayed. It contains fields for Search Name, Tags, Description, and Default Database. The toggle next to "Is it active?" is set to "Off."

  5. 클릭하세요 쿼리 업데이트 하여 변경 사항을 저장합니다.

hashtag
Saved Search의 메타데이터 업데이트

저장된 검색의 이름, 태그, 설명 및 기본 데이터베이스(스케줄된 검색의 경우 활성 여부, 빈도 및 이메일 보고서 설정):

  1. Panther 콘솔의 왼쪽 탐색 모음에서 조사 > 저장된 검색.

  2. 편집하려는 쿼리를 찾아 해당 타일의 오른쪽 상단에 있는 점 3개 아이콘을 클릭하세요. The 3 dots icon is expanded to a dropdown menu. The option "Edit Search Metadata" is highlighted.

  3. 드롭다운 메뉴에서 클릭하세요 검색 메타데이터 편집.

  4. 필요에 따라 검색 업데이트 폼에서 변경하세요.

  5. 클릭하세요 검색 업데이트.

hashtag
저장된 검색 검색하기

저장된 검색 페이지에서 다음을 사용하여 쿼리를 검색할 수 있습니다:

  • 쿼리 목록 상단의 검색 표시줄

  • 오른쪽 상단의 날짜 범위 선택기

  • The 필터 오른쪽 상단의 옵션

    • 쿼리가 예약되었는지, 활성 상태인지, 유형(Native SQL, 검색 또는 PantherFlow Search), 또는 최대 100개의 태그로 필터링합니다.

in the Saved Searches list, use the date range or filters in the upper right corner to search for queries. In the image, the date range selector is circled and the Filters button is circled.

저장된 검색의 이름을 클릭하면 쿼리가 채워진 상태로 Data Explorer(쿼리의 경우) 또는 Search(검색의 경우)로 바로 이동합니다. Native SQL 쿼리의 경우) 또는 Search(검색의 경우)로 바로 이동합니다. 검색PantherFlow Search 쿼리가 채워진 상태로.

hashtag
사용 LIMIT를 예약된 검색에서

Panther Data Lake 설정 페이지에서, 예약된 검색에 LIMIT 절이 지정되어 있는지 확인하는 설정을 선택적으로 활성화할 수 있습니다. LIMIT 이 옵션은 예약된 검색이 의도치 않게 수천 개의 결과를 반환하여 알러트 지연, 하류 시스템에 대한 서비스 거부(DoS), 부적절하게 조정된 쿼리로 인한 정리 오버헤드를 초래할 수 있다고 우려되는 경우 사용하세요.

circle-info

타임아웃이 발생한 예약된 검색은 System Error 을 생성하여 예약된 검색이 실패했음을 식별합니다.

  1. Panther 콘솔의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭합니다. 표시되는 드롭다운 메뉴에서 General. The gear icon's dropdown menu is expanded, showing options for General, Users, User Roles, API Tokens, and API Playground.

  2. 을 클릭합니다. Data Lake 탭을 클릭합니다.

  3. 다음으로 스크롤하여 Scheduled Queries 헤더를 찾습니다. 헤더 아래에서 LIMIT 절 토글 설정을 볼 수 있습니다: At the top, a tab labeled Data Lake is selected. Near the bottom of the screen, there is a header called "Scheduled Queries." The option "LIMIT Clause for Scheduled Queries" is set to "Off."

  4. 다음의 토글을 LIMIT Clause for Scheduled Queries 설정으로 켜짐 전환하여 예약된 쿼리에서 LIMIT를 적용하기 시작합니다. The toggle next to "LIMIT Clause for Scheduled Queries" is set to "On."

이 필드가 켜짐로 설정되면, LIMIT 절이 쿼리 정의에 지정되지 않은 경우 활성으로 표시된 새 예약된 검색을 저장할 수 없습니다.

