> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/search/search-tool.md). # 검색 ## 개요 Panther의 Search 도구에서 SQL을 작성하지 않고 로그 이벤트, 룰 매치 등 모든 데이터를 검색할 수 있습니다. 드롭다운 필드를 사용하여 필터 표현식을 만들고, 이를 사용해 그룹화할 수 있습니다 `AND` 그리고 `또는` 기능입니다. 또한 실행할 수도 있습니다 [PantherFlow](/ko/pantherflow.md) Search에서 쿼리를 실행할 수도 있습니다—여기에는 생성용으로도 포함됩니다 [시각화](/ko/pantherflow/operators/visualize.md) 에 추가할 수 있는 [사용자 지정 대시보드](/ko/search/visualization-and-dashboards/custom.md). 필터 표현식은 다음과 같이 다양한 방식으로 구성할 수 있습니다: [키/값 쌍](#key-value-filter-expression), [자유 텍스트](#free-text-filter-expression) 검색, 또는 [정규 표현식](#regular-expression-regex-filter-expression) 검색. 이들 각각은 또한 [와일드카드 문자](#using-wildcards-in-filter-expressions). 하나의 검색에서 다양한 유형의 필터 표현식을 결합할 수 있습니다.
In the Search page in Panther, there are two conditions joined by "OR" : "Source Domain is apigateway.amazonaws.com" and ".*aws:.*admin.*". Below the search conditions is a histogram, followed by a results table.
검색을 실행하면 결과 이벤트의 시간에 따른 분포를 시각화한 히스토그램 아래에 결과 테이블이 표시됩니다. 결과 테이블은 사용자 지정할 수 있으며, 다음이 가능합니다: [이벤트 필드를 추가하거나 제거](#adding-removing-and-reordering-fields-in-the-results-table) 하여 열로 표시할 수 있습니다. 또한 결과 테이블에서 [포함/제외 필터를 추가](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results) 하여 검색에 적용하고, 피벗하며, [관련 보강 데이터를 조회](#how-to-explore-enrichment-data-for-a-value-from-results). 또한 [Panther AI를 사용해 결과 집합을 요약할 수 있습니다](#panther-ai-search-results-summary). 다음을 할 수 있습니다 [팀과 협업하거나](#sharing-a-search) 결과 테이블을 다운로드하거나 Panther에서 특정 검색 링크를 공유하여 협업할 수 있습니다. ## Search 사용 방법 다음을 사용해 데이터를 효과적으로 검색할 수 있습니다: * 필터 조합: 먼저 다음에서 항목을 선택하여 시작합니다 [데이터베이스, 테이블 및 날짜 범위 필터](#using-database-table-and-date-range-filters)—그런 다음 [직접 필터 표현식을 만듭니다](#creating-filter-expressions). * PantherFlow: [아래에서 Search에서 PantherFlow를 사용하는 방법을 알아보세요](#using-pantherflow-in-search) ### 데이터베이스, 테이블 및 날짜 범위 필터 사용 데이터베이스, 테이블 및 날짜 범위 필터를 사용하여 검색 범위를 좁히세요. 이 컨트롤은 선택 사항이지만, 대규모 데이터 세트에서 검색할 때 성능을 크게 향상시킬 수 있습니다. 아래에서 각 필터에 대해 자세히 알아보세요. {% hint style="info" %} 만약 [PantherFlow 쿼리를 작성하면](#using-pantherflow-in-search) Search에서 Panther는 쿼리 텍스트를 데이터베이스, 테이블 및 날짜 범위 필터 값과 동기화된 상태로 유지하려고 합니다. 자세한 내용은 [PantherFlow 쿼리 텍스트 및 필터 동기화](#pantherflow-query-text-and-filter-syncing). {% endhint %}
The Search UI in Panther is shown. Three dropdowns in the upper-right corner are shown. The first has a selection of "Logs," the second has a selection of "All tables," and the third has a value of "Last 24 hours."
#### 데이터베이스 필터 데이터베이스 필터를 사용하여 검색을 특정 데이터베이스로 좁히세요. 예를 들어 다음만 **로그** 또는 **룰 매치**. 이 필터의 기본값은 **로그**입니다. 데이터베이스 필터에 포함된 옵션은 다음과 같습니다: * 룰 매치 * 로그 * 룩업 * 모니터 * 클라우드 보안 * 룰 오류 * 시그널
Three dropdown fields are shown. The first one is open, and the checkbox next to "Logs" is selected. The middle dropdown has a selection of "All tables" made, and the third has a selection of "Last 24 hours."
#### 테이블 필터 테이블 필터를 사용하여 다음에서 지정한 데이터베이스 내의 특정 테이블로 검색을 좁히세요 [데이터베이스 필터](#database-filter). 이 필터의 기본값은 **모든 테이블**에는 포함된 각 데이터베이스의 모든 테이블이 포함됩니다. 이 드롭다운에서 특정 테이블만 선택하여 검색 범위를 좁힐 수 있습니다.
Three dropdowns are shown: in the first, "Monitor" is selected. the second one is open, and the checkbox next to "Classification Failures" is checked. In the third dropdown, "Last month" is selected.
#### 날짜 범위 필터 날짜 범위 필터를 사용하여 검색을 특정 기간으로 좁히세요. 이 필터의 기본값은 **최근 20분**. 다음과 같은 사전 설정된 상대 옵션 중 하나를 사용할 수 있습니다 **최근 1시간** 또는 **지난주**), 또는 다음을 사용해 사용자 지정 상대 기간을 설정할 수 있습니다 **상대 시간**, 다음으로 시간 제약을 제거하거나 **전체 시간**, 또는 다음으로 특정 기간을 설정할 수 있습니다 **사용자 지정 범위**. 사용자 지정 범위를 사용할 때는 다음 사항에 유의하세요 [Search에서 시간대가 사용되는 방식](#time-zones-in-search).
A dropdown field with the selection "Last 20 mins" is shown. It is expanded and multiple options are shown, including "Last 3 months" and "All time".
Two fields are shown: one is a numerical field with increase/decrease arrows, and the other is a dropdown with the value "mins" selected. At the bottom are "Cancel" and "Apply" buttons.
A date and time picker is shown. On the left-hand side there are preset relative values, like "Last hour," "Last 3 days," etc. On the right-hand side is a calendar picker, as well as dropdown fields to select the time. At the bottom are "Cancel" and "Apply" buttons.
