> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/search/threat-hunting.md).

# Panther에서 위협 헌팅

## 개요

SIEM에서 위협 헌팅에 대한 만능 공식은 없지만, 이 페이지에 설명된 기법은 조사를 시작하는 방법을 결정하는 데 도움이 될 수 있습니다. 알러트를 받은 후에는 다음부터 시작할 수 있습니다 [Panther AI 트리아주를 확인하고](#view-the-panther-ai-alert-triage), 제안된 후속 프롬프트를 실행하고/하거나 데이터 주변에서 피벗할 수 있습니다. 경우에 따라서는 [Panther의 모든 로그에서 값을 검색해야 할 수 있습니다](#how-to-best-search-for-a-value-across-all-your-logs-in-panther).

## 알러트를 받은 후 검색을 시작하는 방법

Panther 알러트를 받았습니다 [알러트](/ko/alerts.md) 잠재적으로 악의적인 행위를 식별했습니다. 이제 알러트가 진짜 양성인지 이해하기 위해 해당 활동에 대해 더 알아봐야 합니다.

Panther Console의 알러트 세부 정보 페이지에서 아래 작업을 수행할 수 있습니다.

### Panther AI 알러트 트리아주 보기

다음에서 [Panther AI 알러트 분류](/ko/alerts.md#panther-ai-alert-triage) 요약에서 Panther AI가 실행한 쿼리를 검토하고/하거나 추가 조사를 요청할 수 있습니다:

* 트리아주 중 Panther AI가 실행한 쿼리 보기.
  * Panther AI는 초기 조사 중 유용하다고 판단한 데이터를 수집하기 위해 쿼리를 실행할 수 있습니다. 이는 다음 형식으로 표시됩니다 [인용 자료](/ko/ai.md#citations).
  * 쿼리 결과는 전체 AI 트리아주 요약에 포함되지만, 직접 확인하고 싶다면(또는 해당 쿼리를 시작점으로 사용하여 [피벗](/ko/resources/help/glossary.md#pivot)), 쿼리 인용을 클릭하면 다음으로 이동됩니다 [검색](/ko/search/search-tool.md), 해당 쿼리가 실행됩니다.

    <figure><img src="/files/97d2056d6223630761009631586b3a0f4468f8d5" alt=""><figcaption></figcaption></figure>
* Panther AI에 검색 생성을 요청합니다.
  * 사용합니다 [자연어](/ko/resources/help/glossary.md#natural-language) 를 사용해 Panther AI에 검색 실행을 요청하고/하거나, 초기 AI 트리아주에서 다음 중 하나를 선택할 수 있습니다 **권장 후속 AI 프롬프트**—다음 [AI가 제안한 후속 프롬프트를 알러트 분류에 실행하기](/ko/ai/examples.md#running-an-ai-suggested-follow-up-prompt-to-alert-triage) 예시를 참조하세요.

### 제공된 PantherFlow Investigation 쿼리 실행

특정 [Panther가 관리하는 탐지](/ko/detections/panther-managed.md), 알러트는 다음과 함께 생성됩니다 **PantherFlow Investigation** 알러트 컨텍스트 필드. (이는 다음을 사용해 생성됩니다 [`pantherflow_investigation()` 헬퍼](https://github.com/panther-labs/panther-analysis/blob/develop/global_helpers/panther_base_helpers.py#L349).) 이 쿼리를 복사하여 다음에서 실행할 수 있습니다 [검색](/ko/search/search-tool.md).

<figure><img src="/files/39ad39f92ac82ecb2b8ed50730290e969588ab68" alt=""><figcaption></figcaption></figure>

### 지표 값에서 피벗하기

지표 값에서 피벗하려면, 알러트와 연결된 이벤트에서 다음을 찾으세요 `p_any` 필드(또는 [지표 필드](/ko/search/panther-fields.md#indicator-fields)). 값 위에 마우스를 올리고 돋보기 아이콘을 클릭하세요(도구 설명은 **지표 검색**):

<figure><img src="/files/5deec7592680e91d1347f0c0167fcd6bdf443c4b" alt="" width="563"><figcaption></figcaption></figure>

다음으로 이동됩니다 [검색](/ko/search/search-tool.md) 여기서 해당 값(관련 지표 필드 내)에 대한 전체 로그 검색이 실행됩니다:

<figure><img src="/files/476be12228ccfcf2fde93f4216d2bdcb273f3971" alt="" width="563"><figcaption></figcaption></figure>

### 알러트 이벤트 검색

다음의 **이벤트** 섹션에서 다음을 클릭합니다 **이벤트 검색**. 다음으로 이동됩니다 [검색](/ko/search/search-tool.md) 여기서 알러트와 연결된 이벤트를 볼 수 있습니다. 거기서 [피벗](/ko/resources/help/glossary.md#pivot) 하여 데이터를 더 조사할 수 있습니다.

