Ctrlk
Knowledge BaseRelease NotesRequest Demo

검색

SQL을 작성하지 않고 데이터 쿼리 구성하기

개요

Panther의 Search 도구에서는 SQL을 작성하지 않고도 로그 이벤트, 룰 매치 등을 포함한 모든 데이터를 검색할 수 있습니다. 드롭다운 필드를 사용해 필터 표현식을 만들고 이를 다음으로 그룹화할 수 있습니다 ANDOR 기능. 또한 PantherFlow 쿼리를 Search에서 실행할 수도 있습니다. 여기에는 시각화 를 생성하여 사용자 지정 대시보드.

에 추가하는 것도 포함됩니다. 필터 표현식은 여러 방식으로 구성할 수 있습니다: 키/값 쌍, 자유 텍스트 검색 또는 정규식 검색으로 만들 수 있습니다. 이 각각은 또한 와일드카드 문자를 사용할 수 있습니다. 하나의 검색에서 서로 다른 유형의 필터 표현식을 결합할 수 있습니다.

In the Search page in Panther, there are two conditions joined by "OR" : "Source Domain is apigateway.amazonaws.com" and ".*aws:.*admin.*". Below the search conditions is a histogram, followed by a results table.

검색을 실행하면 결과 이벤트의 시간별 분포를 시각화한 히스토그램 아래에 결과 표가 표시됩니다. 결과 표는 사용자 지정할 수 있으며, 이벤트 필드를 추가하거나 제거 하여 열로 표시할 수 있습니다. 또한 결과 표에서 포함/제외 필터를 추가 하여 검색을 피벗하고 관련 보강 데이터를 조회할 수 있습니다. 또한 Panther AI를 사용해 결과 집합을 요약.

다음을 할 수 있습니다. 팀과 협업 할 수 있습니다. 결과 표를 다운로드하거나 Panther에서 특정 검색에 대한 링크를 공유하면 됩니다.

Search 사용 방법

다음을 사용하여 데이터를 효과적으로 검색할 수 있습니다:

데이터베이스, 테이블, 날짜 범위 필터 사용

데이터베이스, 테이블, 날짜 범위 필터를 사용하여 검색 범위를 좁히세요. 이러한 컨트롤은 선택 사항이지만 대용량 데이터 세트를 검색할 때 검색 성능을 크게 향상시킬 수 있습니다. 각 필터에 대해 자세한 내용은 아래에서 확인하세요.

만약 PantherFlow 쿼리를 작성하면 Search에서 Panther가 쿼리 텍스트를 데이터베이스, 테이블, 날짜 범위 필터 값과 동기화하려고 시도합니다. 자세한 내용은 PantherFlow 쿼리 텍스트와 필터 동기화.

The Search UI in Panther is shown. Three dropdowns in the upper-right corner are shown. The first has a selection of "Logs," the second has a selection of "All tables," and the third has a value of "Last 24 hours."

데이터베이스 필터

데이터베이스 필터를 사용하여 특정 데이터베이스로 검색 범위를 좁히세요. 예를 들어 Logs 또는 룰 매치.

이 필터의 기본값은 Logs입니다. 데이터베이스 필터에 포함된 옵션은 다음과 같습니다:

  • 룰 매치

  • Logs

  • Lookups

  • Monitor

  • Cloud Security

  • 룰 오류

  • Signals

Three dropdown fields are shown. The first one is open, and the checkbox next to "Logs" is selected. The middle dropdown has a selection of "All tables" made, and the third has a selection of "Last 24 hours."

테이블 필터

테이블 필터를 사용하여 데이터베이스 필터.

이 필터의 기본값은 의 데이터베이스 내 특정 테이블로 검색 범위를 좁히세요.여기에는 포함된 각 데이터베이스의 모든 테이블이 포함됩니다. 이 드롭다운에서 일부 테이블만 선택하여 검색 범위를 더 좁힐 수 있습니다.

Three dropdowns are shown: in the first, "Monitor" is selected. the second one is open, and the checkbox next to "Classification Failures" is checked. In the third dropdown, "Last month" is selected.

날짜 범위 필터

날짜 범위 필터를 사용하여 검색 범위를 특정 기간으로 좁히세요.