### Search의 시간대 Panther Console의 **UTC 시간대 표시** [설정이](/ko/system-configuration.md#main-info-and-preferences) 있거나 `켬`이면, Search 도구는 타임스탬프를 표시할 때마다 협정 세계시(UTC)를 사용합니다. 설정이 `끔`이면, Search 도구는 다음 위치에서 타임스탬프를 표시할 때 로컬 시간대를 사용합니다: * 다음에서 사용자 지정 범위를 만들 때 [날짜 범위 필터](#date-range-filter):\ ![Two dates/times are shown, labeled "Time From (Local)" and "Time To (Local)"](/files/fc583e9efec4e4111af472f2dc11a39e92b2332d) * 다음에서 [키/값 필터 표현식](#key-value-filter-expression) 에서 값이 타임스탬프인 경우:\ ![The words "Parse Time is after 07/15/2025 12:15" are shown.](/files/e8df29650badd69e55e264bdf40da93d6a78bd55) * 결과 테이블에서 `시간` 열:\ ![Under a header reading "675,333 events" a "TIME (LOCAL)" column header is circled.](/files/e8a99cebb588ceff70e86b47d9f636b5a5433ccc) * 결과 테이블의 다른 타임스탬프 열(즉, `시간`에 해당하지 않는 열)은 여전히 UTC로 표시됩니다.\ ![A column with the header "Parse Time" is circled.](/files/28b9e6a12b965c42162fa5cd4cfd59d773e7d60d) * 타임스탬프(다음을 포함한 `p_event_time`)는 이벤트에서 다음의 두 곳 모두에서 표시되며 [JSON 이벤트 슬라이드아웃 패널](#json-event-slide-out-panel) 및 [`이벤트` 결과 테이블의 열](#viewing-full-result-events) 은 여전히 UTC로 표시됩니다.
Under a "Search" header, there is a filter chip and a results tab shown. A slide-out panel on the right side has a "Time" at the top, which is circled.
### 필터 표현식 만들기 필터 표현식은 다음을 포함하는 절입니다 [키/값 검색 로직](#key-value-filter-expression), [자유 검색어](#free-text-filter-expression), 또는 [일치 패턴](#regular-expression-regex-filter-expression). 필터 표현식을 만들려면 다음을 클릭하세요 **검색 필터 추가** 막대 또는 필터 표현식 추가 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions).
The Search tool is shown. The search bar, which has placeholder text of "Add search filter," is empty. It is circled.
#### 키/값 필터 표현식 키/값 필터 표현식에서는 이벤트 키를 선택하고 필요한 경우 값을 제공합니다.
In the Search bar is one filter expression. It reads "Emails has john.doe@email.com"
키/값 필터 표현식을 만들려면: 1. 다음을 클릭합니다: **검색 필터 추가** 막대 또는 필터 표현식 추가 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions). 2. 드롭다운 목록에서 이벤트 키를 선택하세요. 드롭다운 메뉴에는 다음 범주로 그룹화된 옵션이 포함되어 있습니다: * **Panther 필드**: 포함 [지표 필드](/ko/search/panther-fields.md#indicator-fields) (다음으로도 알려짐 `p_any` 필드), 그리고 [핵심 필드](/ko/search/panther-fields.md#core-fields) (`p_udm` 필드), 로그 유형 전체를 검색할 때 유용합니다.\ ![In the Search bar, a dropdown shows "Panther Fields" including Actor IDs, AWS Account IDs, and AWS ARNs](/files/baf740c34e6f42b57c99f9875e65901e1e89f2bd) * **여러 테이블:** 둘 이상의 로그 유형에서 발견되는 필드입니다.\ ![In the Search bar, there is a dropdown showing "Multiple Tables" options, including apiVersion, kind, and level](/files/6a02430d339ac4a926fddabbac13669c2533d4bc) * 일치하는 필드가 있는 나머지 모든 테이블은 알파벳순으로 표시됩니다. 3. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택하세요. * 드롭다운 옵션은 선택한 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다. * 사용 가능한 연산자의 전체 목록은 다음에서 확인하세요 [Search 필터 연산자](/ko/search/search-tool/filter-operators.md). 4. 선택한 연산자가 값을 요구하는 경우 값을 입력하세요. * 다음 사용 방법에 대해 자세히 알아보세요 [아래의 와일드카드 문자](#using-wildcards-in-filter-expressions). 5. 다른 필터 표현식을 만들려면: * 다음과 같은 `AND` 필터를 만들려면, 방금 만든 표현식 밖이지만 같은 가로 막대 안을 클릭하거나 `TAB`. * 다음과 같은 `또는` 필터를 만들려면 **+ OR 조건 추가**. 6. 검색을 실행할 준비가 되면 다음을 클릭하세요 **검색** 또는 다음을 누르세요 `ENTER`. * 행이 두 개를 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 다음을 클릭하세요 **+n 조건 표시**. {% hint style="info" %} 또한 빠르게 [결과 집합에서 키/값 필터 표현식을 만들 수 있습니다](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results) 초기 검색의 {% endhint %} #### 자유 텍스트 필터 표현식 자유 텍스트 필터 표현식에서는 문자열을 입력합니다. {% hint style="info" %} 자유 텍스트 필터 표현식은 복잡한 객체에 중첩된 필드를 포함하여(데이터베이스, 테이블 및 날짜 제약 내에서) 모든 이벤트의 모든 필드를 검색하므로, 검색 실행 시간이 오래 걸릴 수 있습니다. 자유 텍스트 필터 표현식을 사용하는 동안 검색 성능을 향상시키려면 [테이블의 하위 집합을 선택하여](#table-filter) 검색하세요. {% endhint %} 자유 텍스트 필터 표현식을 만들려면: 1. 다음을 클릭합니다: **검색 필터 추가** 막대 또는 필터 표현식 추가 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions). 2. 텍스트 값을 입력하세요. * 다음 사용 방법에 대해 자세히 알아보세요 [아래의 와일드카드 문자](#using-wildcards-in-filter-expressions). 3. 다른 필터 표현식을 만들려면: * 다음과 같은 `AND` 필터를 만들려면, 방금 만든 표현식 밖이지만 같은 가로 막대 안을 클릭하거나 `TAB`. * 다음과 같은 `또는` 필터를 만들려면 **+ OR 조건 추가**. 4. 검색을 실행할 준비가 되면 다음을 클릭하세요 **검색** 또는 다음을 누르세요 `ENTER`. * 행이 두 개를 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 다음을 클릭하세요 **+n 조건 표시**. #### 정규 표현식(regex) 필터 표현식 Search에서 regex를 사용하면 로그 전반의 동적 텍스트 기반 검색에 강력합니다. Search는 다음을 지원합니다 [POSIX 확장 정규 표현식](https://pubs.opengroup.org/onlinepubs/9699919799/basedefs/V1_chap09.html#tag_09_04).
