search
Knowledge BaseRelease NotesRequest Demo

검색

SQL을 쓰지 않고 데이터 쿼리 구성하기

hashtag
개요

Panther의 검색 도구에서 SQL을 작성하지 않고도 로그 이벤트, 룰 매치 등 모든 데이터에서 검색할 수 있습니다. 드롭다운 필드를 사용해 필터 표현식을 만들고 이를 그룹화할 수 있습니다 AND{ "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 기능. 또한 다음을 실행할 수도 있습니다 PantherFlow 검색에서 쿼리(예: 생성하기 위해) 시각화 추가할 수 있는 맞춤 대시보드.

필터 표현식은 여러 가지 방식으로 구성할 수 있습니다: 다음과 같이 키/값 쌍클릭한 경우 자유 텍스트 검색 또는 정규 표현식 검색. 이들 각각은 또한 와일드카드 문자를 사용할 수 있습니다. 서로 다른 유형의 필터 표현식을 하나의 검색에서 결합할 수 있습니다.

In the Search page in Panther, there are two conditions joined by "OR" : "Source Domain is apigateway.amazonaws.com" and ".*aws:.*admin.*". Below the search conditions is a histogram, followed by a results table.

검색을 실행하면 결과 테이블이 시간에 따른 결과 이벤트 분포를 시각화한 히스토그램 아래에 표시됩니다. 결과 테이블은 사용자 지정 가능하며—다음을 이벤트 필드를 추가하거나 제거 열로. 결과 테이블에서 다음을 수행할 수도 있습니다 포함/제외 필터 추가 검색, 피벗 및 관련 엔리치먼트 데이터 조회을(를) 할 수 있습니다. Panther AI를 사용하여 결과 집합을 요약할.

다음을 수행할 수 있습니다 팀과 협업 결과 테이블을 다운로드하거나 Panther에서 특정 검색에 대한 링크를 공유하여.

hashtag
검색 사용 방법

다음을 사용하여 데이터를 효과적으로 검색할 수 있습니다:

hashtag
데이터베이스, 테이블 및 기간 필터 사용

데이터베이스, 테이블 및 기간 필터를 사용하여 검색 범위를 좁히세요. 이러한 컨트롤 사용은 선택 사항이지만, 대규모 데이터 세트를 검색할 때 검색 성능을 크게 향상시킬 수 있습니다. 아래에서 각 필터에 대해 자세히 알아보세요.

circle-info

만약 PantherFlow 쿼리를 작성하면 Search에서 Panther는 쿼리 텍스트를 데이터베이스, 테이블 및 기간 필터 값과 동기화하려고 시도합니다. 자세한 내용은 PantherFlow 쿼리 텍스트와 필터 동기화.

The Search UI in Panther is shown. Three dropdowns in the upper-right corner are shown. The first has a selection of "Logs," the second has a selection of "All tables," and the third has a value of "Last 24 hours."

hashtag
데이터베이스 필터

데이터베이스 필터를 사용하여 검색을 특정 데이터베이스로 좁히세요. 예: 오직 로그 이전에 생성한 Snowflake 사용자 이름, 예를 들면 룰 매치.

이 필터의 기본값은 로그입니다. 데이터베이스 필터에 포함된 옵션은 다음과 같습니다:

  • 룰 매치

  • 로그

  • 조회(룩업)

  • 모니터

  • 클라우드 보안

  • 룰 오류

  • 시그널

Three dropdown fields are shown. The first one is open, and the checkbox next to "Logs" is selected. The middle dropdown has a selection of "All tables" made, and the third has a selection of "Last 24 hours."

hashtag
테이블 필터

테이블 필터를 사용하여 데이터베이스 필터로 지정된 데이터베이스 내에서 특정 테이블로 검색을 좁히세요. 데이터베이스 필터.

이 필터의 기본값은 모든 테이블—이는 포함된 각 데이터베이스의 모든 테이블을 포함합니다. 드롭다운에서 특정 테이블만 선택하여 검색을 좁힐 수 있습니다.

Three dropdowns are shown: in the first, "Monitor" is selected. the second one is open, and the checkbox next to "Classification Failures" is checked. In the third dropdown, "Last month" is selected.

hashtag
기간 필터

기간 필터를 사용하여 검색을 특정 기간으로 좁히세요.

