# 검색 ## 개요 Panther의 검색 도구에서 SQL을 작성하지 않고도 로그 이벤트, 룰 일치 항목 등을 포함한 모든 데이터를 검색할 수 있습니다. 드롭다운 필드를 사용해 필터 표현식을 만들고, 이를 다음을 사용해 그룹화할 수 있습니다. `AND` 및 `OR` 기능을 사용할 수 있습니다. 또한 [PantherFlow](/ko/pantherflow.md) 쿼리를 검색에서 실행할 수도 있으며, 여기에는 다음을 생성하는 것도 포함됩니다. [시각화](/ko/pantherflow/operators/visualize.md) 를 [사용자 지정 대시보드](/ko/search/visualization-and-dashboards/custom.md). 에 추가할 수 있습니다. 필터 표현식은 다음과 같이 여러 방식으로 구성할 수 있습니다. [키/값 쌍](#key-value-filter-expression), [자유 텍스트](#free-text-filter-expression) 검색 또는 [정규 표현식](#regular-expression-regex-filter-expression) 검색입니다. 이 각각은 또한 [와일드카드 문자](#using-wildcards-in-filter-expressions)를 사용할 수 있습니다. 한 검색에서 서로 다른 유형의 필터 표현식을 결합할 수 있습니다.
In the Search page in Panther, there are two conditions joined by "OR" : "Source Domain is apigateway.amazonaws.com" and ".*aws:.*admin.*". Below the search conditions is a histogram, followed by a results table.
검색을 실행하면 결과 이벤트의 시간에 따른 분포를 시각화한 히스토그램 아래에 결과 테이블이 표시됩니다. 결과 테이블은 사용자 지정할 수 있으며, 다음을 할 수 있습니다. [이벤트 필드를 추가하거나 제거할 수 있습니다](#adding-removing-and-reordering-fields-in-the-results-table) 를 열로. 또한 결과 테이블에서 다음을 할 수 있습니다. [포함/제외 필터를 추가](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results) 하여 검색에 적용하고, 피벗하며, [관련 보강 데이터를 조회할 수 있습니다](#how-to-explore-enrichment-data-for-a-value-from-results). 다음을 사용할 수 있습니다. [Panther AI로 결과 집합을 요약할 수 있습니다](#panther-ai-search-results-summary). 다음을 할 수 있습니다. [팀과 협업할 수 있습니다](#sharing-a-search) 결과 테이블을 다운로드하거나 Panther에서 특정 검색에 대한 링크를 공유하여 협업할 수 있습니다. ## Search 사용 방법 다음을 사용하여 데이터를 효과적으로 검색할 수 있습니다: * 필터 조합: 먼저 다음에서 선택하여 시작합니다. [데이터베이스, 테이블, 날짜 범위 필터](#using-database-table-and-date-range-filters)—그다음 [사용자만의 필터 표현식을 만듭니다](#creating-filter-expressions). * PantherFlow: [아래에서 Search에서 PantherFlow를 사용하는 방법을 알아보세요](#using-pantherflow-in-search) ### 데이터베이스, 테이블, 날짜 범위 필터 사용 데이터베이스, 테이블, 날짜 범위 필터를 사용하여 검색 범위를 좁힐 수 있습니다. 이러한 컨트롤은 선택 사항이지만, 대용량 데이터셋을 검색할 때 검색 성능을 크게 향상시킬 수 있습니다. 아래에서 각 필터에 대해 자세히 알아보세요. {% hint style="info" %} Search에서 [PantherFlow 쿼리를 작성하면](#using-pantherflow-in-search) Panther는 쿼리 텍스트를 데이터베이스, 테이블, 날짜 범위 필터 값과 동기화하려고 시도합니다. 자세한 내용은 다음에서 확인하세요. [PantherFlow 쿼리 텍스트 및 필터 동기화](#pantherflow-query-text-and-filter-syncing). {% endhint %}
The Search UI in Panther is shown. Three dropdowns in the upper-right corner are shown. The first has a selection of "Logs," the second has a selection of "All tables," and the third has a value of "Last 24 hours."
#### 데이터베이스 필터 데이터베이스 필터를 사용하여 검색 범위를 특정 데이터베이스로 좁히세요. 예를 들어 다음만 검색할 수 있습니다. **로그** 또는 **룰 일치**. 이 필터의 기본값은 **로그**입니다. 데이터베이스 필터에 포함된 옵션은 다음과 같습니다: * 룰 일치 * 로그 * 룩업 * 모니터 * 클라우드 보안 * 룰 오류 * 신호
Three dropdown fields are shown. The first one is open, and the checkbox next to "Logs" is selected. The middle dropdown has a selection of "All tables" made, and the third has a selection of "Last 24 hours."
#### 테이블 필터 테이블 필터를 사용하여 다음으로 지정된 데이터베이스 내의 특정 테이블로 검색 범위를 좁히세요. [데이터베이스 필터](#database-filter). 이 필터의 기본값은 **모든 테이블**입니다. 여기에는 포함된 각 데이터베이스의 모든 테이블이 포함됩니다. 이 드롭다운에서 특정 테이블만 선택하여 검색 범위를 좁힐 수 있습니다.
Three dropdowns are shown: in the first, "Monitor" is selected. the second one is open, and the checkbox next to "Classification Failures" is checked. In the third dropdown, "Last month" is selected.
#### 날짜 범위 필터 날짜 범위 필터를 사용하여 검색 범위를 특정 기간으로 좁히세요. 이 필터의 기본값은 **지난 20분**. 다음과 같은 사전 설정된 상대 옵션 중 하나를 사용할 수 있습니다( **지난 1시간** 또는 **지난 1주**), **상대 시간**으로 원하는 상대 창을 설정하거나, **전체 기간**으로 시간 제한을 제거하거나, **사용자 지정 범위**으로 특정 범위를 설정할 수 있습니다. 사용자 지정 범위를 사용할 때는 다음 사항을 주의하세요. [Search에서 시간대가 사용되는 방식](#time-zones-in-search).
A dropdown field with the selection "Last 20 mins" is shown. It is expanded and multiple options are shown, including "Last 3 months" and "All time".
Two fields are shown: one is a numerical field with increase/decrease arrows, and the other is a dropdown with the value "mins" selected. At the bottom are "Cancel" and "Apply" buttons.
A date and time picker is shown. On the left-hand side there are preset relative values, like "Last hour," "Last 3 days," etc. On the right-hand side is a calendar picker, as well as dropdown fields to select the time. At the bottom are "Cancel" and "Apply" buttons.