A single filter expression is created in the Search bar. It reads ".*aws:.*admin.*"
regex 필터 표현식을 만들려면: 1. 다음을 클릭합니다: **검색 필터 추가** 막대 또는 필터 표현식 추가 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions). 2. regex 모드로 들어가려면 regex를 사용하세요 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions). * regex 모드를 종료하려면 동일한 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions). 3. 검색하려는 정규 표현식을 입력하세요. 예: `.*aws:.*admin.*`. * 다음 사용 방법에 대해 자세히 알아보세요 [아래의 와일드카드 문자](#using-wildcards-in-filter-expressions). 4. 다른 필터 표현식을 만들려면: * 다음과 같은 `AND` 필터를 만들려면, 방금 만든 표현식 밖이지만 같은 가로 막대 안을 클릭하거나 `TAB`. * 다음과 같은 `또는` 필터를 만들려면 **+ OR 조건 추가**. 5. 검색을 실행할 준비가 되면 다음을 클릭하세요 **검색** 또는 다음을 누르세요 `ENTER`. * 행이 두 개를 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 다음을 클릭하세요 **+n 조건 표시**. ### 필터 표현식에서 와일드카드 사용하기 와일드카드 문자(`*`)는 문자열이나 표현식의 시작, 중간 또는 끝에서 자리표시자로 사용할 수 있습니다. 와일드카드 문자는 다음 내에서 사용할 수 있습니다 [키/값 필터 표현식](#key-value-filter-expression) (키에 다음이 있는 경우에만 `type: string` 및 연산자가 `LIKE`), [자유 텍스트 필터 표현식](#free-text-filter-expression), 또는 [regex 필터 표현식](#regular-expression-regex-filter-expression). 와일드카드 문자의 위치에 따라 일치로 반환되는 데이터가 결정됩니다: * 시작: 다음과 같거나 그 앞의 모든 문자 `*` 는 일치로 간주됩니다. * 중간: 다음의 모든 문자 `*` 는 일치로 간주됩니다. * 끝: 다음과 같거나 그 뒤의 모든 문자 `*` 는 일치로 간주됩니다.
In the Search page in Panther are three conditions: "Log Type is not Windows.EventLogs", "Log Type like AWS*Flow", and "ACCE*". Below is a histogram, followed by a results table.
### 침해 지표 검색 {% hint style="warning" %} 이 기능은 다음으로 검색할 때 사용할 수 없습니다 [PantherFlow](/ko/pantherflow.md). {% endhint %} 공개 침해 공개 또는 일반적인 위협 헌팅에 대응할 때, 조직의 이벤트 로그 전반에서 침해 지표(IoC) 목록의 값이 발견되는지 빠르게 확인해야 할 수 있습니다. Search에서 IoC를 검색하려면: 1. 다음을 설정하세요 [데이터베이스, 테이블 및 날짜 범위 필터](#using-database-table-and-date-range-filters) 선택. 2. 다음을 클릭합니다: **검색 필터 추가** 막대 또는 필터 표현식 추가 [키보드 단축키](#keyboard-shortcuts-for-filter-expressions). 3. 지표 또는 지표 목록을 입력하거나 붙여넣으세요. 4. 표시되는 드롭다운 옵션에서 다음을 선택하세요 **(자동 감지)** 옵션. * Search는 공백, 쉼표, 세미콜론이 있는 입력 문자열을 파싱한 다음 각 값이 다음과 일치하는지 감지합니다 [Panther 지표 필드](/ko/search/panther-fields.md#indicator-fields). 감지된 각 지표 필드에 대해 Search는 다음을 생성합니다 [키/값 필터 표현식](#key-value-filter-expression). 다른 값들은 그대로 [자유 텍스트 표현식으로 남습니다](#free-text-filter-expression). * 각 필터 표현식은 다음으로 연결됩니다 `또는`. 5. 다음을 클릭합니다: **검색** 또는 다음을 누르세요 `ENTER`. #### 동영상 안내 {% embed url="" %} ### 필터 표현식용 키보드 단축키 Search에서 필터 표현식을 만들 때 아래 키보드 단축키를 사용하세요:
동작MacWindows/Linux
필터 표현식 추가\nregex 모드 진입 또는 종료⌘/⌃/
현재 그룹의 모든 필터 선택⌘A⌃A
선택한 필터 복사⌘C⌃C
붙여넣기⌘V⌃V
실행 취소⌘Z⌃Z
다시 실행⇧⌘Z⇧⌃Z
선택한 필터 삭제
### Search에서 PantherFlow 사용하기 {% hint style="info" %} PantherFlow는 Panther 버전 1.110부터 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원팀에 공유해 주세요. {% endhint %} 다음을 실행하려면 [PantherFlow](/ko/pantherflow.md) Search에서 쿼리: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **조사** > **검색**. 2. 다음의 왼쪽에서 [데이터베이스 필터](#database-filter)PantherFlow 모드 토글을 클릭하세요. * 그러면 필터 표현식 빌더가 자연어 입력 필드와 PantherFlow 코드 편집기로 대체됩니다.
3. PantherFlow 코드 편집기에서 쿼리를 입력하세요(또는 [자연어로 쿼리를 설명하세요](#ai-powered-pantherflow-query-generation) 위의 텍스트 상자에). * 쿼리를 입력하는 동안 [데이터베이스, 테이블 및 날짜 범위 필터](#using-database-table-and-date-range-filters) 페이지 오른쪽 상단의 항목은 PantherFlow 쿼리 텍스트와 동기화된 상태로 유지됩니다. 자세한 내용은 [PantherFlow 쿼리 텍스트 및 필터 동기화](#pantherflow-query-text-and-filter-syncing). * 다음에서 PantherFlow 쿼리를 구성하는 방법을 알아보세요 [PantherFlow 문서](/ko/pantherflow.md). * 현재 [PantherFlow의 제한 사항에 유의하세요](/ko/pantherflow.md#limitations-of-pantherflow). 4. 다음을 클릭합니다: **검색**. #### PantherFlow 쿼리 텍스트 및 필터 동기화 {% hint style="info" %} PantherFlow 쿼리 텍스트 및 필터 동기화는 Panther 버전 1.116부터 공개 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요. {% endhint %} PantherFlow 쿼리를 입력하거나 다음을 업데이트하면 [데이터베이스, 테이블 및 날짜 범위 필터](#using-database-table-and-date-range-filters) PantherFlow 쿼리를 입력한 후의 값들을 Panther가 쿼리 텍스트와 필터 값을 동기화된 상태로 유지하려고 합니다. {% hint style="info" %} PantherFlow 쿼리 텍스트와 필터를 동기화할 수 없으면 PantherFlow 쿼리 텍스트가 우선하며 필터 값(들)은 무시됩니다. {% endhint %} PantherFlow 쿼리를 입력하거나 업데이트하면 필터 값이 변경됩니다: * PantherFlow 쿼리에서 데이터베이스 또는 테이블을 지정하면 다음이 업데이트됩니다 [데이터베이스](#database-filter) 그리고 [테이블](#table-filter) 필터 값이 각각 업데이트됩니다. * 날짜/시간 범위를 지정하면( `| where p_event_time...