이 필터의 기본값은 최근 20분. 다음과 같은 사전 설정 상대 옵션 중 하나를 사용할 수 있습니다( 최근 1시간 또는 지난주), 상대 시간으로 자체 상대 범위를 설정하거나 전체 기간으로 시간 제한을 제거하거나 사용자 지정 범위로 특정 범위를 설정할 수 있습니다. 사용자 지정 범위를 사용할 때는 Search에서 시간대가 어떻게 사용되는지.

A dropdown field with the selection "Last 20 mins" is shown. It is expanded and multiple options are shown, including "Last 3 months" and "All time".
Two fields are shown: one is a numerical field with increase/decrease arrows, and the other is a dropdown with the value "mins" selected. At the bottom are "Cancel" and "Apply" buttons.
A date and time picker is shown. On the left-hand side there are preset relative values, like "Last hour," "Last 3 days," etc. On the right-hand side is a calendar picker, as well as dropdown fields to select the time. At the bottom are "Cancel" and "Apply" buttons.

Search의 시간대

Panther Console의 UTC 시간대 표시 설정ON이 켜져 있으면 Search 도구는 타임스탬프를 표시할 때 항상 협정 세계시(UTC)를 사용합니다. 설정이 OFF이면 Search 도구는 다음 위치에서 타임스탬프를 표시할 때 로컬 시간대를 사용합니다:

필터 표현식 만들기

필터 표현식은 다음을 포함하는 절입니다 키/값 검색 로직, 자유 검색어, 또는 일치 패턴. 필터 표현식을 만들려면 검색 필터 추가 바를 클릭하거나 필터 표현식 추가 키보드 단축키.

The Search tool is shown. The search bar, which has placeholder text of "Add search filter," is empty. It is circled.

키/값 필터 표현식

키/값 필터 표현식을 사용하면 이벤트 키를 선택하고 필요한 경우 값을 제공합니다.

In the Search bar is one filter expression. It reads "Emails has john.doe@email.com"

키/값 필터 표현식을 만들려면:

  1. 다음을 클릭하세요. 검색 필터 추가 바를 클릭하거나 필터 표현식 추가 키보드 단축키.

  2. 드롭다운 목록에서 이벤트 키를 선택합니다. 드롭다운 메뉴에는 다음 범주로 그룹화된 옵션이 포함됩니다:

    • Panther 필드: 포함 인디케이터 필드 (라고도 함 p_any 필드) 및 Core Fields (p_udm 필드)는 여러 로그 유형에 걸쳐 검색할 때 유용합니다. In the Search bar, a dropdown shows "Panther Fields" including Actor IDs, AWS Account IDs, and AWS ARNs

    • 여러 테이블: 둘 이상의 로그 유형에서 발견되는 필드. In the Search bar, there is a dropdown showing "Multiple Tables" options, including apiVersion, kind, and level

    • 일치하는 필드가 있는 나머지 모든 테이블은 알파벳순으로 표시됩니다.

  3. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택합니다.

    • 드롭다운 옵션은 선택한 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다.

    • 사용 가능한 연산자 전체 목록은 다음에서 확인하세요 Search 필터 연산자.

  4. 선택한 연산자가 값을 필요로 하는 경우 값을 입력합니다.

  5. 다른 필터 표현식을 만들려면:

    • 다음을 만들려면 AND 필터, 방금 만든 표현식 바깥쪽(하지만 동일한 가로 막대 안쪽)을 클릭하거나, TAB.

    • 다음을 만들려면 OR 필터, 다음을 클릭합니다. + OR 조건 추가.

  6. 검색을 실행할 준비가 되면 클릭 검색 또는 누르세요 ENTER.

    • 행이 2개를 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 클릭 조건 +n개 표시.

또한 빠르게 초기 검색의 결과 집합에서 키/값 필터 표현식을 생성 할 수 있습니다.

자유 텍스트 필터 표현식

자유 텍스트 필터 표현식에서는 문자열을 입력합니다.

자유 텍스트 필터 표현식은 데이터베이스, 테이블, 날짜 제약 조건 내의 모든 이벤트의 모든 필드를 검색하므로, 복잡한 객체에 중첩된 필드를 포함해 실행 시간이 오래 걸릴 수 있습니다.

자유 텍스트 필터 표현식을 사용하면서 검색 성능을 개선하려면 테이블의 하위 집합을 선택 하여 검색하세요.

자유 텍스트 필터 표현식을 만들려면:

  1. 다음을 클릭하세요. 검색 필터 추가 바를 클릭하거나 필터 표현식 추가 키보드 단축키.