### Search의 시간대 Panther Console의 **UTC 시간대 표시** [설정](/ko/system-configuration.md#main-information) 이 `켜짐`인 경우, Search 도구는 타임스탬프를 표시할 때 항상 협정 세계시(UTC)를 사용합니다. 설정이 `꺼짐`인 경우, Search 도구는 다음 위치에서 타임스탬프를 표시할 때 로컬 시간대를 사용합니다: * 다음에서 사용자 지정 범위를 만들 때 [날짜 범위 필터](#date-range-filter):\ ![Two dates/times are shown, labeled "Time From (Local)" and "Time To (Local)"](/files/fc583e9efec4e4111af472f2dc11a39e92b2332d) * 다음에서 [키/값 필터 표현식](#key-value-filter-expression) 값이 타임스탬프인 경우:\ ![The words "Parse Time is after 07/15/2025 12:15" are shown.](/files/e8df29650badd69e55e264bdf40da93d6a78bd55) * 결과 테이블의 `TIME` 열:\ ![Under a header reading "675,333 events" a "TIME (LOCAL)" column header is circled.](/files/e8a99cebb588ceff70e86b47d9f636b5a5433ccc) * 결과 테이블의 다른 타임스탬프 열(즉, `TIME`이 아닌 열)은 계속 UTC로 표시됩니다.\ ![A column with the header "Parse Time" is circled.](/files/28b9e6a12b965c42162fa5cd4cfd59d773e7d60d) * 다음을 포함한 타임스탬프( `p_event_time`)는 이벤트의 [JSON 이벤트 슬라이드아웃 패널](#json-event-slide-out-panel) 및 결과 테이블의 [`EVENT` 열 모두에서](#viewing-full-result-events) 계속 UTC로 표시됩니다.
Under a "Search" header, there is a filter chip and a results tab shown. A slide-out panel on the right side has a "Time" at the top, which is circled.
### 필터 표현식 만들기 필터 표현식은 다음을 포함하는 절입니다. [키/값 검색 로직](#key-value-filter-expression), [자유 검색 용어](#free-text-filter-expression)또는 [일치 패턴](#regular-expression-regex-filter-expression)입니다. 필터 표현식을 만들려면 **검색 필터 추가** 바를 클릭하거나 필터 표현식 추가 [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions).
The Search tool is shown. The search bar, which has placeholder text of "Add search filter," is empty. It is circled.
#### 키/값 필터 표현식 키/값 필터 표현식에서는 이벤트 키를 선택하고 필요한 경우 값을 제공합니다.
In the Search bar is one filter expression. It reads "Emails has john.doe@email.com"
키/값 필터 표현식을 만들려면: 1. 다음을 클릭하거나 **검색 필터 추가** 바를 클릭하거나 필터 표현식 추가 [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions). 2. 이벤트 키를 드롭다운 목록에서 선택합니다. 드롭다운 메뉴에는 다음 카테고리로 그룹화된 옵션이 포함되어 있습니다: * **Panther 필드**: 포함 [Indicator Fields](/ko/search/panther-fields.md#indicator-fields) (라고도 함 `p_any` 필드) 및 [Core Fields](/ko/search/panther-fields.md#core-fields) (`p_udm` 필드), 이는 로그 유형을 가로질러 검색할 때 유용합니다.\ ![In the Search bar, a dropdown shows "Panther Fields" including Actor IDs, AWS Account IDs, and AWS ARNs](/files/baf740c34e6f42b57c99f9875e65901e1e89f2bd) * **다중 테이블:** 여러 로그 유형에서 발견되는 필드입니다.\ ![In the Search bar, there is a dropdown showing "Multiple Tables" options, including apiVersion, kind, and level](/files/6a02430d339ac4a926fddabbac13669c2533d4bc) * 일치하는 필드가 있는 나머지 모든 테이블은 알파벳순으로 표시됩니다. 3. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택합니다. * 드롭다운 옵션은 선택한 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다. * 사용 가능한 연산자의 전체 목록은 다음에서 확인하세요. [검색 필터 연산자](/ko/search/search-tool/filter-operators.md). 4. 선택한 연산자가 값을 필요로 하는 경우 값을 입력합니다. * 다음 사용에 대해 자세히 알아보세요. [아래의 와일드카드 문자](#using-wildcards-in-filter-expressions). 5. 다른 필터 표현식을 만들고 싶다면: * 다음을 만들려면 `AND` 필터를, 방금 만든 표현식 바깥이지만 같은 가로 바 안을 클릭하거나 `TAB`. * 다음을 만들려면 `OR` 필터를, 클릭하세요 **+ OR 조건 추가**. 6. 검색을 실행할 준비가 되면 **검색** 을 클릭하거나 `ENTER`. * 를 누르세요. 두 행을 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 **+n 조건 표시**. {% hint style="info" %} 를 클릭하세요. 또한 다음을 빠르게 할 수 있습니다. [초기 검색의 결과 집합에서 키/값 필터 표현식을 만들 수 있습니다](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results) . {% endhint %} #### 자유 텍스트 필터 표현식 자유 텍스트 필터 표현식에서는 문자열을 입력합니다. {% hint style="info" %} 자유 텍스트 필터 표현식은 데이터베이스, 테이블, 날짜 제한 내의 모든 이벤트의 모든 필드를 검색하므로, 복잡한 객체에 중첩된 필드까지 포함해 실행 시간이 오래 걸릴 수 있습니다. 자유 텍스트 필터 표현식을 사용할 때 검색 성능을 향상하려면 [검색할 테이블의 하위 집합을 선택](#table-filter) 하세요. {% endhint %} 자유 텍스트 필터 표현식을 만들려면: 1. 다음을 클릭하거나 **검색 필터 추가** 바를 클릭하거나 필터 표현식 추가 [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions). 2. 텍스트 값을 입력합니다. * 다음 사용에 대해 자세히 알아보세요. [아래의 와일드카드 문자](#using-wildcards-in-filter-expressions). 3. 다른 필터 표현식을 만들고 싶다면: * 다음을 만들려면 `AND` 필터를, 방금 만든 표현식 바깥이지만 같은 가로 바 안을 클릭하거나 `TAB`. * 다음을 만들려면 `OR` 필터를, 클릭하세요 **+ OR 조건 추가**. 4. 검색을 실행할 준비가 되면 **검색** 을 클릭하거나 `ENTER`. * 를 누르세요. 두 행을 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 **+n 조건 표시**. #### 정규 표현식(regex) 필터 표현식 Search에서 regex를 사용하면 로그 전반에 걸친 동적 텍스트 기반 검색에 강력할 수 있습니다. Search는 다음을 지원합니다. [POSIX 확장 정규 표현식](https://pubs.opengroup.org/onlinepubs/9699919799/basedefs/V1_chap09.html#tag_09_04).