` 문)를 PantherFlow 쿼리에 사용하면 다음이 업데이트됩니다 [날짜 범위 필터](#date-range-filter). PantherFlow 쿼리를 입력한 후 다음을 업데이트하면 [데이터베이스, 테이블 또는 날짜 범위 필터](#using-database-table-and-date-range-filters) 가 PantherFlow 쿼리 텍스트를 변경하도록 합니다: * 필터 값을 업데이트할 때 PantherFlow 쿼리에 이미 해당 값이 지정되어 있으면(예: 다음을 업데이트하면 [날짜 범위 필터](#date-range-filter) 그리고 쿼리에 이미 다음을 사용한 날짜/시간 범위가 지정되어 있으면 `| where p_event_time...` 문), 쿼리의 해당 부분이 필터 값에 맞게 업데이트됩니다. * 필터 값을 업데이트할 때 PantherFlow 쿼리에 아직 해당 값이 지정되어 있지 않으면(예: 다음을 업데이트하면 [데이터베이스 필터](#database-filter) 그리고 쿼리에 아직 데이터베이스가 지정되어 있지 않으면), 필터 값을 지정하는 새 줄이 삽입됩니다. * 데이터베이스 및 테이블 변경 사항은 PantherFlow 쿼리 상단의 새 줄에 표시됩니다. 날짜/시간 변경 사항은 데이터베이스/테이블 문 아래의 새 줄에 표시됩니다. ### AI 기반 PantherFlow 쿼리 생성(베타) {% hint style="info" %} AI 기반 PantherFlow 쿼리 생성은 Panther 버전 1.118부터 공개 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요. {% endhint %} 직접 PantherFlow 쿼리를 작성하는 것 외에도, 다음을 사용해 자연어로 쿼리를 생성할 수 있습니다 [Panther AI](/ko/ai.md). 즉, 원하는 검색 의도를 평이한 언어로(어떤 언어로든) 설명할 수 있습니다. 예: "Okta System Log에서 지난 24시간 동안 실패한 로그인 표시." 생성하려는 쿼리를 설명하는 동안 @ 멘션으로 데이터 테이블 이름 자동 완성 제안을 받을 수 있습니다. 특정 데이터 테이블을 지정하지 않으면 Panther AI가 설명을 바탕으로 관련 테이블을 자동으로 제안합니다. AI 기반 쿼리 생성을 사용하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **조사** > **검색**. 2. 다음의 왼쪽에서 [데이터베이스 필터](#database-filter)PantherFlow 모드 토글을 클릭하세요. * 그러면 필터 표현식 빌더가 자연어 입력 필드와 PantherFlow 코드 편집기로 대체됩니다.
3. PantherFlow 편집기 위의 텍스트 상자에 수행하려는 검색을 설명하세요. * 현재 [PantherFlow의 제한 사항에 유의하세요](/ko/pantherflow.md#limitations-of-pantherflow).
4. 텍스트 입력 상자의 오른쪽에서 화살표(쿼리 생성)를 클릭하세요.
5. 생성된 PantherFlow 쿼리를 검토하고 필요한 변경을 한 다음, 다음을 클릭하세요 **검색**.
### 저장된 검색 만들기 {% hint style="warning" %} Search에서 저장된 검색을 만들 수는 있지만, 예약할 수는 없습니다(즉, 다음을 만들 수는 없습니다 [예약 검색](/ko/search/scheduled-searches.md)). {% endhint %} 저장된 검색을 만들면 자주 실행하는 검색을 빠르게 다시 사용할 수 있습니다. 자세한 내용은 다음에서 확인하세요 [저장된 검색 및 예약된 검색](/ko/search/scheduled-searches.md). 저장된 검색을 만들려면: 1. 다음의 지침에 따라 검색을 만드세요 [Search 사용 방법](#how-to-use-search). 2. 다음 아래에서 **검색 필터 추가** 상자에서 다음을 클릭하세요 **다른 이름으로 저장**.
The Search UI is shown, with one filter expression created ("kind is http"). Below the search bar, the "Save As" text is circled.
3. 팝업 모달의 필드에 값을 입력하세요: * **검색 이름**: 설명이 포함된 이름을 추가하세요. * **Tags** (선택 사항): 태그를 추가하세요. 태그는 관련 검색을 그룹화하는 데 유용할 수 있습니다. * **설명** (선택 사항): 검색의 목적을 설명하세요. 4. 다음을 클릭합니다: **검색 저장**. * 저장된 검색을 열고 다시 사용하는 방법은 다음 섹션에서 알아보세요. ### Search 도구에서 저장된 검색 열기 및 다시 사용 Search 도구에서 저장된 검색을 만든 후에는 이를 보고 다시 사용할 수 있습니다. Search 페이지 또는 저장된 검색 페이지에서 열 수 있습니다. {% tabs %} {% tab title="Search 페이지" %} **Search 페이지에서 저장된 검색을 열려면:** 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **조사** > **검색**. 2. 오른쪽 상단 모서리에서 점 3개 아이콘을 클릭한 다음 **저장된 검색 열기**. * 하나의 **검색 열기** 모달이 나타나 이전에 저장된 검색이 표시됩니다. 3. 열려는 검색을 찾아 선택한 다음 다음을 클릭하세요 **검색 열기**. * 저장된 검색이 Search에 표시됩니다. {% endtab %} {% tab title="저장된 검색 페이지" %} **저장된 검색 페이지에서 저장된 검색을 열려면:** 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **조사** > **저장된 검색**. 2. 검색창과 **필터** 상단의 다음을 필요에 따라 사용해 열려는 검색을 찾으세요. 3. 검색 타일의 오른쪽 상단 모서리에서 점 3개 아이콘을 클릭하세요. 4. 다음을 클릭합니다: **Search에서 보기**. * Search로 리디렉션되며, 저장된 검색이 표시됩니다. {% endtab %} {% endtabs %} ## Search 결과 분석 Search 결과에는 다음이 포함됩니다 [히스토그램](#search-results-histogram), [결과 이벤트 테이블](#adding-removing-and-reordering-fields-in-the-results-table), 그리고 [요약 시각화](#search-results-summary-charts). ### Search 결과 히스토그램 결과 히스토그램은 검색의 날짜 및 시간 창 내 이벤트 분포를 표시하여 결과를 빠르게 맥락화하는 데 도움을 줍니다.
A histogram is shown, depicting a number of bars spanning from JUN 05 20:08 to JUN 05 21:03.
검색을 실행하면 히스토그램은 기본적으로 접힌 상태로 표시됩니다. 차트의 오른쪽 상단 모서리에 있는 대각선 화살표 버튼을 클릭하여 펼칠 수 있습니다. 버튼을 다시 클릭하면 차트가 접힙니다.
A histogram is shown. A double-sided arrow button in the upper-right corner, with the tooltip "Expand," is circled.
#### 히스토그램과 상호 작용하기 특정 시간대의 로그 유형별 개수에 대한 추가 데이터 인사이트를 보려면 차트 내 막대 위에 마우스를 올리세요.
A rectangle has the text, "Wednesday 05 June 2024, 15:00 (UTC)." Then, below, "AWS.CloudTrail" and "Panther.Audit."