이 필터의 기본값은 최근 20분. 다음과 같은 사전 설정된 상대 옵션(예: 지난 1시간 이전에 생성한 Snowflake 사용자 이름, 예를 들면 지난 주) 중 하나를 사용하거나, 상대 시간으로 자체 상대 창을 설정하거나, 전체 기간으로 시간 제약을 제거하거나, 사용자 지정 범위으로 특정 창을 설정할 수 있습니다. 사용자 지정 범위를 사용할 때는 Search에서 시간대가 사용되는 방식.

A dropdown field with the selection "Last 20 mins" is shown. It is expanded and multiple options are shown, including "Last 3 months" and "All time".
Two fields are shown: one is a numerical field with increase/decrease arrows, and the other is a dropdown with the value "mins" selected. At the bottom are "Cancel" and "Apply" buttons.
A date and time picker is shown. On the left-hand side there are preset relative values, like "Last hour," "Last 3 days," etc. On the right-hand side is a calendar picker, as well as dropdown fields to select the time. At the bottom are "Cancel" and "Apply" buttons.

hashtag
Search의 시간대

만약 귀하의 Panther 콘솔이 UTC 시간대 표시 설정 정의되어 켜기으로 되어 있으면, Search 도구는 타임스탬프를 표시할 때 항상 협정 세계시(UTC)를 사용합니다. 설정이 OFF으로 되어 있으면, Search 도구는 다음 위치에서 타임스탬프를 표시할 때 로컬 시간대를 사용합니다:

hashtag
필터 표현식 생성

필터 표현식은 다음을 포함하는 절입니다: 키/값 검색 논리, 자유 검색어, 또는 일치 패턴. 필터 표현식을 생성하려면 검색 필터 추가 바를 클릭하거나 필터 표현식 추가 키보드 단축키.

The Search tool is shown. The search bar, which has placeholder text of "Add search filter," is empty. It is circled.

hashtag
키/값 필터 표현식

키/값 필터 표현식에서는 이벤트 키를 선택하고 필요한 경우 값을 제공합니다.

In the Search bar is one filter expression. It reads "Emails has john.doe@email.com"

키/값 필터 표현식을 생성하려면:

  1. 을 클릭하세요 검색 필터 추가 바를 사용하거나 필터 표현식 추가 키보드 단축키.

  2. 드롭다운 목록에서 이벤트 키를 선택하세요. 드롭다운 메뉴에는 다음 카테고리로 그룹화된 옵션이 포함되어 있습니다:

    • Panther 필드 : 포함 지표 필드 (다른 말로는 p_any 필드), 및 핵심 필드 (p_udm 필드), 이는 로그 유형 전반에서 검색할 때 유용합니다. In the Search bar, a dropdown shows "Panther Fields" including Actor IDs, AWS Account IDs, and AWS ARNs

    • 다중 테이블: 둘 이상의 로그 유형에서 발견되는 필드입니다. In the Search bar, there is a dropdown showing "Multiple Tables" options, including apiVersion, kind, and level

    • 일치하는 필드가 있는 모든 나머지 테이블은 알파벳순으로 표시됩니다.

  3. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택합니다.

    • 드롭다운 옵션은 선택된 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다.

    • 사용 가능한 연산자의 전체 목록은 검색 필터 연산자.

  4. 선택한 연산자가 값을 요구하는 경우 값을 입력합니다.

  5. 다른 필터 식을 생성하려면:

    • 다음을 생성하려면 AND 필터는 방금 생성한 식의 외부(하지만 동일한 수평 바 내) 를 클릭하거나 TAB.

    • 다음을 생성하려면 { "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 필터는 + OR 조건 추가.

  6. 검색을 실행할 준비가 되면 클릭하거나 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 또는 ENTER.

    • 두 줄 이상인 경우 접힙니다. 모든 필터를 확장하려면 조건 +n 표시.

circle-info

또한 빠르게 초기 검색의 결과 집합에서 키/값 필터 표현식을 생성할 수 있습니다 있습니다.

hashtag
자유 텍스트 필터 표현식

자유 텍스트 필터 표현식에서는 문자열을 입력합니다.

circle-info

자유 텍스트 필터 표현식은 데이터베이스, 테이블 및 기간 제약 내의 모든 이벤트의 모든 필드(복잡한 객체 내 중첩된 필드 포함)를 검색하므로 검색 실행에 오랜 시간이 걸릴 수 있습니다.

자유 텍스트 필터 표현식을 사용하는 동안 검색 성능을 향상하려면, 검색할 테이블의 하위 집합을 선택하세요 .