A single filter expression is created in the Search bar. It reads ".*aws:.*admin.*"
regex 필터 표현식을 만들려면: 1. 다음을 클릭하거나 **검색 필터 추가** 바를 클릭하거나 필터 표현식 추가 [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions). 2. regex 모드로 들어가려면 regex [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions). * regex 모드를 종료하려면 동일한 [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions). 3. 검색하려는 정규 표현식을 입력하세요. 예: `.*aws:.*admin.*`. * 다음 사용에 대해 자세히 알아보세요. [아래의 와일드카드 문자](#using-wildcards-in-filter-expressions). 4. 다른 필터 표현식을 만들고 싶다면: * 다음을 만들려면 `AND` 필터를, 방금 만든 표현식 바깥이지만 같은 가로 바 안을 클릭하거나 `TAB`. * 다음을 만들려면 `OR` 필터를, 클릭하세요 **+ OR 조건 추가**. 5. 검색을 실행할 준비가 되면 **검색** 을 클릭하거나 `ENTER`. * 를 누르세요. 두 행을 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 **+n 조건 표시**. ### 필터 표현식에서 와일드카드 사용 와일드카드 문자(`*`)는 문자열 또는 표현식의 시작, 중간 또는 끝에서 자리 표시자로 사용할 수 있습니다. 와일드카드 문자는 다음에서 사용할 수 있습니다. [키/값 필터 표현식](#key-value-filter-expression) (단, 키의 `type: string` 이고 연산자가 `LIKE`), [자유 텍스트 필터 표현식](#free-text-filter-expression)또는 [regex 필터 표현식](#regular-expression-regex-filter-expression). 와일드카드 문자의 위치는 어떤 데이터가 일치로 반환되는지를 결정합니다: * 시작: `*` 이전에 오는 모든 문자(들)는 일치로 간주됩니다. * 중간: `*` 이전에 오는 모든 문자(들)는 일치로 간주됩니다. * 끝: `*` 이전에 오는 모든 문자(들)는 일치로 간주됩니다.
In the Search page in Panther are three conditions: "Log Type is not Windows.EventLogs", "Log Type like AWS*Flow", and "ACCE*". Below is a histogram, followed by a results table.
### 침해 지표 검색 {% hint style="warning" %} 다음을 사용하여 검색할 때는 이 기능을 사용할 수 없습니다. [PantherFlow](/ko/pantherflow.md). {% endhint %} 공개 침해 공지에 대응하거나 일반적으로 위협 헌팅을 할 때, 조직의 이벤트 로그 전체에서 침해 지표(IoC) 목록의 값이 하나라도 발견되는지 신속하게 확인해야 할 수 있습니다. Search에서 IoC를 검색하려면: 1. 다음을 선택하세요. [데이터베이스, 테이블, 날짜 범위 필터](#using-database-table-and-date-range-filters) 선택. 2. 다음을 클릭하거나 **검색 필터 추가** 바를 클릭하거나 필터 표현식 추가 [키보드 단축키를 사용하세요](#keyboard-shortcuts-for-filter-expressions). 3. 지표 또는 지표 목록을 입력하거나 붙여넣으세요. 4. 표시되는 드롭다운 옵션에서 **(자동 감지)** 옵션을 선택하세요. * Search는 공백, 쉼표, 세미콜론이 있는 입력 문자열을 구문 분석한 다음 각 값이 [Panther Indictor Field](/ko/search/panther-fields.md#indicator-fields)와 일치하는지 감지합니다. 감지된 각 지표 필드에 대해 Search는 [키/값 필터 표현식](#key-value-filter-expression)를 생성합니다. 다른 값은 그대로 [자유 텍스트 표현식](#free-text-filter-expression). * 으로 유지됩니다 `OR`. 5. 각 필터 표현식은 다음과 연결됩니다. **검색** 을 클릭하거나 `ENTER`. #### 영상 안내 {% embed url="" %} ### 필터 표현식용 키보드 단축키 Search에서 필터 표현식을 작성할 때 아래의 키보드 단축키를 사용하세요:
동작MacWindows/Linux
필터 표현식 추가
regex 모드 들어가기 또는 나가기		⌘/⌃/
현재 그룹의 모든 필터 선택⌘A⌃A
선택한 필터 복사⌘C⌃C
붙여넣기⌘V⌃V
실행 취소⌘Z⌃Z
다시 실행⇧⌘Z⇧⌃Z
선택한 필터 삭제
### Search에서 PantherFlow 사용 {% hint style="info" %} PantherFlow는 Panther 버전 1.110부터 공개 베타이며, 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀과 공유해 주세요. {% endhint %} 다음을 실행하려면 [PantherFlow](/ko/pantherflow.md) 쿼리를 Search에서: 1. Panther Console의 왼쪽 탐색 모음에서 **조사** > **검색**. 2. 를 클릭합니다. [데이터베이스 필터](#database-filter)의 왼쪽에서 * PantherFlow 모드 전환을 클릭합니다.