드릴다운하여 히스토그램 막대 중 하나의 시간대로 설정된 새 검색을(새 브라우저 탭에서) 만들려면 해당 막대를 클릭하세요. {% hint style="info" %} 이 드릴다운 기능은 1분보다 긴 시간대를 나타내는 표의 막대에만 사용할 수 있습니다. {% endhint %} ### 결과 테이블에서 필드 추가, 제거 및 순서 변경 검색 결과 테이블은 다음을 통해 사용자 지정할 수 있습니다 [추가](#how-to-add-a-column-in-the-search-results-table), [제거](#how-to-remove-a-column-in-the-search-results-table), 그리고 [순서 변경](#how-to-reorder-columns-in-the-search-results-table) 열. 또한 [결과 테이블에서 직접 새 필터를 만들 수 있고](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results), [필터 표현식을 결과 테이블 값으로 바꾸고](#how-to-replace-filter-expressions-with-a-value-from-results), 그리고 [결과 테이블 값에 대한 보강 데이터를 탐색할 수 있습니다](#how-to-explore-enrichment-data-for-a-value-from-results). #### Search 결과 테이블에 열을 추가하는 방법 다음을 사용하여 Search 결과 테이블에 열을 추가할 수 있습니다 [**사용 가능한 필드** 목록](#add-a-column-to-the-search-results-table-from-the-available-fields-list) 테이블 왼쪽 또는 다음에서 [JSON 이벤트 보기](#add-a-column-to-the-search-results-table-from-the-json-event-view). 다음만 추가할 수 있습니다 *중첩된* 다음에서만 [JSON 이벤트 보기](#add-a-column-to-the-search-results-table-from-the-json-event-view). {% tabs %} {% tab title="사용 가능한 필드 목록" %} **사용 가능한 필드 목록에서 검색 결과 테이블에 열을 추가합니다** 1. 결과 테이블 왼쪽의 필드 목록에서, 다음의 **사용 가능한 필드** 헤더에서, 결과 테이블에 추가하려는 열을 찾습니다.
A list of event fields is displayed underneath an "Available Fields" header.
* 이 목록에는 최상위 필드만 표시됩니다. 테이블에 중첩 필드를 추가하려면 다음에서 수행할 수 있습니다: [JSON 이벤트 보기](#add-a-column-to-the-search-results-table-from-the-json-event-view). 2. 필드 오른쪽에서 다음을 클릭합니다 **+** (더하기 기호). * 필드는 결과 테이블의 열로 추가되며, 테이블 왼쪽의 다음 목록에 표시됩니다 **선택된 필드**. {% endtab %} {% tab title="JSON 이벤트 보기" %} **JSON 이벤트 보기에서 검색 결과 테이블에 열을 추가합니다** 1. 결과 테이블에서 행을 클릭하여 JSON 이벤트 보기 슬라이드아웃 패널을 엽니다. 2. 결과 테이블에 추가하려는 필드를 찾습니다. 3. 필드 위에 마우스를 올린 상태에서 다음을 클릭합니다 **+** (더하기 기호).\ ![The JSON event view of a log is shown. To the right of one field, the plus button is circled.](/files/c80f079c5769711a662ef9cf64ab6d461199223d) * 필드는 결과 테이블의 열로 추가되며, 테이블 왼쪽의 다음 목록에 표시됩니다 **선택된 필드**. {% endtab %} {% endtabs %} #### 검색 결과 테이블에서 열을 제거하는 방법 다음을 사용하여 검색 결과 테이블에서 열을 제거할 수 있습니다 [**선택된 필드** 목록](#remove-a-column-from-the-search-results-table-from-the-selected-fields-list) 테이블 왼쪽의 [JSON 이벤트 보기](#remove-a-column-from-the-search-results-table-from-the-json-event-view)또는 다음에서 [테이블 헤더 행](#remove-a-column-from-the-search-results-table-from-the-header-row). {% tabs %} {% tab title="선택된 필드 목록" %} **선택된 필드 목록에서 검색 결과 테이블의 열을 제거합니다** 1. 결과 테이블 왼쪽의 필드 목록에서, 다음의 **선택된 필드** 헤더에서, 결과 테이블에서 제거하려는 필드를 찾습니다. 2. 필드 오른쪽에서 다음을 클릭합니다 **-** (빼기 기호).
Under the "Selected Fields" header, there are log fields. To the right of "PantherAudit.actionName" the minus button is hovered over. Its tooltip reads, "Remove column"
* 필드의 열은 결과 테이블에서 제거되며, 테이블 왼쪽의 다음 목록에 표시됩니다 **사용 가능한 필드**. {% endtab %} {% tab title="JSON 이벤트 보기" %} **JSON 이벤트 보기에서 검색 결과 테이블의 열을 제거합니다** 1. 결과 테이블에서 행을 클릭하여 JSON 이벤트 보기 슬라이드아웃 패널을 엽니다. 2. 결과 테이블에서 제거하려는 필드를 찾습니다. 3. 필드 위에 마우스를 올린 상태에서 다음을 클릭합니다 **-** (빼기 기호).\ ![The JSON event view of a log is shown. To the right of one field, the minus button is circled.](/files/0757979260990bc7fbc4a5a96c175d54df588317) * 필드의 열은 결과 테이블에서 제거되며, 테이블 왼쪽의 다음 목록에 표시됩니다 **사용 가능한 필드**. {% endtab %} {% tab title="테이블 헤더 행" %} **헤더 행에서 검색 결과 테이블의 열을 제거합니다** 1. 결과 테이블에서 제거하려는 열의 헤더 위에 마우스를 올립니다. 2. 열 헤더 오른쪽에서 다음을 클릭합니다 **X**.\ ![A header reading "GitHubAudit.config.content\_type" is shown, and the "X" to its right is circled.](/files/cbd08cb612e77c99ce43ef4a7391817ba0f9f014) * 필드의 열은 결과 테이블에서 제거되며, 테이블 왼쪽의 다음 목록에 표시됩니다 **사용 가능한 필드**. {% endtab %} {% endtabs %} #### 검색 결과 테이블의 열 순서를 다시 정렬하는 방법 * 열 헤더를 클릭한 다음 원하는 위치로 끌어 결과 테이블의 열 순서를 바꿉니다. ### 필드 요약 팝오버로 필드 값 미리 보기 검색 결과를 보는 동안 필드를 열로 추가하지 않고도 모든 필드의 가장 일반적인 값을 빠르게 미리 보고, 해당 값을 현재 검색 필터링에 사용할 수 있습니다. 결과 테이블 왼쪽의 **사용 가능한 필드** 또는 **선택된 필드** 목록에 있는 아무 필드에서나 필드 요약 팝오버를 엽니다.