자유 텍스트 필터 표현식을 생성하려면:

  1. 을 클릭하세요 검색 필터 추가 바를 사용하거나 필터 표현식 추가 키보드 단축키.

  2. 텍스트 값을 입력하세요.

  3. 다른 필터 식을 생성하려면:

    • 다음을 생성하려면 AND 필터는 방금 생성한 식의 외부(하지만 동일한 수평 바 내) 를 클릭하거나 TAB.

    • 다음을 생성하려면 { "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 필터는 + OR 조건 추가.

  4. 검색을 실행할 준비가 되면 클릭하거나 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 또는 ENTER.

    • 두 줄 이상인 경우 접힙니다. 모든 필터를 확장하려면 조건 +n 표시.

hashtag
정규 표현식(regex) 필터 표현식

Search에서 regex를 사용하는 것은 로그 전반에 걸친 동적 텍스트 기반 검색에 강력할 수 있습니다. Search는 POSIX-확장 정규 표현식arrow-up-right.

A single filter expression is created in the Search bar. It reads ".*aws:.*admin.*"

을(를) 지원합니다.

  1. 을 클릭하세요 검색 필터 추가 바를 사용하거나 필터 표현식 추가 키보드 단축키.

  2. 정규식 필터 표현식을 생성하려면: 키보드 단축키.

  3. 를 사용하세요. 정규식 모드에서 나가려면 동일한.

  4. 다른 필터 식을 생성하려면:

    • 다음을 생성하려면 AND 필터는 방금 생성한 식의 외부(하지만 동일한 수평 바 내) 를 클릭하거나 TAB.

    • 다음을 생성하려면 { "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 필터는 + OR 조건 추가.

  5. 검색을 실행할 준비가 되면 클릭하거나 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 또는 ENTER.

    • 두 줄 이상인 경우 접힙니다. 모든 필터를 확장하려면 조건 +n 표시.

hashtag
를 반복하면 됩니다.

검색하려는 정규 표현식을 입력하세요. 예:*.*aws:.*admin.* 필터 표현식에서 와일드카드 사용 와일드카드 문자( type: string )는 문자열이나 표현식의 시작, 중간 또는 끝에 자리 표시자로 사용할 수 있습니다. 와일드카드 문자는 키/값 필터 표현식), (키에, 또는 가 있고 연산자가.

LIKE

  • 인 경우에만) * 자유 텍스트 필터 표현식

  • 정규식 필터 표현식 * 자유 텍스트 필터 표현식

  • 내에서 사용할 수 있습니다. * 자유 텍스트 필터 표현식

In the Search page in Panther are three conditions: "Log Type is not Windows.EventLogs", "Log Type like AWS*Flow", and "ACCE*". Below is a histogram, followed by a results table.

hashtag
와일드카드 문자의 위치는 어떤 데이터가 일치로 반환되는지를 결정합니다:

circle-exclamation

시작: 해당 PantherFlow.

보다 앞선 또는 그 위치의 모든 문자(들)가 일치로 간주됩니다.

중간: 해당

  1. 의 위치에 있는 모든 문자(들). 끝: 해당 이후 또는 그 위치의 모든 문자(들).

  2. 을 클릭하세요 검색 필터 추가 바를 사용하거나 필터 표현식 추가 키보드 단축키.

  3. 침해 지표(Indicators of Compromise) 검색

  4. 이 기능은 다음으로 검색할 때 사용할 수 없습니다: 응답 시 공개된 위반 공지나 위협 사냥을 수행할 때, 조직의 이벤트 로그 전반에서 침해 지표(IoC) 목록에 있는 값이 발견되는지 빠르게 파악해야 할 수 있습니다. 옵션.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 또는 ENTER.

hashtag
비디오 안내

hashtag
를 선택하세요.

Search는 입력된 문자열을 공백, 쉼표 및 세미콜론 기준으로 파싱한 후 각 값이

Panther 지표 필드
와 일치하는지 감지합니다. 감지된 각 지표 필드에 대해 Search는
를 생성합니다. 다른 값은 여전히

자유 텍스트 표현식

으로 남습니다.

각 필터 표현식은

로 결합됩니다.