3. 이렇게 하면 필터 표현식 빌더가 자연어 입력 필드와 PantherFlow 코드 편집기로 바뀝니다. [PantherFlow 코드 편집기에서 쿼리를 입력하거나(](#ai-powered-pantherflow-query-generation) 위의 텍스트 상자에서 자연어로 쿼리를 설명 * 하면서 쿼리를 입력하면 [데이터베이스, 테이블, 날짜 범위 필터](#using-database-table-and-date-range-filters) 페이지 오른쪽 상단의 항목이 PantherFlow 쿼리 텍스트와 동기화된 상태로 유지됩니다. 자세한 내용은 다음에서 확인하세요. [PantherFlow 쿼리 텍스트 및 필터 동기화](#pantherflow-query-text-and-filter-syncing). * 다음에서 PantherFlow 쿼리를 구성하는 방법을 알아보세요 [PantherFlow 문서](/ko/pantherflow.md). * 현재 [PantherFlow의 제한 사항](/ko/pantherflow.md#limitations-of-pantherflow). 4. 각 필터 표현식은 다음과 연결됩니다. **검색**. #### PantherFlow 쿼리 텍스트 및 필터 동기화 {% hint style="info" %} PantherFlow 쿼리 텍스트 및 필터 동기화는 Panther 버전 1.116부터 공개 베타이며, 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀과 공유해 주세요. {% endhint %} PantherFlow 쿼리를 입력하거나 [데이터베이스, 테이블, 날짜 범위 필터](#using-database-table-and-date-range-filters) PantherFlow 쿼리를 입력한 후 필터 값을 업데이트하면 Panther는 쿼리 텍스트와 필터 값을 동기화하려고 시도합니다. {% hint style="info" %} PantherFlow 쿼리 텍스트와 필터를 동기화할 수 없는 경우 PantherFlow 쿼리 텍스트가 우선하며, 필터 값은 무시됩니다. {% endhint %} PantherFlow 쿼리를 입력하거나 업데이트하면 필터 값이 변경됩니다: * PantherFlow 쿼리에서 데이터베이스나 테이블을 지정하면 [데이터베이스](#database-filter) 및 [테이블](#table-filter) 필터 값이 각각 업데이트됩니다. * 날짜/시간 범위를 다음과 함께 지정하면( `| where p_event_time...` 문)를 PantherFlow 쿼리에서 사용하면 다음이 업데이트됩니다. [날짜 범위 필터](#date-range-filter). PantherFlow 쿼리를 입력한 후 [데이터베이스, 테이블 또는 날짜 범위 필터를 업데이트하면](#using-database-table-and-date-range-filters) PantherFlow 쿼리 텍스트가 변경됩니다: * 필터 값을 업데이트했는데 PantherFlow 쿼리에 이미 대응하는 값이 지정되어 있는 경우(예: [날짜 범위 필터](#date-range-filter) 를 업데이트했는데 쿼리에 이미 날짜/시간 범위가 다음과 함께 지정되어 있는 경우 `| where p_event_time...` 문), 쿼리의 해당 부분은 필터 값에 맞게 업데이트됩니다. * 필터 값을 업데이트했는데 PantherFlow 쿼리에 아직 대응하는 값이 지정되어 있지 않은 경우(예: [데이터베이스 필터](#database-filter) 를 업데이트했는데 쿼리에 아직 데이터베이스가 지정되어 있지 않은 경우), 필터 값을 지정하는 새 줄이 삽입됩니다. * 데이터베이스 및 테이블 변경은 PantherFlow 쿼리 맨 위의 새 줄로 표시됩니다. 날짜/시간 변경은 데이터베이스/테이블 문 아래의 새 줄로 표시됩니다. ### AI 기반 PantherFlow 쿼리 생성(베타) {% hint style="info" %} AI 기반 PantherFlow 쿼리 생성은 Panther 버전 1.118부터 공개 베타이며, 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀과 공유해 주세요. {% endhint %} 직접 PantherFlow 쿼리를 작성하는 것 외에도 다음을 사용해 자연어로 쿼리를 생성할 수 있습니다. [Panther AI](/ko/ai.md). 즉, 어떤 언어로든 평이한 언어로 검색 의도를 설명할 수 있습니다. 예를 들어, "Okta System Log에서 지난 24시간의 실패한 로그인 표시"처럼 말할 수 있습니다. 생성하려는 쿼리를 설명하는 동안 @ 멘션을 사용하여 데이터 테이블 이름 자동 완성 제안을 받을 수 있습니다. 특정 데이터 테이블의 이름을 지정하지 않으면 Panther AI가 설명에 따라 관련 테이블을 자동으로 제안합니다. AI 기반 쿼리 생성을 사용하려면: 1. Panther Console의 왼쪽 탐색 모음에서 **조사** > **검색**. 2. 를 클릭합니다. [데이터베이스 필터](#database-filter)의 왼쪽에서 * PantherFlow 모드 전환을 클릭합니다.
3. PantherFlow 편집기 위의 텍스트 상자에 수행하려는 검색을 설명하세요. * 현재 [PantherFlow의 제한 사항](/ko/pantherflow.md#limitations-of-pantherflow).
4. 텍스트 입력 상자 오른쪽에서 화살표(쿼리 생성)를 클릭합니다.
5. 생성된 PantherFlow 쿼리를 검토하고 필요한 변경 사항을 적용한 다음 **검색**.
### 저장된 검색 만들기 {% hint style="warning" %} Search에서 저장된 검색을 만들 수는 있지만, 스케줄링(즉, [예약 검색](/ko/search/scheduled-searches.md)). {% endhint %} 을 만드는 것)은 할 수 없습니다. 저장된 검색을 만들면 자주 실행하는 검색을 빠르게 다시 사용할 수 있습니다. 자세한 내용은 다음에서 확인하세요. [저장된 검색 및 예약 검색](/ko/search/scheduled-searches.md). 저장된 검색을 만들려면: 1. 다음의 지침에 따라 검색을 만듭니다. [Search 사용 방법](#how-to-use-search). 2. 다음 아래에서 **검색 필터 추가** 상자, 클릭 **다른 이름으로 저장**.
The Search UI is shown, with one filter expression created ("kind is http"). Below the search bar, the "Save As" text is circled.
3. 팝업 모달의 필드에 값을 입력합니다: * **검색 이름**: 설명적인 이름을 추가합니다. * **태그** (선택 사항): 태그를 추가합니다. 태그는 관련 검색을 그룹화하는 데 도움이 될 수 있습니다. * **설명** (선택 사항): 검색의 목적을 설명합니다. 4. 각 필터 표현식은 다음과 연결됩니다. **검색 저장**. * 저장된 검색을 열고 다시 사용하는 방법은 다음 섹션을 참조하세요. ### Search 도구에서 저장된 검색 열기 및 재사용 Search 도구에서 저장된 검색을 만든 후에는 이를 보고 다시 사용할 수 있습니다. Search 페이지 또는 저장된 검색 페이지에서 열 수 있습니다. {% tabs %} {% tab title="Search 페이지" %} **Search 페이지에서 저장된 검색을 여는 방법:** 1. Panther Console의 왼쪽 탐색 모음에서 **조사** > **검색**. 2. 오른쪽 상단에서 점 3개 아이콘을 클릭한 다음 **저장된 검색 열기**. * 라는 **검색 열기** 모달이 나타나며 이전에 저장한 검색이 표시됩니다. 3. 열고 싶은 검색을 찾아 선택한 다음 **검색 열기**. * 를 클릭하세요. 저장된 검색이 Search에 표시됩니다. {% endtab %} {% tab title="저장된 검색 페이지" %} **저장된 검색 페이지에서 저장된 검색을 여는 방법:** 1. Panther Console의 왼쪽 탐색 모음에서 **조사** > **저장된 검색**. 2. 필요한 경우 검색창과 **필터** 를 상단에서 활용하여 열고 싶은 검색을 찾습니다. 3. 검색 타일의 오른쪽 상단에서 점 3개 아이콘을 클릭합니다. 4. 각 필터 표현식은 다음과 연결됩니다. **Search에서 보기**. * Search로 이동하며, 저장된 검색이 표시됩니다. {% endtab %} {% endtabs %} ## Search 결과 분석 Search 결과에는 [히스토그램](#search-results-histogram), [결과 이벤트 테이블](#adding-removing-and-reordering-fields-in-the-results-table)과 [요약 시각화](#search-results-summary-charts). ### Search 결과 히스토그램 결과 히스토그램은 검색의 날짜 및 시간 창 내 이벤트 분포를 표시하여 결과를 빠르게 맥락화하는 데 도움이 됩니다.
A histogram is shown, depicting a number of bars spanning from JUN 05 20:08 to JUN 05 21:03.