<figure><img src="/files/dafa3fbd57da07ec4297b4401506c8ea145721ee" alt="" width="563"><figcaption></figcaption></figure>

## Panther의 모든 로그에서 값을 가장 효과적으로 검색하는 방법

Panther의 모든 로그에서 값을 검색할 때 흔한 두 가지 상황이 있습니다:

* (권장) [지표 검색 수행](#performing-an-indicator-search)
* [전체 텍스트 검색 수행](#performing-a-full-text-search)

가능하다면 지표 검색이 권장됩니다. 훨씬 적은 데이터를 검색하므로 더 효율적이기 때문입니다. 하지만 두 경우 모두, 최적으로 검색하는 방법에 대한 권장 사항이 있습니다.

### 지표 검색 수행

지표 검색은 특정 [지표 필드](/ko/search/panther-fields.md#indicator-fields) (또는 `p_any` 필드)에서만 모든 로그를 검색한다는 의미입니다. 이 유형의 검색은 찾고자 하는 값이 다음으로 추출되었다는 것을 알고 있을 때 가능합니다 `p_any` 필드(즉, 로그 스키마가 필드를 다음으로 올바르게 지정한 경우) [`지시자`](/ko/data-onboarding/custom-log-types/reference.md#indicators)).

알 필요는 없습니다 *어느* 지표 필드에서 값이 발견될지, 왜냐하면 [검색 필터 칩](#recommended-performing-an-indicator-search-in-search-using-filter-chips) 이 올바른 필드를 자동 감지할 수 있기 때문입니다.

Panther에서 지표 검색은 다음 방법으로 실행할 수 있습니다:

* Search에서([필터 칩 사용](#recommended-performing-an-indicator-search-in-search-using-filter-chips) 또는 [PantherFlow](#performing-an-indicator-search-in-search-using-pantherflow))
* [GraphQL API 사용](#performing-an-indicator-search-using-the-graphql-api)
* [Panther AI 사용](#performing-an-indicator-search-using-panther-ai)

{% hint style="warning" %}
사용하지 마세요 [Data Explorer](/ko/search/data-explorer.md) 를 사용해 다음을 쿼리하여 지표 검색을 수행 `panther_views` 데이터베이스. `panther_views` 있거나 [사용 중단이 예정되어 있습니다](/ko/search/backend.md#panther-views).
{% endhint %}

#### (권장) Search에서 필터 칩을 사용하여 지표 검색 수행

{% hint style="info" %}
Search(필터 칩 사용)에는 모든 로그를 효율적으로 검색할 수 있는 내장 최적화가 있습니다.
{% endhint %}

다음에서 지표 검색을 실행할 수 있습니다 [검색](/ko/search/search-tool.md), 필터 칩을 사용하여 다음과 같은 방법으로:

* 값이 어떤 지표 필드에 있는지 알고 있을 때: 다음을 [데이터베이스 및 테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters) 로 설정하고 **Logs** 그리고 **모든 테이블**, 각각 다음을 생성합니다 [키/값 필터 식](/ko/search/search-tool.md#key-value-filter-expression), 여기서 키는 [지표 필드](/ko/search/panther-fields.md#indicator-fields).
  * 아래 예시에서 AWS ARNs는 다음의 Console 친화적 별칭입니다 `p_any_aws_arns`.

    <figure><img src="/files/e37f815d4a70d52da80cc2c12249436b7a5edd90" alt=""><figcaption></figcaption></figure>
* 값이 어떤 지표 필드에 있는지 모를 때: 필터 칩에 값을 입력할 때 다음을 선택하세요 **자동 감지**. 아래 예시에서 Search는 다음을 감지합니다 `T1234` 가 MITRE ATT\&CK 기법이며, 해당 값만 다음에서 검색한다는 것을 `p_any_mitre_attack_techniques`.

  <figure><img src="/files/2312f4a5e069407e838119451754692c09ec2f36" alt=""><figcaption></figcaption></figure>

  * 또한 [침해 지표(IoC) 목록을 붙여넣고](/ko/search/search-tool.md#searching-indicators-of-compromise) 를 선택하면 **자동 감지**, Search는 가능한 경우 각 값을 지표 필드에 자동으로 매핑합니다.

#### PantherFlow를 사용하여 Search에서 지표 검색 수행

다음을 사용하여 지표 검색을 실행하려면 [PantherFlow](/ko/pantherflow.md), 다음을 사용하세요 [`union`](/ko/pantherflow/operators/union.md) 연산자를 사용해 모든 테이블을 결합한 다음 [`where`](/ko/pantherflow/operators/where.md) 절을 사용해 검색을 특정 지표 필드로 제한합니다.