  2. 텍스트 값을 입력합니다.

  3. 다른 필터 표현식을 만들려면:

    • 다음을 만들려면 AND 필터, 방금 만든 표현식 바깥쪽(하지만 동일한 가로 막대 안쪽)을 클릭하거나, TAB.

    • 다음을 만들려면 OR 필터, 다음을 클릭합니다. + OR 조건 추가.

  4. 검색을 실행할 준비가 되면 클릭 검색 또는 누르세요 ENTER.

    • 행이 2개를 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 클릭 조건 +n개 표시.

정규식(regex) 필터 표현식

Search에서 정규식을 사용하면 로그 전반에 걸친 동적 텍스트 기반 검색에 강력합니다. Search는 POSIX 확장 정규식.

A single filter expression is created in the Search bar. It reads ".*aws:.*admin.*"

를 지원합니다. regex 필터 표현식을 만들려면:

  1. 다음을 클릭하세요. 검색 필터 추가 바를 클릭하거나 필터 표현식 추가 키보드 단축키.

  2. regex 모드로 들어가려면 regex 키보드 단축키.

  3. 를 반복하면 됩니다. 검색할 정규식을 입력하세요. 예: .*aws:.*admin.*.

  4. 다른 필터 표현식을 만들려면:

    • 다음을 만들려면 AND 필터, 방금 만든 표현식 바깥쪽(하지만 동일한 가로 막대 안쪽)을 클릭하거나, TAB.

    • 다음을 만들려면 OR 필터, 다음을 클릭합니다. + OR 조건 추가.

  5. 검색을 실행할 준비가 되면 클릭 검색 또는 누르세요 ENTER.

    • 행이 2개를 초과하면 접힙니다. 모든 필터를 펼쳐 보려면 클릭 조건 +n개 표시.

필터 표현식에서 와일드카드 사용

와일드카드 문자(*)는 문자열이나 표현식의 시작, 중간, 끝에 자리 표시자로 사용할 수 있습니다. 와일드카드 문자는 키/값 필터 표현식 내에서 사용할 수 있으며(키에 type: string 가 있고 연산자가 LIKE), 인 경우에만), 자유 텍스트 필터 표현식과, 또는 regex 필터 표현식.

에서도 사용할 수 있습니다. 와일드카드 문자의 위치는 어떤 데이터가 일치 항목으로 반환되는지를 결정합니다:

  • 시작: * 이전에 있거나 그 앞의 모든 문자(들)는 일치로 간주됩니다.

  • 중간: * 이전에 있거나 그 앞의 모든 문자(들)는 일치로 간주됩니다.

  • 끝: * 이전에 있거나 그 앞의 모든 문자(들)는 일치로 간주됩니다.

In the Search page in Panther are three conditions: "Log Type is not Windows.EventLogs", "Log Type like AWS*Flow", and "ACCE*". Below is a histogram, followed by a results table.

침해 지표 검색

이 기능은 다음과 함께 검색할 때 사용할 수 없습니다 PantherFlow.

공개적 침해 공개나 일반적인 위협 헌팅에 대응할 때, 조직의 모든 이벤트 로그에서 침해 지표(IoC) 목록의 값이 발견되는지 신속하게 확인해야 할 수 있습니다.

Search에서 IoC를 검색하려면:

  1. 다음 항목을 데이터베이스, 테이블, 날짜 범위 필터 로 선택하세요.

  2. 다음을 클릭하세요. 검색 필터 추가 바를 클릭하거나 필터 표현식 추가 키보드 단축키.

  3. 지표 또는 지표 목록을 입력하거나 붙여넣습니다.

  4. 나타나는 드롭다운 옵션에서 (자동 감지) 옵션.

  5. 다음을 클릭하세요. 검색 또는 누르세요 ENTER.

동영상 안내

필터 표현식용 키보드 단축키

Search에서 필터 표현식을 만들 때 아래 키보드 단축키를 사용하세요:

작업
Mac
Windows/Linux

필터 표현식 추가 regex 모드 입력 또는 종료

⌘/

⌃/

현재 그룹의 모든 필터 선택

⌘A

⌃A

선택한 필터 복사

⌘C

⌃C

붙여넣기

⌘V

⌃V

실행 취소

⌘Z

⌃Z

다시 실행

⇧⌘Z

⇧⌃Z

선택한 필터 삭제

Search에서 PantherFlow 사용

PantherFlow는 Panther 버전 1.110부터 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청이 있으면 Panther 지원팀에 공유해 주세요.