검색이 실행된 후 히스토그램은 기본적으로 접힌 상태로 표시됩니다. 차트 오른쪽 상단의 대각선 화살표 버튼을 클릭하여 펼칠 수 있습니다. 버튼을 다시 클릭하면 차트가 접힙니다.
A histogram is shown. A double-sided arrow button in the upper-right corner, with the tooltip "Expand," is circled.
#### 히스토그램과 상호작용하기 특정 기간의 로그 유형별 개수에 대한 추가 데이터 인사이트를 보려면 차트의 막대 위에 마우스를 올려보세요.
A rectangle has the text, "Wednesday 05 June 2024, 15:00 (UTC)." Then, below, "AWS.CloudTrail" and "Panther.Audit."
상세 탐색하여 히스토그램 막대 중 하나의 시간대로 설정된 새 검색을(새 브라우저 탭에서) 만들려면 해당 막대를 클릭하세요. {% hint style="info" %} 이 상세 탐색 기능은 테이블에서 1분보다 긴 시간대를 나타내는 막대에만 사용할 수 있습니다. {% endhint %} ### 결과 테이블에서 필드 추가, 제거 및 재정렬 검색의 결과 테이블은 다음을 통해 사용자 지정할 수 있습니다. [추가](#how-to-add-a-column-in-the-search-results-table), [제거](#how-to-remove-a-column-in-the-search-results-table)과 [재정렬](#how-to-reorder-columns-in-the-search-results-table) 열. 또한 다음을 할 수 있습니다. [결과 테이블에서 직접 새 필터 만들기](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results), [필터 표현식을 결과 테이블 값으로 바꾸기](#how-to-replace-filter-expressions-with-a-value-from-results)과 [결과 테이블 값에 대한 보강 데이터 탐색](#how-to-explore-enrichment-data-for-a-value-from-results). #### Search 결과 테이블에 열을 추가하는 방법 다음을 사용하여 Search 결과 테이블에 열을 추가할 수 있습니다. [**사용 가능한 필드** 목록](#add-a-column-to-the-search-results-table-from-the-available-fields-list) 테이블 왼쪽에서, 또는 [JSON 이벤트 보기](#add-a-column-to-the-search-results-table-from-the-json-event-view). 에서 *중첩된* 필드를 테이블에 추가하는 것은 [JSON 이벤트 보기](#add-a-column-to-the-search-results-table-from-the-json-event-view). {% tabs %} {% tab title="사용 가능한 필드 목록" %} **Search 결과 테이블에 사용 가능한 필드 목록에서 열 추가** 1. 결과 테이블 왼쪽의 필드 목록에서 **사용 가능한 필드** 헤더 내에서 결과 테이블에 추가할 열을 찾습니다.
A list of event fields is displayed underneath an "Available Fields" header.
* 이 목록에는 최상위 필드만 표시됩니다. 중첩된 필드를 테이블에 추가하려면 다음에서 추가할 수 있습니다. [JSON 이벤트 보기](#add-a-column-to-the-search-results-table-from-the-json-event-view). 2. 필드 오른쪽에서 **+** (더하기 기호)를 클릭합니다. * 필드가 결과 테이블의 열로 추가되며, 테이블 왼쪽의 **선택된 필드**. {% endtab %} {% tab title="JSON 이벤트 보기" %} **Search 결과 테이블에 JSON 이벤트 보기에서 열 추가** 1. 결과 테이블에서 행을 클릭하여 JSON 이벤트 보기 슬라이드아웃 패널을 엽니다. 2. 결과 테이블에 추가할 필드를 찾습니다. 3. 필드 위에 마우스를 올린 상태에서 **+** (더하기 기호)를 클릭합니다.\ ![The JSON event view of a log is shown. To the right of one field, the plus button is circled.](/files/c80f079c5769711a662ef9cf64ab6d461199223d) * 필드가 결과 테이블의 열로 추가되며, 테이블 왼쪽의 **선택된 필드**. {% endtab %} {% endtabs %} #### Search 결과 테이블에서 열을 제거하는 방법 다음을 사용하여 Search 결과 테이블에서 열을 제거할 수 있습니다. [**선택된 필드** 목록](#remove-a-column-from-the-search-results-table-from-the-selected-fields-list) 테이블 왼쪽에서 [JSON 이벤트 보기](#remove-a-column-from-the-search-results-table-from-the-json-event-view)에서 또는 [테이블 헤더 행](#remove-a-column-from-the-search-results-table-from-the-header-row). {% tabs %} {% tab title="선택된 필드 목록" %} **선택된 필드 목록에서 Search 결과 테이블의 열 제거** 1. 결과 테이블 왼쪽의 필드 목록에서 **선택된 필드** 헤더에서 결과 테이블에서 제거할 필드를 찾습니다. 2. 필드 오른쪽에서 **-** (빼기 기호).
Under the "Selected Fields" header, there are log fields. To the right of "PantherAudit.actionName" the minus button is hovered over. Its tooltip reads, "Remove column"
* 필드의 열이 결과 테이블에서 제거되며, 테이블 왼쪽의 **사용 가능한 필드**. {% endtab %} {% tab title="JSON 이벤트 보기" %} **JSON 이벤트 보기에서 Search 결과 테이블의 열 제거** 1. 결과 테이블에서 행을 클릭하여 JSON 이벤트 보기 슬라이드아웃 패널을 엽니다. 2. 결과 테이블에서 제거할 필드를 찾습니다. 3. 필드 위에 마우스를 올린 상태에서 **-** (빼기 기호).\ ![The JSON event view of a log is shown. To the right of one field, the minus button is circled.](/files/0757979260990bc7fbc4a5a96c175d54df588317) * 필드의 열이 결과 테이블에서 제거되며, 테이블 왼쪽의 **사용 가능한 필드**. {% endtab %} {% tab title="테이블 헤더 행" %} **헤더 행에서 Search 결과 테이블의 열 제거** 1. 결과 테이블에서 제거하려는 열의 헤더 위에 마우스를 올립니다. 2. 열 헤더 오른쪽에서 **X**.\ ![A header reading "GitHubAudit.config.content\_type" is shown, and the "X" to its right is circled.](/files/cbd08cb612e77c99ce43ef4a7391817ba0f9f014) * 필드의 열이 결과 테이블에서 제거되며, 테이블 왼쪽의 **사용 가능한 필드**. {% endtab %} {% endtabs %} #### Search 결과 테이블의 열을 재정렬하는 방법 * 열 헤더를 클릭한 후 원하는 위치로 드래그하여 결과 테이블의 열을 재정렬합니다. ### 필드 요약 팝오버로 필드 값 미리보기 검색 결과를 보는 동안 열로 추가하지 않고도 어떤 필드의 가장 일반적인 값을 빠르게 미리 볼 수 있으며, 그 값을 사용해 현재 검색을 필터링할 수 있습니다. 결과 테이블 왼쪽의 **사용 가능한 필드** 또는 **선택된 필드** 목록에서 어떤 필드에서든 필드 요약 팝오버를 엽니다.