The field summary popover is open next to the "Available Fields" list. It shows a "Top Values" header with a distinct-count badge, followed by a list of values with their occurrence counts.
{% hint style="info" %} 필드 요약 팝오버는 시간 기반 결과를 반환하는 검색을 실행한 후에 사용할 수 있습니다. 검색을 실행하기 전에 팝오버를 열면 다음이 표시됩니다 **값 요약을 보려면 검색을 실행하세요.** {% endhint %} #### 필드 요약 팝오버를 여는 방법 1. 결과 테이블 왼쪽의 필드 목록에서 **사용 가능한 필드** 또는 **선택된 필드**. 2. 필드 이름(링크로 표시됨)을 클릭합니다. * 필드 요약 팝오버가 목록의 오른쪽에 열리며, 팝오버가 어떤 필드의 값을 표시하는지 나타내기 위해 해당 행이 강조 표시됩니다. * 한 번에 하나의 필드 요약 팝오버만 열 수 있습니다. 다른 필드 이름을 클릭하면 팝오버가 해당 필드로 이동합니다. 3. 팝오버를 닫으려면 필드 이름을 다시 클릭하거나, `ESC`키를 누르거나 팝오버 바깥을 클릭합니다. #### 팝오버에 표시되는 내용 * **상위 값** 헤더: 현재 검색 결과 전체에서 해당 필드의 빈도가 가장 높은 다섯 개 값입니다. * **고유 개수 배지**: 결과 전체에서 해당 필드의 고유 값 총 개수입니다. 해당 필드의 값이 잘림 제한보다 많으면 배지에는 다음이 표시됩니다 `+ 고유`. * **값 행**: 각 행에는 값과 그 발생 횟수가 표시됩니다. * **결과 없음 상태**: 현재 결과에 해당 필드의 값이 없으면 팝오버에 다음이 표시됩니다 **결과 없음**. #### 중첩 값으로 드릴다운 JSON 개체나 배열을 포함하는 필드의 경우 팝오버의 각 값 행을 확장할 수 있습니다. 값을 클릭하면 스칼라(리프) 값에 도달할 때까지 중첩 키와 배열 인덱스를 따라 이동할 수 있습니다. 각 수준에서 [동작](#acting-on-a-value-from-the-field-summary-popover) 은 표시된 값에 대해 호버 시 사용할 수 있습니다.
The field summary popover is open for a field whose top value is a JSON object. The object's keys are listed, each with an expand affordance to drill further.
#### 필드 요약 팝오버의 값에 대해 작업하기 스칼라 값(최상위 스칼라 값 행 또는 JSON 드릴다운의 리프 값) 위에 마우스를 올리면 행 오른쪽에 작업 버튼이 나타납니다:
A scalar value row in the field summary popover is hovered. Four icon buttons are revealed to the right of the value: copy, filter by value, filter out value, and replace filters with value.
동작하는 일
클립보드에 복사값을 클립보드에 복사합니다.
값으로 필터링현재 검색에 이 필드와 값에 대한 포함 키/값 필터 표현식 을 추가합니다.
값 제외제외 키/값 필터 표현식 을 추가합니다.
값으로 필터 바꾸기검색에 있는 모든 기존 필터 표현식을 제거하고, 이 필드와 값에 대한 하나의 포함 키/값 필터 표현식 으로 바꿉니다.
{% hint style="info" %} 타임스탬프 필드의 경우 포함 및 제외 작업은 필터가 적용되는 방식을 반영하도록 다음과 같이 표시됩니다. **이후 시간 포함** 그리고 **이전 시간 포함** 으로 표시됩니다. {% endhint %} ### 전체 결과 이벤트 보기 결과 테이블은 기본적으로 간략 보기로 로드됩니다. 이 보기에서는 종종 크기가 큰 `이벤트` 필드를 포함한 모든 로그 필드를 한 행에 표시합니다. 이 보기에서 `이벤트` 값을 보려면 가로로 스크롤합니다. 전체 이벤트 데이터를 더 쉽게 보려면 다음을 사용할 수 있습니다 [상세 테이블 보기](#detailed-results-table-view) 또는 [JSON 이벤트 슬라이드아웃 패널](#json-event-slide-out-panel). 슬라이드아웃 패널을 사용하면 추가로 다음을 표시하거나 숨길 수 있습니다 [Panther 필드](/ko/search/panther-fields.md). #### 상세 결과 테이블 보기 결과 테이블에는 로그를 상세 보기로 표시할 수도 있습니다. 이 보기에서는 `이벤트` 필드 값이 이벤트의 다른 필드 아래 새 행에 텍스트 줄 바꿈과 함께 표시됩니다.
A tooltip of a button below a histogram (and at the top of the results table) reads "Detailed view." A full event in the results table has been circled.
상세 보기를 사용하려면 테이블 오른쪽 상단의 전환 버튼을 클릭합니다:
Below a histogram (and at the top of the results table), a button's tooltip reads, "Compact view."
#### JSON 이벤트 슬라이드아웃 패널 이벤트 행을 클릭하면 전체 이벤트 데이터를 JSON 형식으로 볼 수 있습니다. 그러면 브라우저 창 오른쪽에 슬라이드아웃 패널이 열립니다. JSON 이벤트 보기에서는 [Panther 필드](/ko/search/panther-fields.md) 이 JSON 개체의 맨 위에 표시되고 그 뒤에 이벤트 필드가 이어집니다. 다음을 클릭하여 이러한 필드를 숨기거나 표시할 수 있습니다 **Panther 필드 표시** 토글.
In Search, the event JSON slide-out panel is shown. Above the event JSON, a "Show Panther fields" toggle, set to ON, is circled.
슬라이드아웃 패널의 필드 위에 마우스를 올리면 필터 추가와 같은 추가 작업을 수행할 수 있는 아이콘이 표시됩니다. 자세한 내용은 다음에서 확인하세요 [검색 반복](#iterating-on-a-search). ### 검색 결과 요약 차트 검색 결과 내에서 **시각화** 탭에는 필드 값에 대한 막대 차트가 표시되며, 이는 데이터에 대한 빠른 인사이트를 제공하는 데 도움이 됩니다. 이 차트를 보려면 다음을 클릭합니다 **시각화**.
A "Visualizations" tab is circled. Two bar charts are shown, titled "Log Type" and "Destination Bytes."
또한 [요약 차트에서 직접 필터 만들기](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results), [요약 차트의 값으로 필터 바꾸기](#how-to-replace-filter-expressions-with-a-value-from-results), 그리고 [요약 차트 값의 보강 데이터 탐색](#how-to-explore-enrichment-data-for-a-value-from-results). **요약 차트를 추가하거나 제거하는 방법** 다음을 사용하여 이벤트 필드의 시각화를 추가하거나 제거할 수 있습니다 **사용 가능한 필드** 그리고 **선택된 필드** 결과 패널 왼쪽의 목록입니다. 필드를 추가하거나 제거하면 결과 테이블에서 해당 필드가 차트와 열로 표시되거나 숨겨집니다. 시각화를 추가하려면: * 다음 안에서 **사용 가능한 필드** 목록에서 필드 이름 오른쪽의 다음을 클릭합니다 **+**.