다음 내용을 실행하려면 PantherFlow Search에서 쿼리:

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. Investigate > 검색.

  2. 왼쪽의 데이터베이스 필터에서 PantherFlow 모드 토글을 클릭합니다.

    • 그러면 필터 표현식 빌더가 자연어 입력 필드와 PantherFlow 코드 편집기로 바뀝니다.

  3. PantherFlow 코드 편집기에서 쿼리를 입력하거나( 자연어로 쿼리를 설명 를 위 텍스트 상자에 입력합니다).

  4. 다음을 클릭하세요. 검색.

PantherFlow 쿼리 텍스트와 필터 동기화

PantherFlow 쿼리 텍스트와 필터 동기화는 Panther 버전 1.116부터 공개 베타이며 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.

PantherFlow 쿼리를 입력하거나 데이터베이스, 테이블, 날짜 범위 필터 값을 업데이트하면 Panther는 쿼리 텍스트와 필터 값을 동기화하려고 시도합니다.

PantherFlow 쿼리 텍스트와 필터를 동기화할 수 없는 경우, PantherFlow 쿼리 텍스트가 우선하며 필터 값은 무시됩니다.

PantherFlow 쿼리를 입력하거나 업데이트하면 필터 값에 다음과 같은 변경이 발생합니다:

  • PantherFlow 쿼리에서 데이터베이스 또는 테이블을 지정하면 데이터베이스 확인테이블 필터 값이 각각 업데이트됩니다.

  • 다음이 포함된 날짜/시간 범위를 지정하면( | where p_event_time... 문장) PantherFlow 쿼리에서 날짜 범위 필터.

에 대한 업데이트가 트리거됩니다. PantherFlow 쿼리를 입력한 후 데이터베이스, 테이블 또는 날짜 범위 필터

  • 값을 업데이트하면 PantherFlow 쿼리 텍스트도 변경됩니다: 날짜 범위 필터 필터 값을 업데이트했는데 PantherFlow 쿼리에 이미 해당 값이 지정되어 있는 경우(예: | where p_event_time... 라는 문장으로 날짜/시간 범위를 이미 지정한 경우), 해당 쿼리 부분이 필터 값과 일치하도록 업데이트됩니다.

  • 필터 값을 업데이트했는데 PantherFlow 쿼리에 아직 해당 값이 지정되어 있지 않은 경우(예: 데이터베이스 필터 이고 쿼리에 아직 데이터베이스가 지정되어 있지 않은 경우), 필터 값을 지정하는 새 줄이 삽입됩니다.

    • 데이터베이스와 테이블 변경 사항은 PantherFlow 쿼리 맨 위의 새 줄에 표시됩니다. 날짜/시간 변경 사항은 데이터베이스/테이블 문 아래의 새 줄에 표시됩니다.

AI 기반 PantherFlow 쿼리 생성(베타)

AI 기반 PantherFlow 쿼리 생성은 Panther 버전 1.118부터 공개 베타이며 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.

직접 PantherFlow 쿼리를 작성하는 것 외에도 Panther AI를 사용해 자연어로 쿼리를 생성할 수 있습니다. 즉, 원하는 검색 의도를 평이한 언어로(어떤 언어든) 설명할 수 있습니다. 예: "지난 24시간 동안 Okta System Log의 실패한 로그인 표시."

생성하려는 쿼리를 설명하는 동안 @ 멘션을 사용해 데이터 테이블 이름 자동완성 제안을 받을 수 있습니다. 특정 데이터 테이블을 지정하지 않으면 Panther AI가 설명을 바탕으로 관련 테이블을 자동으로 제안합니다.

AI 기반 쿼리 생성을 사용하려면:

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. Investigate > 검색.

  2. 왼쪽의 데이터베이스 필터에서 PantherFlow 모드 토글을 클릭합니다.

    • 그러면 필터 표현식 빌더가 자연어 입력 필드와 PantherFlow 코드 편집기로 바뀝니다.

  3. PantherFlow 편집기 위의 텍스트 상자에 수행하고 싶은 검색을 설명합니다.

  4. 텍스트 입력 상자 오른쪽에서 화살표(쿼리 생성)를 클릭합니다.

  5. 생성된 PantherFlow 쿼리를 검토하고 필요한 변경을 한 뒤 클릭 검색.