The field summary popover is open next to the "Available Fields" list. It shows a "Top Values" header with a distinct-count badge, followed by a list of values with their occurrence counts.
{% hint style="info" %} 필드 요약 팝오버는 시간 기반 결과를 반환하는 검색을 실행한 후 사용할 수 있습니다. 검색을 실행하기 전에는 팝오버를 열면 **값 요약을 보려면 검색을 실행하세요.** {% endhint %} #### 필드 요약 팝오버를 여는 방법 1. 결과 테이블 왼쪽의 필드 목록에서 **사용 가능한 필드** 또는 **선택된 필드**. 2. 내의 아무 필드나 찾습니다. * 필드 이름(링크로 표시됨)을 클릭합니다. * 필드 요약 팝오버가 목록 오른쪽에 열리며, 행이 강조 표시되어 팝오버가 어떤 필드의 값을 표시하는지 나타냅니다. 3. 한 번에 하나의 필드 요약 팝오버만 열 수 있습니다. 다른 필드 이름을 클릭하면 팝오버가 해당 필드로 이동합니다. `팝오버를 닫으려면 필드 이름을 다시 클릭하거나`ESC #### 를 누르거나 팝오버 바깥을 클릭하세요. * **팝오버에 표시되는 내용** 상단 값 * **헤더: 현재 검색 결과 전체에서 해당 필드의 가장 빈번한 다섯 가지 값.**고유 개수 배지 `: 결과 전체에서 해당 필드의 고유 값 총 개수입니다. 필드에 잘림 한도보다 많은 값이 있으면 배지에`. * **값 행**: 각 행은 값과 그 발생 횟수를 표시합니다. * **결과 없음 상태**: 현재 결과에 필드의 값이 없으면 팝오버에 다음이 표시됩니다. **결과 없음**. #### 중첩된 값으로 드릴다운 JSON 객체 또는 배열을 포함하는 필드의 경우 팝오버의 각 값 행은 확장 가능하며, 클릭하면 중첩된 키와 배열 인덱스를 따라 최종 스칼라(리프) 값에 도달할 때까지 탐색할 수 있습니다. 각 수준에서 [작업](#acting-on-a-value-from-the-field-summary-popover) 은 표시된 값에 대해 마우스 오버 시 사용할 수 있습니다.
The field summary popover is open for a field whose top value is a JSON object. The object's keys are listed, each with an expand affordance to drill further.
#### 필드 요약 팝오버의 값에 대해 작업하기 스칼라 값(최상위 스칼라 값 행 또는 JSON 드릴다운의 리프 값) 위에 마우스를 올리면 행 오른쪽에 작업 버튼이 표시됩니다:
A scalar value row in the field summary popover is hovered. Four icon buttons are revealed to the right of the value: copy, filter by value, filter out value, and replace filters with value.
동작동작
클립보드에 복사값을 클립보드에 복사합니다.
값으로 필터링이 필드와 값에 대한 포함 키/값 필터 표현식 을 현재 검색에 추가합니다.
값 제외 필터링배타적 키/값 필터 표현식 을 현재 검색에 추가합니다.
값으로 필터 교체검색에 있는 기존 필터 식을 모두 제거하고 단일 포함 키/값 필터 표현식 으로 대체합니다.
{% hint style="info" %} 타임스탬프 필드의 경우 포함 및 제외 작업은 다음과 같이 레이블이 지정됩니다. **이후 시간을 포함** 및 **이전 시간을 포함** 하여 필터가 적용되는 방식을 반영합니다. {% endhint %} ### 전체 결과 이벤트 보기 결과 테이블은 기본적으로 간단한 보기로 로드됩니다. 이 보기는 종종 큰 `EVENT` 필드를 포함한 모든 로그 필드를 하나의 행에 표시합니다. 이 보기에서 `EVENT` 값을 보려면 가로로 스크롤하세요. 전체 이벤트 데이터를 더 쉽게 보려면 다음을 사용할 수 있습니다. [상세 테이블 보기](#detailed-results-table-view) 또는 [JSON 이벤트 슬라이드아웃 패널](#json-event-slide-out-panel). 슬라이드아웃 패널을 사용하면 추가 이점으로 [Panther 필드](/ko/search/panther-fields.md). #### 상세 결과 테이블 보기 결과 테이블은 대안으로 로그를 상세 보기로 표시할 수 있습니다. 이 보기는 `EVENT` 필드 값을 이벤트의 다른 필드 아래 새 행으로 표시하며, 텍스트 줄바꿈이 적용됩니다.
A tooltip of a button below a histogram (and at the top of the results table) reads "Detailed view." A full event in the results table has been circled.
상세 보기를 활성화하려면 테이블 오른쪽 상단 모서리의 토글 버튼을 클릭하세요:
Below a histogram (and at the top of the results table), a button's tooltip reads, "Compact view."
#### JSON 이벤트 슬라이드아웃 패널 이벤트 행을 클릭하면 JSON 형식의 전체 이벤트 데이터를 볼 수 있습니다. 그러면 브라우저 창 오른쪽에 슬라이드아웃 패널이 열립니다. JSON 이벤트 보기에서는 [Panther 필드](/ko/search/panther-fields.md) 가 JSON 객체 상단에 표시되고 그 뒤에 이벤트 필드가 표시됩니다. 다음을 클릭하여 이러한 필드를 숨기거나 표시할 수 있습니다. **Panther 필드 표시** 토글.
In Search, the event JSON slide-out panel is shown. Above the event JSON, a "Show Panther fields" toggle, set to ON, is circled.
슬라이드아웃 패널의 필드에 마우스를 올리면 필터 추가와 같은 추가 작업을 수행할 수 있는 아이콘이 표시됩니다. 자세한 내용은 다음을 참조하세요. [검색 반복하기](#iterating-on-a-search). ### 검색 결과 요약 차트 검색 결과 내에서 **시각화** 탭에는 필드 값에 대한 막대 차트가 표시되며, 데이터에 대한 빠른 인사이트를 얻는 데 도움이 됩니다. 이러한 차트를 보려면 다음을 클릭하세요. **시각화**.
A "Visualizations" tab is circled. Two bar charts are shown, titled "Log Type" and "Destination Bytes."