Under an "Available Fields" header is a "Panther Fields" header, then a field called "Destination ARNs." To its right is a plus sign that's been hovered over; its tooltip reads "Add as column."
시각화를 제거하려면: * 다음 안에서 **선택된 필드** 목록에서 필드 이름 오른쪽의 다음을 클릭합니다 **–**.
Under a "Selected Fields" header are three fields: "Log Type," "Destination Bytes," and "Destination IP." To their right is a minus sign, one has been hovered over; its tooltip reads "Remove column."
**차트의 정렬 순서를 설정하는 방법** 결과를 오름차순(낮은 값에서 높은 값)으로 정렬하려면: * 시각화의 오른쪽 상단에서 아래쪽 화살표 아이콘을 클릭합니다:
An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Ascending"
결과를 내림차순(높은 값에서 낮은 값)으로 정렬하려면: * 시각화의 오른쪽 상단에서 위쪽 화살표 아이콘을 클릭합니다:
An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Descending"
**차트에 표시된 값 수를 확장하거나 줄이는 방법** * 시각화에서 처음 25개 값을 보려면 오른쪽 아래 모서리에서 다음을 क्लिक합니다 **상위 25개 표시**. 사용 가능한 값이 25개 미만이면 텍스트는 다음과 같이 표시됩니다 **모든 \개 행 표시** 대신 표시됩니다. 시각화에서 처음 5개 값만 보려면 오른쪽 아래 모서리에서 다음을 클릭합니다 **추가 행 숨기기**. ### Panther AI 검색 결과 요약 {% hint style="info" %} Search의 AI 이벤트 요약은 Panther 버전 1.113부터 오픈 베타이며, 모든 고객에게 제공됩니다. 버그 보고와 기능 요청은 Panther 지원 팀에 알려 주세요. {% endhint %} {% hint style="info" %} Panther AI 기능 사용은 다음의 적용을 받습니다 [법률 페이지에 있는 AI 면책 조항](/ko/resources/help/legal.md#ai-disclaimer). {% endhint %} 결과를 생성하는 검색을 실행한 후, 결과 이벤트의 [Panther AI](/ko/ai.md)AI 생성 요약을 볼 수 있습니다. [여기에서 AI 검색 결과 요약의 전체 동영상 시연을 시청하세요](/ko/ai/examples.md#search-results-ai-summarization). AI 이벤트 요약은 로그가 나타내는 작업을 설명할 가능성이 높으며, 여기에는 행위자 식별, 액세스한 리소스 명명, 제기된 보안 위험 평가, 작업을 MITRE ATT\&CK 전술과 연결하는 것 등이 포함될 수 있습니다. Panther AI에 대해 더 알아보려면, 다음을 포함해 [AI 응답 길이를 구성하는 방법](/ko/ai.md#ai-prompt-settings) 및 AI 응답을 관리하는 방법은 [Panther AI](/ko/ai.md) 그리고 [Panther AI 응답 기록 관리](/ko/ai/using-panther-ai/managing-ai-response-history.md). 결과 테이블에 표시된 이벤트의 AI 생성 요약을 보려면: 1. 검색을 실행한 후 결과 테이블의 오른쪽 상단에서 다음을 क्लिक합니다 **AI 요약 보기**.
On a page titled "Search" a "View AI Summary" button is circled.
* 슬라이드아웃 패널에서 Panther AI가 생성한 요약을 확인하세요. * 요약되는 이벤트는 결과 테이블에 로드되어 보이는 이벤트입니다. 기본값은 25개 이벤트입니다. 결과 테이블 끝까지 스크롤하여 더 많은 이벤트를 로드한 다음 다음을 클릭하면 **AI 요약 보기**더 많은 이벤트가 요약됩니다.
A slide-out panel titled "ALB Reconnaissance Analysis" is circled. It has "Summary" and "Key Findings" sections, as well as a chart titled "Request Status Distribution."
2. (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에게 특정 작업을 지시할 수 있습니다. 이러한 프롬프트와 응답은 다음에 보존됩니다 [AI 응답 기록](/ko/ai/using-panther-ai/managing-ai-response-history.md). 예: * `이 사용자는 누구인가요?` * `이 활동으로 Panther 디택션을 생성하세요.` * Panther AI에 디택션 생성을 요청하면 일반적으로 다음 경우에 가장 좋은 결과를 얻습니다: [응답 길이](/ko/ai.md#response-length) 설정이 **Long**. * [여기에서 AI 검색 결과 요약 이후의 디택션 생성 전체 동영상 시연을 시청하세요](/ko/ai/examples.md#detection-writing-from-search-results). * `이 사용자가 오늘 CloudTrail 로그를 생성했는지 확인하려면 검색을 실행하세요.`
A text box with the prompt "Ask a question about the data, rewrite the prompt, etc." is circled.
## 검색 반복 JSON 이벤트 슬라이드아웃 패널과 요약 차트에서 바로 다음을 수행할 수 있습니다 [포함/제외 필터를 생성하고](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results), [필터 표현식을 결과 값으로 바꾸고](#how-to-replace-filter-expressions-with-a-value-from-results), 그리고 [보강 데이터를 탐색하고](#how-to-explore-enrichment-data-for-a-value-from-results). ### 결과에서 포함 또는 제외 필터 표현식을 만드는 방법 {% tabs %} {% tab title="슬라이드아웃 패널" %} **JSON 이벤트 슬라이드아웃 패널에서 필터 표현식을 만드는 방법** 1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭합니다. * JSON 이벤트 슬라이드아웃 패널이 표시됩니다. 2. JSON 이벤트 슬라이드아웃 패널에서 포함 또는 제외 필터 표현식을 만들고 싶은 값 위에 마우스를 올립니다.\ ![In the JSON event slide out panel, a field has been hovered over, and the tooltip of a button that has appeared reads, "Filter by value."](/files/fca8a9bde32010732c4c3edfda736a38ff0a85e3) * 포함 필터를 만들려면 다음을 클릭합니다 A filter icon with a plus sign.. * 제외 필터를 만들려면 다음을 क्लिक합니다 A filter icon with a minus sign.. 3. 새 필터 표현식은 창 상단의 검색 표시줄에서 확인할 수 있습니다. 4. 검색 결과를 새로 고치려면 다음을 클릭합니다 **검색**. {% endtab %} {% tab title="결과 요약 차트" %} **요약 차트에서 필터 표현식을 만드는 방법** * 요약 차트에서 행 값 위에 마우스를 올립니다.