저장된 검색 만들기

Search에서 저장된 검색을 만들 수는 있지만 예약할 수는 없습니다(즉, 예약 검색).

저장된 검색을 만들면 자주 실행하는 검색을 빠르게 재사용할 수 있습니다. 자세한 내용은 저장 및 예약 검색.

저장된 검색을 만들려면:

  1. 의 지침에 따라 검색을 만듭니다 Search 사용 방법.

  2. 아래 검색 필터 추가 상자에서 클릭 다른 이름으로 저장.

    The Search UI is shown, with one filter expression created ("kind is http"). Below the search bar, the "Save As" text is circled.

  3. 팝업 모달의 필드에 값을 입력합니다:

    • Search Name: 설명적인 이름을 추가하세요.

    • Tags (선택 사항): 태그를 추가합니다. 태그는 관련 검색을 그룹화하는 데 도움이 될 수 있습니다.

    • 설명 (선택 사항): 검색의 목적을 설명합니다.

  4. 다음을 클릭하세요. Save Search.

    • 저장된 검색을 열고 재사용하는 방법은 다음 섹션에서 확인하세요.

Search 도구에서 저장된 검색 열기 및 재사용

Search 도구에서 저장된 검색을 만든 후에는 이를 보고 재사용할 수 있습니다. Search 페이지 또는 저장된 검색 페이지에서 열 수 있습니다.

Search 페이지에서 저장된 검색을 여는 방법:

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. Investigate > 검색.

  2. 오른쪽 상단에서 점 세 개 아이콘을 클릭한 다음 Open Saved Search.

    • 다음의 Open a Search 모달이 팝업되고, 이전에 저장한 검색이 표시됩니다.

  3. 열고 싶은 검색을 찾아 선택한 다음 클릭 Open Search.

    • 저장된 검색이 Search에 채워집니다.

Search 결과 분석

Search 결과에는 히스토그램, 결과 이벤트 표, 그리고 요약 시각화.

Search 결과 히스토그램

결과 히스토그램은 검색의 날짜 및 시간 범위 내 이벤트 분포를 표시하여 결과를 빠르게 맥락화하는 데 도움을 줍니다.

A histogram is shown, depicting a number of bars spanning from JUN 05 20:08 to JUN 05 21:03.

검색이 실행되면 히스토그램은 기본적으로 접힌 상태로 표시됩니다. 차트 오른쪽 상단의 대각선 화살표 버튼을 클릭하여 펼칠 수 있습니다. 버튼을 다시 클릭하면 차트가 접힙니다.

A histogram is shown. A double-sided arrow button in the upper-right corner, with the tooltip "Expand," is circled.

히스토그램과 상호작용하기

시간 구간별 로그 유형 카운트에 대한 추가 데이터 인사이트를 보려면 차트의 막대 위에 마우스를 올리세요.

A rectangle has the text, "Wednesday 05 June 2024, 15:00 (UTC)." Then, below, "AWS.CloudTrail" and "Panther.Audit."

드릴다운하여 히스토그램 막대 중 하나의 시간 구간으로 새 검색(새 브라우저 탭)을 만들려면 막대를 클릭하세요.

이 드릴다운 기능은 표에서 1분보다 긴 시간 범위를 나타내는 막대에만 사용할 수 있습니다.

결과 표에서 필드 추가, 제거 및 순서 변경

다음을 통해 검색의 결과 표를 사용자 지정할 수 있습니다 추가, 제거, 그리고 순서 변경 열.

또한 결과 표에서 직접 새 필터 만들기, 필터 표현식을 결과 표 값으로 대체, 그리고 결과 표 값에 대한 보강 데이터 탐색.

Search 결과 표에 열을 추가하는 방법

다음 항목을 사용하여 Search 결과 표에 열을 추가할 수 있습니다 사용 가능한 필드 목록 표의 왼쪽에서 또는 JSON 이벤트 보기.

표에 중첩된 필드만 JSON 이벤트 보기.

사용 가능한 필드 목록에서 Search 결과 표에 열 추가

  1. 결과 표 왼쪽의 필드 목록에서 사용 가능한 필드 헤더 안에 결과 표에 추가할 열을 찾습니다.

    A list of event fields is displayed underneath an "Available Fields" header.

    • 이 목록에는 최상위 필드만 표시됩니다. 중첩된 필드를 표에 추가하려면 JSON 이벤트 보기.