필터 표현식용 키보드 단축키

Search에서 필터 표현식을 만들 때 아래 키보드 단축키를 사용하세요:

작업

Mac

Windows/Linux

필터 표현식 추가 정규식 모드 진입 또는 종료

⌘/

⌃/

현재 그룹의 모든 필터 선택

⌘A

⌃A

선택한 필터 복사

⌘C

⌃C

붙여넣기

⌘V

⌘V

hashtag
⌃V

circle-info

PantherFlow는 Panther 버전 1.110부터 오픈 베타 상태이며 모든 고객이 사용할 수 있습니다. 버그 리포트와 기능 요청은 Panther 지원팀에 공유해 주세요.

실행 취소 PantherFlow ⌘Z

  1. Panther 콘솔의 왼쪽 탐색 창에서 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 > 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

  2. ⌃Z 데이터베이스 필터다시 실행

    • ⇧⌘Z

  3. ⇧⌃Z 선택한 필터 삭제

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

hashtag
PantherFlow 쿼리 텍스트와 필터 동기화

circle-info

PantherFlow 코드 편집기에 쿼리를 입력하거나(또는

텍스트 상자 위에 자연어로 쿼리를 설명 데이터베이스, 테이블 및 기간 필터 을(를) 사용하세요).

circle-info

쿼리를 입력하면 페이지 오른쪽 상단의

는 PantherFlow 쿼리 텍스트와 동기화 상태로 유지됩니다. 자세한 내용은

  • PantherFlow 쿼리를 구성하는 방법 알아보기 PantherFlow 문서테이블 현재의

  • PantherFlow의 제한 사항 을(를) 참고하세요. PantherFlow 쿼리 텍스트와 필터 동기화는 Panther 버전 1.116부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원 팀에 공유해 주세요. 기간 필터.

PantherFlow 쿼리를 입력하거나 PantherFlow 쿼리 입력 후 값을 업데이트하면 Panther는 쿼리 텍스트와 필터 값을 동기화하려고 시도합니다. PantherFlow 쿼리 텍스트와 필터를 동기화할 수 없으면 PantherFlow 쿼리 텍스트가 우선하며 필터 값은 무시됩니다. PantherFlow 쿼리를 입력하거나 업데이트하면 필터 값에 변경이 발생합니다:

  • PantherFlow 쿼리에서 데이터베이스 또는 테이블을 지정하면 각각 기간 필터 데이터베이스 을(를) 참고하세요. 필터 값이 업데이트됩니다.

  • 날짜/시간 범위를 지정하면(예: 데이터베이스 필터 | where p_event_time...

    • 문) PantherFlow 쿼리는

hashtag
를 업데이트합니다.

circle-info

PantherFlow 쿼리를 입력한 후 데이터베이스, 테이블 또는 기간 필터를 업데이트하면 PantherFlow 쿼리 텍스트에 변경이 발생합니다:

필터 값을 업데이트하고 PantherFlow 쿼리가 이미 해당 값을 지정한 경우(예: 필터를 업데이트했고 쿼리가 이미 : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요으로 날짜/시간 범위를 지정한 경우), 쿼리의 해당 부분이 필터 값에 맞게 업데이트됩니다.

필터 값을 업데이트하고 PantherFlow 쿼리가 아직 해당 값을 지정하지 않은 경우(예:

를 업데이트했지만 쿼리가 아직 데이터베이스를 지정하지 않은 경우), 필터 값을 지정하는 새 줄이 삽입됩니다.

  1. Panther 콘솔의 왼쪽 탐색 창에서 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 > 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

  2. ⌃Z 데이터베이스 필터다시 실행

    • ⇧⌘Z

  3. 데이터베이스 및 테이블 변경은 PantherFlow 쿼리 상단에 새 줄로 표시됩니다. 날짜/시간 변경은 데이터베이스/테이블 문 아래의 새 줄로 표시됩니다.

  4. AI 기반 PantherFlow 쿼리 생성(베타)

  5. AI 기반 PantherFlow 쿼리 생성은 Panther 버전 1.118부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원 팀에 공유해 주세요. 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

hashtag
PantherFlow 쿼리를 직접 작성하는 것 외에도,

circle-exclamation

을(를) 사용하여 자연어로 쿼리를 생성할 수 있습니다. 즉, 어떤 언어로든 평범한 언어로 검색 의도를 설명할 수 있습니다. 예: "지난 24시간 동안 Okta System Log에서 실패한 로그인 보기." 스케줄된 검색).

생성하려는 쿼리를 설명하는 동안 @ 멘션으로 데이터 테이블 이름 자동완성 제안을 받을 수 있습니다. 특정 데이터 테이블을 명시하지 않으면 Panther AI가 설명에 기반하여 관련 테이블을 자동으로 제안합니다. 저장된 및 예약된 검색.