Next to an IP address are two filter icons. One has a tooltip reading "Filter out value"
* 포함 필터를 만들려면 다음을 클릭합니다 A filter icon with a plus sign.. * 제외 필터를 만들려면 다음을 क्लिक합니다 A filter icon with a minus sign.. {% endtab %} {% endtabs %} ### 결과의 값으로 필터 표현식을 바꾸는 방법 {% tabs %} {% tab title="슬라이드아웃 패널" %} **결과 테이블의 값으로 필터 표현식을 바꾸는 방법** 1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭합니다. * JSON 이벤트 슬라이드아웃 패널이 표시됩니다. 2. JSON 이벤트 슬라이드아웃 패널에서 피벗하고 싶은 필드 위에 마우스를 올립니다. ![JSON 이벤트 슬라이드아웃 패널에서 필드에 마우스를 올리면, 나타난 버튼의 도구 설명에 "필터를 값으로 바꾸기"라고 표시됩니다.](/files/c82fa5cf339048d401d5ba45ee440afb0e623fd0) 3. 바꾸기 아이콘을 클릭합니다 A magnifying glass icon. * 기존 필터는 모두 피벗한 키/값만 나타내는 필터 표현식으로 바뀝니다. 4. 검색 결과를 새로 고치려면 다음을 클릭합니다 **검색**. {% endtab %} {% tab title="결과 요약 차트" %} **요약 차트의 값으로 필터 표현식을 바꾸는 방법** 1. 요약 차트에서 필터 표현식 값을 바꾸고 싶은 값 위에 마우스를 올립니다.\ ![The Summary tab shows a chart for Log Type. Panther.Audit has been hovered over, and several icons are visible, including a magnifying glass.](/files/36a8095d07ffbf6ec41647784f237b102f6ab94b) 2. 바꾸기 아이콘을 클릭합니다 A magnifying glass icon. * 기존 필터는 모두 피벗한 키/값만 나타내는 필터 표현식으로 바뀝니다. 3. 검색 결과를 새로 고치려면 다음을 클릭합니다 **검색**. {% endtab %} {% endtabs %} ### 결과의 값에 대한 보강 데이터를 탐색하는 방법 {% tabs %} {% tab title="슬라이드아웃 패널" %} **JSON 이벤트 슬라이드아웃 패널의 값에 대한 보강 데이터를 탐색하는 방법** 1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭합니다. * JSON 이벤트 슬라이드아웃 패널이 표시됩니다. 2. JSON 이벤트 슬라이드아웃 패널에서 탐색하고 싶은 값 위에 마우스를 올립니다 [보강 데이터](/ko/enrichment.md) 에 대해.\ ![The p\_any\_ip\_addresses field is shown, and next two one of its values is a series of icons. The table icon is hovered over.](/files/51095740e2448aafeb11e5849b09a3fad480296d) 3. 보강 아이콘을 클릭합니다 A small database table icon. 4. 다음의 **보강 조회** 팝업 모달에서 다음을 사용합니다: **`조회 테이블`** 열에서 탐색하려는 보강 소스의 행을 찾은 다음 다음을 클릭합니다 **`JSON 보기→`**.\ ![The Lookup Enrichment modal has two rows, with differing Lookup Table values. The first row's "View JSON" button is circled.](/files/afd1d6ae82f49263e7afbc3e079ab25e2e8738c1) * 보강 항목이 표시됩니다.\ ![The Lookup Enrichment modal shows an ipinfo\_asn entry in JSON.](/files/4e495f49098fbfc5c6b1d5a8b9e25142f904acf1) {% endtab %} {% tab title="결과 요약 차트" %} **요약 차트의 값에 대한 보강 데이터를 탐색하는 방법** 1. 요약 차트에서 탐색하고 싶은 값 위에 마우스를 올립니다 [보강 데이터](/ko/enrichment.md).\ ![A summary chart for the IP Addresses field is shown, and next two one of its values is a series of icons. The table icon is hovered over.](/files/c0b792cc7d27d31c7423025eb50c060557b02025) 2. 보강 아이콘을 클릭합니다 A small database table icon. 3. 다음의 **보강 조회** 팝업 모달에서 다음을 사용합니다: **`조회 테이블`** 열에서 탐색하려는 보강 소스의 행을 찾은 다음 다음을 클릭합니다 **`JSON 보기→`**.\ ![The Lookup Enrichment modal has two rows, with differing Lookup Table values. The first row's "View JSON" button is circled.](/files/afd1d6ae82f49263e7afbc3e079ab25e2e8738c1) * 보강 항목이 표시됩니다.\ ![The Lookup Enrichment modal shows an ipinfo\_asn entry in JSON.](/files/4e495f49098fbfc5c6b1d5a8b9e25142f904acf1) {% endtab %} {% endtabs %} ## 검색 공유 조사 또는 위협 헌팅 중에는 검색 또는 결과 집합을 팀과 공유하는 것이 유용할 수 있습니다. 이렇게 하려면: 1. 결과 테이블의 오른쪽 상단에서 다음을 클릭합니다 **공유**:
The results table is shown. In the upper-right corner, the Share button's menu is open, displaying two options: Copy link to view and Download CSV. This button and its options are circled.
2. 다음 메뉴 옵션 중 하나를 선택합니다: * **보기 링크 복사**: 이 특정 검색의 URL을 클립보드에 복사합니다. * (결과가 1000개 이하인 경우) **CSV 다운로드**: 결과 테이블의 CSV를 다운로드합니다. * (결과가 1000개를 초과하는 경우) **CSV 생성**: Panther는 결과 CSV 파일(최대 1GB) 생성을 비동기적으로 시작하며, Panther 콘솔 왼쪽 아래에 팝업으로 표시됩니다:\ ![A slide-in notification displays the text: "Generating CSV... this may take some time. You will be notified in app when the file is ready"](/files/b8ea32b8ad2c40cd937d4ce8319e8c0b302c45c2) * Panther가 CSV 생성을 완료하여 다운로드할 준비가 되면 다음을 받게 됩니다 [알림](/ko/system-configuration/notifications.md). CSV에 액세스하려면 다음 중 하나를 수행합니다: * Panther 콘솔 왼쪽 아래의 팝업 알림에서 다음을 클릭합니다 **CSV 다운로드**.\ ![A notification has a circled "Download CSV" button.](/files/52b0550bfe0b664697582c0625d9fa1f0d395039) * 다음에서 **CSV 다운로드 준비 완료** 다음의 알림: [알림 목록](/ko/system-configuration/notifications.md#viewing-notifications), 다음을 클릭하세요 **CSV 다운로드**. 이 다운로드 링크는 12시간 후 만료됩니다. 그 이후에는 알림의 검색 링크를 클릭하여 쿼리로 돌아간 다음 CSV를 다시 생성할 수 있습니다. ![“알림” 헤더 아래에 “CSV 다운로드” 버튼이 동그라미로 표시되어 있습니다.](/files/4a5144716348124d2fb7f20042dd34bbebd8f4f3) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/search/search-tool.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.