  2. 필드 오른쪽에서 클릭 + (플러스 기호).

    • 해당 필드는 결과 표의 열로 추가되고 표 왼쪽의 선택한 필드.

Search 결과 표에서 열을 제거하는 방법

다음을 사용하여 Search 결과 표에서 열을 제거할 수 있습니다 선택한 필드 목록 표 왼쪽에서 JSON 이벤트 보기에서 또는 표 헤더 행.

선택한 필드 목록에서 Search 결과 표의 열 제거

  1. 결과 표 왼쪽의 필드 목록에서 선택한 필드 헤더 안에서 결과 표에서 제거할 필드를 찾습니다.

  2. 필드 오른쪽에서 클릭 - (마이너스 기호).

    Under the "Selected Fields" header, there are log fields. To the right of "PantherAudit.actionName" the minus button is hovered over. Its tooltip reads, "Remove column"

    • 해당 필드의 열이 결과 표에서 제거되고 표 왼쪽의 사용 가능한 필드.

Search 결과 표에서 열 순서를 다시 정렬하는 방법

  • 열 헤더를 클릭한 다음 원하는 위치로 끌어 놓아 결과 표의 열 순서를 다시 정렬합니다.

전체 결과 이벤트 보기

결과 표는 기본적으로 축약 보기로 로드됩니다. 이 보기에서는 자주 큰 크기의 EVENT 필드 EVENT 를 포함한 모든 로그 필드를 한 행에 표시합니다. 이 보기에서

값을 보려면 가로로 스크롤하세요. 세부 테이블 보기 또는 JSON 이벤트 슬라이드아웃 패널를 사용하면 전체 이벤트 데이터를 더 쉽게 볼 수 있습니다. 슬라이드아웃 패널을 사용하면 Panther 필드.

세부 결과 표 보기

결과 표는 다른 방식으로 로그를 세부 보기로 표시할 수도 있습니다. 이 보기에서는 EVENT 필드 값이 이벤트의 다른 필드 아래 새 행에 줄바꿈과 함께 표시됩니다.

A tooltip of a button below a histogram (and at the top of the results table) reads "Detailed view." A full event in the results table has been circled.

세부 보기를 사용하려면 표의 오른쪽 상단에서 토글 버튼을 클릭하세요:

Below a histogram (and at the top of the results table), a button's tooltip reads, "Compact view."

JSON 이벤트 슬라이드아웃 패널

이벤트 행을 클릭하면 JSON 형식의 전체 이벤트 데이터를 볼 수 있습니다. 그러면 브라우저 창 오른쪽에 슬라이드아웃 패널이 열립니다.

JSON 이벤트 보기에서는 Panther 필드 가 JSON 객체 상단에 표시되고 그 뒤에 이벤트 필드가 이어집니다. 다음을 클릭하여 이 필드를 숨기거나 표시할 수 있습니다 Panther 필드 표시 토글.

In Search, the event JSON slide-out panel is shown. Above the event JSON, a "Show Panther fields" toggle, set to ON, is circled.

슬라이드아웃 패널의 필드 위에 마우스를 올리면 필터 추가와 같은 추가 작업을 수행할 수 있는 아이콘이 표시됩니다. 자세한 내용은 Search를 반복 개선하기.

Search 결과 요약 차트

Search 결과 내에서 시각화 탭은 필드 값의 막대 차트를 표시하며, 이는 데이터에 대한 빠른 인사이트를 제공하는 데 도움이 됩니다. 이 차트를 보려면 시각화.

A "Visualizations" tab is circled. Two bar charts are shown, titled "Log Type" and "Destination Bytes."

또한 요약 차트에서 직접 필터 만들기, 요약 차트의 값으로 필터 대체하기, 그리고 요약 차트 값에 대한 보강 데이터 탐색.

요약 차트를 추가 또는 제거하는 방법

왼쪽의 결과 패널에 있는 사용 가능한 필드선택한 필드 목록을 사용하여 이벤트 필드에 대한 시각화를 추가하거나 제거합니다. 필드를 추가하거나 제거하면 해당 필드가 차트와 결과 표의 열로서 함께 표시되거나 숨겨집니다.

시각화를 추가하려면:

  • 다음 내부의 사용 가능한 필드 목록에서 필드 이름 오른쪽의 +.