AI 기반 쿼리 생성을 사용하려면:

  1. PantherFlow 편집기 상단의 텍스트 상자에 수행하려는 검색을 설명하세요. 검색 사용 방법.

  2. 다음 검색 필터 추가 텍스트 입력 상자 오른쪽에 있는 화살표(쿼리 생성)를 클릭하세요. 생성된 PantherFlow 쿼리를 검토하고 필요한 변경을 한 후 클릭하세요.

    The Search UI is shown, with one filter expression created ("kind is http"). Below the search bar, the "Save As" text is circled.

  3. 저장된 검색 생성

    • 검색 저장팝업 모달이 나타나면 양식을 작성하세요:

    • 태그 Search에서 저장된 검색(Saved Search)을 생성할 수는 있지만, 예약(예:

    • 설명 생성)은 불가능합니다. 저장된 검색을 생성하면 자주 실행하는 검색을 빠르게 재사용할 수 있습니다. 자세한 내용은

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음 SQL 편집기 아래에서 클릭하세요.

    • 을(를) 참조하세요.

hashtag
저장된 검색을 생성하려면:

다음의 지침을 따라 검색을 생성하세요

다른 이름으로 저장

  1. Panther 콘솔의 왼쪽 탐색 창에서 아래에는 데이터 익스플로러에서 작성한 검색을 저장하는 방법에 대한 지침이 나와 있습니다. 또한 > 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

  2. 팝업 모달의 필드에 값을 입력하세요: ON).

    • 다음의 , 이제 (선택 사항): 태그를 추가하세요. 태그는 관련 검색을 그룹화하는 데 도움이 될 수 있습니다.

  3. (선택 사항): 검색 목적을 설명하세요. 데이터 익스플로러에서 저장되거나 예약된 검색 업데이트하기.

    • 다음 섹션에서 저장된 검색을 열고 재사용하는 방법을 알아보세요.

hashtag
저장된 검색이 Search에 채워집니다.

저장된 검색 페이지 저장된 검색 페이지에서 저장된 검색을 열려면:클릭한 경우 열려는 검색을 상단의 검색 바와 필요 시를 사용하여 찾으세요..

hashtag
검색 타일의 오른쪽 상단에서 점 세 개 아이콘을 클릭하세요.

Search에서 보기

A histogram is shown, depicting a number of bars spanning from JUN 05 20:08 to JUN 05 21:03.

Search로 리디렉션되어 저장된 검색이 채워집니다.

A histogram is shown. A double-sided arrow button in the upper-right corner, with the tooltip "Expand," is circled.

hashtag
검색 결과 분석

검색 결과에는 다음이 포함됩니다:

A rectangle has the text, "Wednesday 05 June 2024, 15:00 (UTC)." Then, below, "AWS.CloudTrail" and "Panther.Audit."

히스토그램

circle-info

결과 이벤트 테이블

hashtag
요약 시각화

검색 결과 히스토그램 결과 히스토그램은 검색의 날짜 및 시간 창 내에서 이벤트 분포를 표시하여 결과를 빠르게 맥락화하는 데 도움을 줍니다., 검색을 실행한 후 히스토그램은 기본적으로 축소된 상태로 표시됩니다. 차트 오른쪽 상단의 대각선 화살표 버튼을 클릭하면 확장할 수 있습니다. 버튼을 다시 클릭하면 차트가 다시 축소됩니다.히스토그램과 상호작용하기 차트의 막대 위에 마우스를 올리면 해당 기간의 로그 유형별 개수에 대한 추가 데이터 인사이트를 확인할 수 있습니다.

또한 히스토그램 막대 중 하나를 클릭하면 해당 시간 범위로 설정된 새 검색을(새 브라우저 탭에서) 생성하여 드릴다운할 수 있습니다., 이 드릴다운 기능은 1분보다 긴 기간을 나타내는 막대에만 사용할 수 있습니다.결과 테이블에서 필드 추가, 제거 및 재정렬.

hashtag
검색의 결과 테이블을 사용자 지정하여

추가 제거 재정렬 열을. 결과 테이블에서 직접 새 필터를 생성.

결과 테이블 값으로 필터 표현식 교체 결과 테이블 값의 엔리치먼트 데이터 탐색 Search 결과 테이블에 열을 추가하는 방법 결과 테이블에서 직접 새 필터를 생성.

사용 가능한 필드

  1. 목록에서 또는 제거 JSON 이벤트 보기에서 추가할 수 있습니다.