또한 다음을 할 수 있습니다. [요약 차트에서 직접 필터 만들기](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results), [요약 차트의 값으로 필터 교체](#how-to-replace-filter-expressions-with-a-value-from-results)과 [요약 차트 값의 보강 데이터를 탐색](#how-to-explore-enrichment-data-for-a-value-from-results). **요약 차트를 추가하거나 제거하는 방법** 다음을 사용하여 이벤트 필드의 시각화를 추가하거나 제거합니다. **사용 가능한 필드** 및 **선택된 필드** 결과 패널 왼쪽의 목록. 필드를 추가하거나 제거하면 차트와 결과 테이블의 열 모두에서 해당 필드가 표시되거나 숨겨집니다. 시각화를 추가하려면: * 내의 **사용 가능한 필드** 목록에서 필드 이름 오른쪽에 있는 **+**.
Under an "Available Fields" header is a "Panther Fields" header, then a field called "Destination ARNs." To its right is a plus sign that's been hovered over; its tooltip reads "Add as column."
시각화를 제거하려면: * 내의 **선택된 필드** 목록에서 필드 이름 오른쪽에 있는 **–**.
Under a "Selected Fields" header are three fields: "Log Type," "Destination Bytes," and "Destination IP." To their right is a minus sign, one has been hovered over; its tooltip reads "Remove column."
**차트의 정렬 순서를 설정하는 방법** 결과를 오름차순(낮은 값에서 높은 값)으로 정렬하려면: * 시각화의 오른쪽 상단 모서리에서 아래를 가리키는 화살표 아이콘을 클릭하세요:
An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Ascending"
결과를 내림차순(높은 값에서 낮은 값)으로 정렬하려면: * 시각화의 오른쪽 상단 모서리에서 위를 가리키는 화살표 아이콘을 클릭하세요:
An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Descending"
**차트에 표시되는 값 수를 확장하거나 축소하는 방법** * 시각화에서 처음 25개 값을 보려면 오른쪽 아래 모서리에서 **상위 25개 표시**. 사용 가능한 값이 25개 미만이면 텍스트는 대신 **모든 \개 행 표시** 로 표시됩니다. 시각화에서 처음 5개 값만 보려면 오른쪽 아래 모서리에서 **추가 행 숨기기**. ### Panther AI 검색 결과 요약 {% hint style="info" %} Search의 AI 이벤트 요약은 Panther 버전 1.113부터 공개 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 알려 주세요. {% endhint %} {% hint style="info" %} Panther AI 기능 사용은 다음의 적용을 받습니다. [법률 페이지의 AI 고지 사항](/ko/resources/help/legal.md#ai-disclaimer). {% endhint %} 결과를 생성하는 검색을 실행한 후, 다음을 볼 수 있습니다. [Panther AI](/ko/ai.md)생성된 결과 이벤트 요약. [AI Search 결과 요약의 전체 비디오 데모를 여기에서 시청하세요](/ko/ai/examples.md#search-results-ai-summarization). AI 이벤트 요약은 로그가 나타내는 작업을 설명할 가능성이 높으며, 여기에는 행위자 식별, 접근한 리소스 명명, 제기된 보안 위험 평가, 작업을 MITRE ATT\&CK 전술과 연결하는 내용 등이 포함될 수 있습니다. 다음을 포함한 Panther AI에 대해 자세히 알아보세요. [AI 응답 길이 구성](/ko/ai.md#ai-prompt-settings) 및 AI 응답 관리 방법은 다음에서 확인하세요. [Panther AI](/ko/ai.md) 및 [Panther AI 응답 기록 관리](/ko/ai/managing-ai-response-history.md). 결과 테이블에 표시된 이벤트에 대한 AI 생성 요약을 보려면: 1. 검색을 실행한 후 결과 테이블의 오른쪽 상단 모서리에서 **AI 요약 보기**.
On a page titled "Search" a "View AI Summary" button is circled.
* 를 클릭하세요. 슬라이드아웃 패널에서 Panther AI가 생성한 요약을 확인하세요. * 요약되는 이벤트는 결과 테이블에서 보기에 로드된 이벤트이며, 기본적으로 25개 이벤트입니다. 결과 테이블 끝까지 스크롤하여 더 많은 이벤트를 로드한 다음 **AI 요약 보기**을 클릭하면 더 많은 수의 이벤트가 요약됩니다.
A slide-out panel titled "ALB Reconnaissance Analysis" is circled. It has "Summary" and "Key Findings" sections, as well as a chart titled "Request Status Distribution."
2. (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에 특정 작업을 지시하세요. 이러한 프롬프트와 응답은 [AI 응답 기록](/ko/ai/managing-ai-response-history.md)에 보존됩니다. 예: * `이 사용자는 누구인가요?` * `이 활동으로 Panther 디택션을 만들어 주세요.` * Panther AI에 디택션 생성을 요청하는 것은 일반적으로 다음이 [응답 길이](/ko/ai.md#response-length) 설정이 **Long**. * [일 때 가장 좋은 결과를 냅니다. AI Search 결과 요약 후 디택션 생성의 전체 비디오 데모를 여기에서 시청하세요](/ko/ai/examples.md#detection-writing-from-search-results). * `이 사용자가 오늘 CloudTrail 로그를 생성했는지 검색해 보세요.`
A text box with the prompt "Ask a question about the data, rewrite the prompt, etc." is circled.
## 검색 반복하기 JSON 이벤트 슬라이드아웃 패널과 요약 차트에서 직접 다음을 수행할 수 있습니다. [포함/제외 필터 생성](#how-to-create-an-inclusive-or-exclusive-filter-expression-from-results), [필터 식을 결과 값으로 교체](#how-to-replace-filter-expressions-with-a-value-from-results)과 [보강 데이터 탐색](#how-to-explore-enrichment-data-for-a-value-from-results). ### 결과에서 포함 또는 제외 필터 식을 만드는 방법 {% tabs %} {% tab title="슬라이드아웃 패널" %} **JSON 이벤트 슬라이드아웃 패널에서 필터 식을 만드는 방법** 1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭하세요. * JSON 이벤트 슬라이드아웃 패널이 표시됩니다. 2. JSON 이벤트 슬라이드아웃 패널에서 포함 또는 제외 필터 식을 만들 값 위에 마우스를 올리세요.\ ![In the JSON event slide out panel, a field has been hovered over, and the tooltip of a button that has appeared reads, "Filter by value."](/files/fca8a9bde32010732c4c3edfda736a38ff0a85e3) * 포함 필터를 만들려면 A filter icon with a plus sign.. * 배제 필터를 만들려면 A filter icon with a minus sign.. 3. 창 상단의 검색 창에서 새 필터 식을 확인하세요. 4. 검색 결과를 새로 고치려면 **검색**. {% endtab %} {% tab title="결과 요약 차트" %} **요약 차트에서 필터 식을 만드는 방법** * 요약 차트에서 행 값 위에 마우스를 올리세요.