이미지에는 쿼리 생성 화면이 표시됩니다. 상단에 빨간 배너가 있으며 "Unable to create Saved query. This scheduled query does not contain a LIMIT clause in the SQL expression. Update the SQL expression to add a LIMIT clause to save this scheduled query."라고 적혀 있습니다.

LIMIT 절이 없는 기존 예약된 검색은 저장된 검색 목록에 경고 메시지와 함께 표시되며, LIMIT 절이 포함되지 않으면 편집을 저장할 수 없습니다.

A Scheduled Query without a LIMIT clause shows a warning banner that says "This Scheduled Query does not contain a LIMIT clause in the SQL expression."

이 설정은 저장된 검색 내의 어디에든 LIMIT 절이 존재하는지만 확인합니다. 외부 LIMIT 절인지 여부는 구체적으로 확인하지 않습니다.

hashtag
Panther 콘솔에서 예약된 검색 내보내기

Panther 콘솔에 있는 모든 디텍션과 예약된 검색의 .zip 파일을 내보낼 수 있습니다:

  1. Panther 콘솔의 왼쪽 탐색 모음에서 Detections.

  2. 오른쪽 상단에서 Upload.

  3. 에서 Bulk Uploader 모달에서, Download all entities.

hashtag
Saved Search 명세 참조

필수 필드는 굵게.

저장된 검색 사양 필드의 전체 목록:

필드 이름
설명
기대 값

AnalysisType

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 글로벌인지 여부를 나타냅니다.

saved_query

QueryName

UI에 표시할 친근한 이름입니다.

String

Tags

이 룰을 분류하는 데 사용되는 태그입니다.

문자열 목록

설명

룰에 대한 간단한 설명입니다.

String

Query

데이터 쿼리입니다. SQL로 작성되어야 합니다(예: 다음은 불가합니다 PantherFlow).

String

hashtag
Scheduled Search 명세 참조

필수 필드는 굵게.

예약된 검색 사양 필드의 전체 목록:

필드 이름
설명
기대 값

AnalysisType

이 분석이 룰, 정책, 예약된 검색, 저장된 검색 또는 글로벌인지 여부를 나타냅니다.

scheduled_query

QueryName

UI에 표시할 친근한 이름입니다.

String

Enabled

이 룰이 활성화되어 있는지 여부입니다.

Boolean

Tags

이 룰을 분류하는 데 사용되는 태그입니다.

문자열 목록

설명

룰에 대한 간단한 설명입니다.

String

Query

데이터 쿼리입니다.

String

Schedule

이 쿼리가 실행되어야 하는 스케줄입니다. CronExpression으로 표현하거나 Rate Minutes로 표현합니다. 예상보다 오래 걸릴 경우 쿼리를 해제하기 위해 TimeoutMinutes가 필요합니다. cron과 rate minutes는 상호 배타적임에 유의하세요.

Map

YAML 파일의 루트 레벨에

제공된 경우, 이메일 보고서 생성 예약된 검색을 위해. 세 개의 중첩 필드를 지원합니다:

  • (필수) 수신자: 각 항목에 이메일 주소가 포함된 문자열 배열로, 이메일 보고서를 보낼 수신자입니다. 최대 10명의 수신자가 있습니다.

  • (선택 사항) PreferAttachment: 기본값이 false인 불린 필드입니다. 설정된 경우 true, 이메일 보고서에는 예약된 검색 결과의 CSV 첨부 파일이 포함됩니다(결과가 10MB 첨부 파일 크기 제한 내에 있을 경우).

  • (선택 사항) 객체를 추가하고 함께 구성하여 Scheduled Search를 이메일 보고용으로 설정할 수 있습니다. 또한: 기본값이 false인 불린 필드입니다. 설정된 경우 true, 예약된 검색이 결과를 생성하지 않더라도 이메일 보고서가 전송됩니다.

Map

이전표준 필드다음템플릿 검색

마지막 업데이트

도움이 되었나요?