    A list of event fields is displayed underneath an "Available Fields" header.

  2. 필드는 + 사용 가능한 필드 목록에서만 테이블에 추가할 수 있습니다.

    • 사용 가능한 필드 목록에서 Search 결과 테이블에 열 추가 결과 테이블 왼쪽의 필드 목록에서.

hashtag
(더하기 기호)를 클릭하세요.

필드는 결과 테이블에 열로 추가되며 테이블 왼쪽의 결과 테이블 왼쪽의 필드 목록에서 재정렬 선택된 필드 결과 테이블에서 직접 새 필터를 생성내에 나열됩니다. JSON 이벤트 보기에서 Search 결과 테이블에 열 추가.

결과 테이블에 추가하려는 필드를 찾으세요.

  1. 목록에서 또는 결과 테이블 왼쪽의 필드 목록에서 필드 위에 마우스를 올리고 있는 동안

  2. 필드는 - 를 클릭하세요.

    Under the "Selected Fields" header, there are log fields. To the right of "PantherAudit.actionName" the minus button is hovered over. Its tooltip reads, "Remove column"

    • Search 결과 테이블에서 열을 제거하는 방법 제거.

hashtag
선택된 필드 목록에서 Search 결과 테이블에서 열 제거

  • 헤더 내에서 결과 테이블에서 제거하려는 필드를 찾으세요.

hashtag
(마이너스 기호)를 클릭하세요.

필드의 열이 결과 테이블에서 제거되고 테이블 왼쪽의 결과 테이블의 EVENT 에 나열됩니다. 결과 테이블의 EVENT JSON 이벤트 보기에서 Search 결과 테이블에서 열 제거

결과 테이블에서 제거하려는 필드를 찾으세요. 테이블 헤더 행 헤더 행에서 Search 결과 테이블에서 열 제거 JSON 이벤트 슬라이드아웃 패널결과 테이블에서 제거하려는 열의 헤더 위에 마우스를 올리세요. 열 헤더 오른쪽에서.

hashtag
를 클릭하세요.

Search 결과 테이블에서 열을 재정렬하는 방법 결과 테이블의 EVENT 열 헤더를 클릭하고 원하는 위치로 드래그하여 결과 테이블의 열 순서를 변경하세요.

A tooltip of a button below a histogram (and at the top of the results table) reads "Detailed view." A full event in the results table has been circled.

전체 이벤트 보기

Below a histogram (and at the top of the results table), a button's tooltip reads, "Compact view."

hashtag
JSON 이벤트 슬라이드아웃 패널

결과 테이블은 기본적으로 컴팩트 보기로 로드됩니다. 이 보기에서는 종종 크기가 큰

필드를 포함한 모든 로그 필드를 단일 행에 표시합니다. 이 보기에서 열 헤더 오른쪽에서 값을 보려면 수평으로 스크롤하세요. 전체 이벤트 데이터를 보다 쉽게 보려면 토글.

In Search, the event JSON slide-out panel is shown. Above the event JSON, a "Show Panther fields" toggle, set to ON, is circled.

자세한 테이블 보기 또는.

hashtag
를 사용할 수 있습니다. 슬라이드아웃 패널을 사용하면

Panther 필드 를 표시하거나 숨길 수 있다는 추가 이점이 있습니다. 자세한 결과 테이블 보기 를 표시하거나 숨길 수 있다는 추가 이점이 있습니다..

A "Visualizations" tab is circled. Two bar charts are shown, titled "Log Type" and "Destination Bytes."

또한 결과 테이블은 대신 로그를 자세한 보기로 표시할 수 있습니다. 이 보기에서는, 필드 값을 이벤트의 다른 필드 아래 새 행에 줄 바꿈과 함께 표시합니다.자세한 보기를 사용하려면 테이블 오른쪽 상단의 토글 버튼을 클릭하세요:.

이벤트 행을 클릭하면 JSON 형식의 전체 이벤트 데이터를 볼 수 있습니다. 그러면 브라우저 창 오른쪽에 슬라이드아웃 패널이 열립니다.

JSON 이벤트 보기에서는 제거결과 테이블 왼쪽의 필드 목록에서 가 JSON 객체 상단에 표시되고 그 다음에 이벤트 필드가 표시됩니다. 이 필드를

버튼을 클릭하여 숨기거나 표시할 수 있습니다.

  • 내부의 제거 Panther 필드 표시 +.