Next to an IP address are two filter icons. One has a tooltip reading "Filter out value"
* 포함 필터를 만들려면 A filter icon with a plus sign.. * 배제 필터를 만들려면 A filter icon with a minus sign.. {% endtab %} {% endtabs %} ### 결과의 값으로 필터 식을 교체하는 방법 {% tabs %} {% tab title="슬라이드아웃 패널" %} **결과 테이블의 값으로 필터 식을 교체하는 방법** 1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭하세요. * JSON 이벤트 슬라이드아웃 패널이 표시됩니다. 2. JSON 이벤트 슬라이드아웃 패널에서 기준으로 삼고 싶은 필드 위에 마우스를 올리세요. ![JSON 이벤트 슬라이드아웃 패널에서 필드에 마우스를 올린 상태이며, 나타난 버튼의 툴팁에는 "값으로 필터 교체"라고 표시됩니다.](/files/c82fa5cf339048d401d5ba45ee440afb0e623fd0) 3. 교체 아이콘을 클릭하세요 A magnifying glass icon. * 기존 필터는 모두, 기준으로 삼은 키/값만 나타내는 필터 식으로 교체됩니다. 4. 검색 결과를 새로 고치려면 **검색**. {% endtab %} {% tab title="결과 요약 차트" %} **요약 차트의 값으로 필터 식을 교체하는 방법** 1. 요약 차트에서 필터 식 값을 교체하는 데 사용할 값을 가리키도록 마우스를 올리세요.\ ![The Summary tab shows a chart for Log Type. Panther.Audit has been hovered over, and several icons are visible, including a magnifying glass.](/files/36a8095d07ffbf6ec41647784f237b102f6ab94b) 2. 교체 아이콘을 클릭하세요 A magnifying glass icon. * 기존 필터는 모두, 기준으로 삼은 키/값만 나타내는 필터 식으로 교체됩니다. 3. 검색 결과를 새로 고치려면 **검색**. {% endtab %} {% endtabs %} ### 결과의 값에 대한 보강 데이터를 탐색하는 방법 {% tabs %} {% tab title="슬라이드아웃 패널" %} **JSON 이벤트 슬라이드아웃 패널의 값에 대한 보강 데이터를 탐색하는 방법** 1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭하세요. * JSON 이벤트 슬라이드아웃 패널이 표시됩니다. 2. JSON 이벤트 슬라이드아웃 패널에서 탐색하려는 값 위에 마우스를 올리세요 [보강 데이터](/ko/enrichment.md) 를.\ ![The p\_any\_ip\_addresses field is shown, and next two one of its values is a series of icons. The table icon is hovered over.](/files/51095740e2448aafeb11e5849b09a3fad480296d) 3. 보강 아이콘을 클릭하세요 A small database table icon. 4. 다음에서 **Lookup Enrichment** 팝업 모달에서 **`LOOKUP TABLE`** 열을 사용하여 탐색하려는 보강 소스의 행을 찾은 다음 **`JSON 보기→`**.\ ![The Lookup Enrichment modal has two rows, with differing Lookup Table values. The first row's "View JSON" button is circled.](/files/afd1d6ae82f49263e7afbc3e079ab25e2e8738c1) * 를 클릭하세요. 보강 항목이 표시됩니다.\ ![The Lookup Enrichment modal shows an ipinfo\_asn entry in JSON.](/files/4e495f49098fbfc5c6b1d5a8b9e25142f904acf1) {% endtab %} {% tab title="결과 요약 차트" %} **요약 차트의 값에 대한 보강 데이터를 탐색하는 방법** 1. 요약 차트에서 탐색하려는 [보강 데이터](/ko/enrichment.md).\ ![A summary chart for the IP Addresses field is shown, and next two one of its values is a series of icons. The table icon is hovered over.](/files/c0b792cc7d27d31c7423025eb50c060557b02025) 2. 보강 아이콘을 클릭하세요 A small database table icon. 3. 다음에서 **Lookup Enrichment** 팝업 모달에서 **`LOOKUP TABLE`** 열을 사용하여 탐색하려는 보강 소스의 행을 찾은 다음 **`JSON 보기→`**.\ ![The Lookup Enrichment modal has two rows, with differing Lookup Table values. The first row's "View JSON" button is circled.](/files/afd1d6ae82f49263e7afbc3e079ab25e2e8738c1) * 를 클릭하세요. 보강 항목이 표시됩니다.\ ![The Lookup Enrichment modal shows an ipinfo\_asn entry in JSON.](/files/4e495f49098fbfc5c6b1d5a8b9e25142f904acf1) {% endtab %} {% endtabs %} ## 검색 공유 조사 또는 위협 헌팅 중에는 Search나 결과 집합을 팀과 공유하는 것이 유용할 수 있습니다. 이렇게 하려면: 1. 결과 테이블의 오른쪽 상단 모서리에서 **공유**:
The results table is shown. In the upper-right corner, the Share button's menu is open, displaying two options: Copy link to view and Download CSV. This button and its options are circled.
2. 를 클릭한 후 메뉴 옵션 중 하나를 선택하세요: * **보기 링크 복사**: 이 특정 Search의 URL을 클립보드에 복사합니다. * (결과가 1000개 이하인 경우) **CSV 다운로드**: 결과 테이블의 CSV를 다운로드합니다. * (결과가 1000개 초과인 경우) **CSV 생성**: Panther는 팝업으로 알 수 있듯이 비동기적으로 결과 CSV 파일(최대 1GB)을 생성하기 시작합니다. 이 팝업은 Panther Console의 왼쪽 아래 모서리에 표시됩니다:\ ![A slide-in notification displays the text: "Generating CSV... this may take some time. You will be notified in app when the file is ready"](/files/b8ea32b8ad2c40cd937d4ce8319e8c0b302c45c2) * Panther가 CSV 생성을 완료하고 다운로드할 준비가 되면 [알림](/ko/system-configuration/notifications.md)을 받게 됩니다. CSV에 접근하려면 다음 중 하나를 수행하세요: * Panther Console의 왼쪽 아래 모서리에 표시되는 팝업 알림에서 **CSV 다운로드**.\ ![A notification has a circled "Download CSV" button.](/files/52b0550bfe0b664697582c0625d9fa1f0d395039) * 다음에서 **CSV 다운로드 준비 완료** 알림을 [알림 목록](/ko/system-configuration/notifications.md#viewing-notifications)에서 **CSV 다운로드**을 클릭하세요. 이 다운로드 링크는 12시간 후 만료됩니다. 그 시간이 지나면 알림의 Search 링크를 클릭하여 쿼리로 돌아간 다음 CSV를 다시 생성할 수 있습니다. !["Notifications" 제목 아래에 "Download CSV" 버튼이 표시되어 있고, 원으로 강조되어 있습니다.](/files/4a5144716348124d2fb7f20042dd34bbebd8f4f3) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/search/search-tool.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.