    Under an "Available Fields" header is a "Panther Fields" header, then a field called "Destination ARNs." To its right is a plus sign that's been hovered over; its tooltip reads "Add as column."

시각화를 제거하려면:

  • 다음 내부의 선택한 필드 목록에서 필드 이름 오른쪽의 .

    Under a "Selected Fields" header are three fields: "Log Type," "Destination Bytes," and "Destination IP." To their right is a minus sign, one has been hovered over; its tooltip reads "Remove column."

차트의 정렬 순서를 설정하는 방법

결과를 오름차순(낮은 값에서 높은 값)으로 정렬하려면:

  • 시각화의 오른쪽 상단에서 아래쪽 화살표 아이콘을 클릭합니다:

    An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Ascending"

결과를 내림차순(높은 값에서 낮은 값)으로 정렬하려면:

  • 시각화의 오른쪽 상단에서 위쪽 화살표 아이콘을 클릭합니다:

    An icon with an arrow pointing downward has been hovered over, its tooltip reads, "Sort Descending"

차트에 표시되는 값의 수를 늘리거나 줄이는 방법

  • 시각화에서 처음 25개 값을 보려면 오른쪽 아래에서 클릭 상위 25개 표시. 사용할 수 있는 값이 25개 미만이면 텍스트는 행 <number>개 모두 표시 로 표시됩니다. 시각화에서 처음 5개 값만 보려면 오른쪽 아래에서 클릭 추가 행 숨기기.

Panther AI Search 결과 요약

Search의 AI 이벤트 요약은 Panther 버전 1.113부터 공개 베타이며 모든 고객이 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.

Panther AI 기능 사용은 다음 약관의 적용을 받습니다 법률 페이지에 있는 AI 고지.

결과가 생성되는 검색을 실행한 후 Panther AI-생성된 결과 이벤트 요약을 볼 수 있습니다. AI Search 결과 요약의 전체 동영상 시연은 여기에서 확인하세요.

AI 이벤트 요약은 로그가 나타내는 작업을 설명할 가능성이 높으며, 여기에는 행위자 식별, 접근된 리소스 명명, 보안 위험 평가, MITRE ATT&CK 전술과 작업 연결 등이 포함될 수 있습니다. 다음을 포함한 Panther AI에 대해 자세히 알아보세요 AI 응답 길이 구성 및 AI 응답 관리 Panther AIPanther AI 응답 기록 관리.

결과 표에 표시되는 이벤트에 대한 AI 생성 요약을 보려면:

  1. 검색을 실행한 후 결과 표의 오른쪽 상단에서 클릭 AI 요약 보기.

    On a page titled "Search" a "View AI Summary" button is circled.

    • 슬라이드아웃 패널에서 Panther AI가 생성한 요약을 확인하세요.

      • 요약되는 이벤트는 결과 표에 로드된 이벤트이며, 기본적으로 25개 이벤트입니다. 결과 표 끝까지 스크롤하여 더 많은 이벤트를 로드한 다음 AI 요약 보기을 클릭하면 더 많은 이벤트가 요약됩니다.

        A slide-out panel titled "ALB Reconnaissance Analysis" is circled. It has "Summary" and "Key Findings" sections, as well as a chart titled "Request Status Distribution."

  2. (선택 사항) 슬라이드아웃 패널 상단의 프롬프트 상자에서 후속 질문을 하거나 Panther AI에 특정 작업을 지시하세요. 이러한 프롬프트와 응답은 AI 응답 기록에 보존됩니다. 예:

Search를 반복 개선하기

JSON 이벤트 슬라이드아웃 패널과 요약 차트에서 바로 다음 작업을 할 수 있습니다. 포함/제외 필터를 생성하고, 필터 식을 결과 값으로 바꾸고, 그리고 보강 데이터를 살펴보고.

결과에서 포함 또는 제외 필터 식을 만드는 방법

JSON 이벤트 슬라이드아웃 패널에서 필터 식을 만드는 방법

  1. 결과 표에서 관심 있는 이벤트 행을 찾아 클릭하세요.

    • JSON 이벤트 슬라이드아웃 패널이 표시됩니다.

  2. JSON 이벤트 슬라이드아웃 패널에서 포함 또는 제외 필터 식을 만들고 싶은 값 위에 마우스를 올리세요. In the JSON event slide out panel, a field has been hovered over, and the tooltip of a button that has appeared reads, "Filter by value."

    • 포함 필터를 만들려면 다음을 클릭하세요. A filter icon with a plus sign..