    Under an "Available Fields" header is a "Panther Fields" header, then a field called "Destination ARNs." To its right is a plus sign that's been hovered over; its tooltip reads "Add as column."

슬라이드아웃 패널에서 필드 위에 마우스를 올리면 필터 추가와 같은 추가 작업을 수행할 수 있는 아이콘이 표시됩니다. 자세한 내용은

  • 내부의 결과 테이블 왼쪽의 필드 목록에서 Panther 필드 표시 검색 반복 작업.

    Under a "Selected Fields" header are three fields: "Log Type," "Destination Bytes," and "Destination IP." To their right is a minus sign, one has been hovered over; its tooltip reads "Remove column."

검색 결과 요약 차트

검색 결과 내에서

  • 시각화

    An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Ascending"

탭은 필드 값에 대한 막대 차트를 표시하여 데이터에 대한 빠른 인사이트를 제공하는 데 도움이 됩니다. 이 차트를 보려면

  • 요약 차트에서 직접 필터 생성

    An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Descending"

요약 차트의 값으로 필터 교체

  • 요약 차트 값의 엔리치먼트 데이터 탐색 요약 차트 추가 또는 제거 방법결과 패널 왼쪽의 목록을 사용하여 이벤트 필드에 대한 시각화를 추가하거나 제거하세요. 필드를 추가하거나 제거하면 차트와 결과 테이블의 열 모두에서 해당 필드가 표시되거나 숨겨집니다. 시각화를 추가하려면: 목록에서 필드 이름 오른쪽에 있는.

hashtag
를 클릭하세요.

circle-info

시각화를 제거하려면:

circle-info

차트의 정렬 순서 설정 방법.

결과를 오름차순(최저에서 최고)으로 정렬하려면: : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요시각화 오른쪽 상단에서 아래쪽을 가리키는 화살표 아이콘을 클릭하세요: 결과를 내림차순(최고에서 최저)으로 정렬하려면:.

시각화 오른쪽 상단에서 위쪽을 가리키는 화살표 아이콘을 클릭하세요: 차트에 표시되는 값 수를 확장하거나 축소하는 방법 시각화에서 처음 25개 값을 보려면, 오른쪽 하단에서 : 샘플 로그 집합 업로드: 시스템에서 파일을 팝업 모달로 드래그하거나 클릭하세요상위 25개 표시.

를 클릭하세요. 사용 가능한 값이 25개 미만이면 텍스트는 대신

  1. 모든 <숫자> 행 표시 로 표시됩니다. 시각화에서 처음 다섯 개 값만 보려면 오른쪽 하단에서.

    On a page titled "Search" a "View AI Summary" button is circled.

    • 추가 행 숨기기

      • 를 클릭하세요. 로 표시됩니다. 시각화에서 처음 다섯 개 값만 보려면 오른쪽 하단에서Panther AI 검색 결과 요약

        A slide-out panel titled "ALB Reconnaissance Analysis" is circled. It has "Summary" and "Key Findings" sections, as well as a chart titled "Request Status Distribution."

  2. 검색의 AI 이벤트 요약은 Panther 버전 1.113부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원 팀에 공유해 주세요. Panther AI 기능 사용은 법적 페이지에 있는AI 면책 조항

    • 의 적용을 받습니다.

    • 결과를 생성하는 검색을 실행한 후 결과 이벤트에 대해

    • AI 응답 기록 관리

      A text box with the prompt "Ask a question about the data, rewrite the prompt, etc." is circled.

hashtag
또는

에서 확인하세요. 결과 테이블에 표시된 이벤트에 대한 AI 생성 요약을 보려면: 포함/제외 필터 생성, 필터 표현을 결과 값으로 교체인리치먼트 데이터 탐색.

hashtag
결과에서 포함 또는 제외 필터 표현을 생성하는 방법

JSON 이벤트 슬라이드아웃 패널에서 필터 표현을 생성하는 방법

  1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭합니다.

    • JSON 이벤트 슬라이드아웃 패널이 표시됩니다.

  2. JSON 이벤트 슬라이드아웃 패널에서 포함 또는 제외 필터 표현을 생성하려는 값 위로 마우스를 가져갑니다. In the JSON event slide out panel, a field has been hovered over, and the tooltip of a button that has appeared reads, "Filter by value."

    • 포함 필터를 생성하려면 클릭하세요 A filter icon with a plus sign..

    • 제외 필터를 생성하려면 클릭하세요 A filter icon with a minus sign..