자세한 내용은 다음에서 확인하세요 [사용합니다 `p_any` 필드](/ko/pantherflow/best-practices.md#use-p_any-fields).

{% hint style="warning" %}
PantherFlow는 현재 다음이 없는 테이블을 건너뛰지 않습니다 `p_any` 필드; 즉 모든 테이블을 검색합니다. 이 비효율을 완화하려면 모든 테이블 대신 관심 있는 테이블로 검색 대상을 제한하세요.

```kusto
union panther_logs.public.aws_*
```

다음을 사용한 PantherFlow에서 지표 검색 수행 시 추가 최적화 `union` 계획되어 있습니다.
{% endhint %}

모든 로그 검색 예시:

```kusto
union panther_logs.public.*
| where p_event_time > time.ago(1d)
| where p_any_ip_addresses != null
| where arrays.intersection(p_any_ip_addresses, ['ip1', 'ip2'])
```

{% hint style="info" %}
Panther AI를 사용하여 PantherFlow 쿼리를 생성할 수 있습니다—[여기에서 자세히 알아보세요](/ko/search/search-tool.md#ai-powered-pantherflow-query-generation).
{% endhint %}

#### GraphQL API를 사용하여 지표 검색 수행

다음을 사용하세요 `executeIndicatorSearchQuery` [GraphQL API](/ko/panther/api/graphql.md) 뮤테이션.

예시 보기 [여기에서](/ko/panther/api/graphql/data-lake-queries.md#execute-a-search-query).

#### Panther AI를 사용하여 지표 검색 수행

어떤 [Panther AI](/ko/ai.md) 진입점에서 다음으로 프롬프트를 입력하세요 [자연어](/ko/resources/help/glossary.md#natural-language) 검색을 실행합니다. 올바른 [데이터 검색 및 분석 도구](/ko/ai.md#data-search-and-analysis) 그리고 [지표 필드](/ko/search/panther-fields.md#indicator-fields) 가 자동으로 선택됩니다.

예를 들어, 다음을 입력하면 `IP XXX.XXX.XXX.XXX가 있는 모든 로그 찾기`, Panther AI는 다음을 `XXX.XXX.XXX.XXX` 전반에서 `p_any_ip_addresses`.

### 전체 텍스트 검색 수행

전체 텍스트 검색은 하나 이상의 [데이터베이스의 하나 이상의 테이블에 있는 모든 열에서 값을 검색한다는 의미입니다](/ko/search/backend.md#available-databases).

{% hint style="warning" %}
일반적으로 다음을 수행하는 것이 권장됩니다 [지표 검색](#performing-an-indicator-search) 자유 텍스트 검색 대신. 후자는 훨씬 비효율적이어서 완료하는 데 훨씬 더 오래 걸리고(비용도 더 많이 듭니다).
{% endhint %}

Panther에서 전체 텍스트 검색은 다음 방법으로 실행할 수 있습니다:

* [Search에서, 필터 칩 사용](#performing-a-full-text-search-in-search-using-filter-chips)
* [Search에서, PantherFlow 사용](#performing-a-full-text-search-in-search-using-pantherflow)

#### Search에서 필터 칩을 사용하여 전체 텍스트 검색 수행

Search에서 필터 칩으로 전체 텍스트 검색을 수행하려면 다음을 생성하세요 [자유 텍스트 필터 식](/ko/search/search-tool.md#free-text-filter-expression).

값을 입력할 때 다음을 선택하지 마세요 **자동 감지** 옵션.

<figure><img src="/files/56b4c9e92c8e45b21a9b1683c6ad831c28733acf" alt=""><figcaption></figcaption></figure>

#### PantherFlow를 사용하여 Search에서 전체 텍스트 검색 수행

PantherFlow에서 모든 로그를 검색하려면, 다음을 사용하세요 [`union` 연산자](https://docs.panther.com/pantherflow/operators/union):

```kusto
union panther_logs.public.*
| where p_event_time > time.ago(1d)
| search 'alice' or 'bob'
```

다음의 원칙을 따르면 쿼리 효율성을 높일 수 있습니다 [PantherFlow 모범 사례](/ko/pantherflow/best-practices.md).

{% hint style="info" %}
Panther AI를 사용하여 PantherFlow 쿼리를 생성할 수 있습니다—[여기에서 자세히 알아보세요](/ko/search/search-tool.md#ai-powered-pantherflow-query-generation).
{% endhint %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.panther.com/ko/search/threat-hunting.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.