    • 제외 필터를 만들려면 다음을 클릭하세요. A filter icon with a minus sign..

  3. 창 상단의 검색창에서 새 필터 식을 확인하세요.

  4. 검색 결과를 새로 고치려면 다음을 클릭하세요. 검색.

결과의 값으로 필터 식을 바꾸는 방법

결과 표의 값으로 필터 식을 바꾸는 방법

  1. 결과 표에서 관심 있는 이벤트 행을 찾아 클릭하세요.

    • JSON 이벤트 슬라이드아웃 패널이 표시됩니다.

  2. JSON 이벤트 슬라이드아웃 패널에서 피벗하고 싶은 필드 위에 마우스를 올리세요.

    JSON 이벤트 슬라이드아웃 패널에서 필드 위에 마우스를 올리면 나타난 버튼의 툴팁에 "필터를 값으로 바꾸기"라고 표시됩니다.

  3. 교체 아이콘을 클릭하세요. A magnifying glass icon.

    • 기존의 모든 필터는 피벗한 키/값만 나타내는 필터 식으로 대체됩니다.

  4. 검색 결과를 새로 고치려면 다음을 클릭하세요. 검색.

결과의 값에 대한 보강 데이터를 살펴보는 방법

JSON 이벤트 슬라이드아웃 패널의 값에 대한 보강 데이터를 살펴보는 방법

  1. 결과 표에서 관심 있는 이벤트 행을 찾아 클릭하세요.

    • JSON 이벤트 슬라이드아웃 패널이 표시됩니다.

  2. JSON 이벤트 슬라이드아웃 패널에서 살펴보고 싶은 값 위에 마우스를 올리세요. 보강 데이터 에 대해. The p_any_ip_addresses field is shown, and next two one of its values is a series of icons. The table icon is hovered over.

  3. 보강 아이콘을 클릭하세요. A small database table icon.

  4. 다음에서 보강 조회 팝업 모달에서 조회 테이블 열을 사용하여 살펴보고 싶은 보강 소스의 행을 찾은 다음 JSON 보기→. The Lookup Enrichment modal has two rows, with differing Lookup Table values. The first row's "View JSON" button is circled.

    • 보강 항목이 표시됩니다. The Lookup Enrichment modal shows an ipinfo_asn entry in JSON.

Search 공유

조사 중이거나 위협 헌팅 중일 때 검색 또는 결과 집합을 팀과 공유하면 유용할 수 있습니다. 이렇게 하려면:

  1. 결과 표의 오른쪽 상단에서 다음을 클릭하세요. 공유:

    The results table is shown. In the upper-right corner, the Share button's menu is open, displaying two options: Copy link to view and Download CSV. This button and its options are circled.

  2. 메뉴 옵션 중 하나를 선택하세요:

    • 보기에 대한 링크 복사: 이 특정 검색의 URL을 클립보드에 복사합니다.

    • (결과가 1000개 이하인 경우) CSV 다운로드: 결과 표의 CSV를 다운로드합니다.

  • (결과가 1000개 초과인 경우) CSV 생성: Panther가 결과의 CSV 파일(최대 1GB)을 비동기적으로 생성하기 시작하며, 이는 Panther 콘솔의 왼쪽 아래 모서리에 나타나는 팝업으로 표시됩니다: A slide-in notification displays the text: "Generating CSV... this may take some time. You will be notified in app when the file is ready"

    • Panther가 CSV 생성을 완료하고 다운로드할 준비가 되면 알림. CSV에 접근하려면 다음 중 하나를 수행하세요:

      • Panther 콘솔의 왼쪽 아래 모서리에 있는 팝업 알림에서 다음을 클릭하세요. CSV 다운로드. A notification has a circled "Download CSV" button.

      • 다음 항목에서 CSV 다운로드 준비 완료 알림 알림 목록의 오른쪽에서, 다음을 클릭합니다 CSV 다운로드. 이 다운로드 링크는 12시간 후 만료됩니다. 그 시간이 지나면 알림의 검색 링크를 클릭해 쿼리로 돌아간 다음 CSV를 다시 생성할 수 있습니다.

        "알림" 제목 아래에 "CSV 다운로드" 버튼이 표시되어 있고 원으로 표시되어 있습니다.
이전Panther에서 위협 헌팅하기다음검색 필터 연산자

마지막 업데이트

도움이 되었나요?