  3. 창 상단의 검색창에서 새 필터 표현을 확인합니다.

  4. 검색 결과를 새로고침하려면 클릭하세요 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

hashtag
결과의 값으로 필터 표현을 교체하는 방법

결과 테이블의 값으로 필터 표현을 교체하는 방법

  1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭합니다.

    • JSON 이벤트 슬라이드아웃 패널이 표시됩니다.

  2. JSON 이벤트 슬라이드아웃 패널에서 피벗하려는 필드 위로 마우스를 가져갑니다.

    JSON 이벤트 슬라이드아웃 패널에서 필드 위로 마우스를 올리면 나타난 버튼의 툴팁에 "Replace filters with value."라고 표시됩니다.

  3. 교체 아이콘을 클릭하세요 A magnifying glass icon.

    • 모든 기존 필터는 피벗한 키/값만을 나타내는 필터 표현으로 대체됩니다.

  4. 검색 결과를 새로고침하려면 클릭하세요 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다.

hashtag
결과의 값에 대한 인리치먼트 데이터를 탐색하는 방법

JSON 이벤트 슬라이드아웃 패널에서 값의 인리치먼트 데이터를 탐색하는 방법

  1. 결과 테이블에서 관심 있는 이벤트 행을 찾아 클릭합니다.

    • JSON 이벤트 슬라이드아웃 패널이 표시됩니다.

  2. JSON 이벤트 슬라이드아웃 패널에서 탐색하려는 값 위로 마우스를 가져갑니다 인리치먼트 데이터 대상. The p_any_ip_addresses field is shown, and next two one of its values is a series of icons. The table icon is hovered over.

  3. 인리치먼트 아이콘을 클릭하세요 A small database table icon.

  4. 일반 구성 인리치먼트 조회 팝업 모달에서, 다음을 사용하세요 LOOKUP TABLE 열에서 탐색하려는 인리치먼트 소스의 행을 찾아서 클릭하세요 JSON 보기→. The Lookup Enrichment modal has two rows, with differing Lookup Table values. The first row's "View JSON" button is circled.

    • 인리치먼트 항목이 표시됩니다. The Lookup Enrichment modal shows an ipinfo_asn entry in JSON.

hashtag
검색 공유

조사하거나 위협 헌팅을 하는 동안 팀과 검색 또는 결과 세트를 공유하는 것이 유용할 수 있습니다. 이렇게 하려면:

  1. 결과 테이블의 오른쪽 상단에서 클릭하세요 공유:

    The results table is shown. In the upper-right corner, the Share button's menu is open, displaying two options: Copy link to view and Download CSV. This button and its options are circled.

  2. 메뉴 옵션 중 하나를 선택하세요:

    • 보기용 링크 복사: 특정 검색에 대한 URL을 클립보드로 복사합니다.

    • (결과가 1000개 이하인 경우) CSV 다운로드: 결과 테이블의 CSV를 다운로드합니다.

circle-info

결과 세트가 1000행을 초과하는 경우의 CSV 생성은 Panther 버전 1.114부터 오픈 베타이며 모든 고객이 이용할 수 있습니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.

  • (결과가 1000개 초과인 경우) CSV 생성: Panther가 결과의 CSV 파일(최대 1GB)을 비동기적으로 생성하기 시작하며, Panther 콘솔의 왼쪽 하단 팝업으로 표시됩니다: A slide-in notification displays the text: "Generating CSV... this may take some time. You will be notified in app when the file is ready"

    • Panther가 CSV 생성을 완료하여 다운로드할 준비가 되면, 알러트를 받게 됩니다. CSV에 접근하려면 다음 중 하나를 수행하세요:

      • Panther 콘솔 왼쪽 하단의 팝업 알림에서 클릭하세요 CSV 다운로드. A notification has a circled "Download CSV" button.

      • 페이지에서 CSV 다운로드 준비 완료 알림에서 알림 목록인 경우 JSON 로그를 업로드했다면 클릭하세요 CSV 다운로드. 이 다운로드 링크는 12시간 후 만료됩니다—그 이후에는 알림의 검색 링크를 클릭하여 쿼리로 돌아간 다음 CSV를 다시 생성할 수 있습니다.

        "알림" 헤더 아래에 "CSV 다운로드" 버튼이 원으로 표시되어 있습니다.
이전Panther에서의 위협 헌팅다음검색 필터 연산자

마지막 업데이트

도움이 되었나요?