# Panther에서 위협 헌팅
## 개요
SIEM에서 위협 헌팅을 위한 만능 공식은 없지만, 이 페이지에 설명된 기법은 조사를 어떻게 시작할지 결정하는 데 도움이 될 수 있습니다. 알러트를 받은 후에는 먼저 [Panther AI 분류 보기](#view-the-panther-ai-alert-triage), 제안된 후속 프롬프트를 실행하거나, 데이터를 중심으로 피벗할 수 있습니다. 특정 경우에는 [Panther에서 모든 로그 전반에 걸쳐 값을 검색](#how-to-best-search-for-a-value-across-all-your-logs-in-panther).
## 알러트를 받은 후 검색을 시작하는 방법
Panther [알러트](/ko/alerts.md) 잠재적으로 악의적인 동작을 식별하는 — 을 받았습니다. 이제 알러트가 진양성인지 이해하기 위해 해당 활동에 대해 더 알아봐야 합니다.
Panther Console의 알러트 세부 정보 페이지에서 아래 작업을 수행할 수 있습니다.
### Panther AI 알러트 분류 보기
에서 [Panther AI 알러트 분류](/ko/alerts.md#panther-ai-alert-triage) 요약을 통해 Panther AI가 실행한 쿼리를 검토하거나 추가 조사를 하도록 프롬프트할 수 있습니다:
* 분류 중 Panther AI가 실행한 쿼리 보기.
* Panther AI는 초기 조사 중 유용하다고 판단한 데이터를 수집하기 위해 쿼리를 실행할 수 있습니다. 이는 다음 형식으로 표시됩니다. [인용](/ko/ai.md#citations).
* 쿼리 결과는 전체 AI 분류 요약에 반영되지만, 직접 보고 싶다면(그리고 쿼리를 [피벗](/ko/resources/help/glossary.md#pivot)의 시작점으로 사용하려면) 쿼리 인용을 클릭하여 [검색](/ko/search/search-tool.md)로 이동할 수 있으며, সেখানে 쿼리가 실행됩니다.
* Panther AI에 검색 생성 프롬프트를 제공하세요.
* 사용 [자연어](/ko/resources/help/glossary.md#natural-language) 를 사용하여 Panther AI에 검색을 실행하도록 프롬프트하거나, 초기 AI 분류에서 다음 중 하나를 선택하세요. **권장 후속 AI 프롬프트**— [AI가 제안한 후속 프롬프트를 실행하여 알러트 분류하기](/ko/ai/examples.md#running-an-ai-suggested-follow-up-prompt-to-alert-triage) 예시를 참조하세요.
### 제공된 PantherFlow Investigation 쿼리 실행
특정 [Panther가 관리하는 탐지](/ko/detections/panther-managed.md)에서 알러트는 **PantherFlow Investigation** 알러트 컨텍스트 필드와 함께 생성됩니다. (이는 [`pantherflow_investigation()` 헬퍼](https://github.com/panther-labs/panther-analysis/blob/develop/global_helpers/panther_base_helpers.py#L349)를 사용해 생성됩니다.) 이 쿼리를 복사해 [검색](/ko/search/search-tool.md).
### 지표 값으로 피벗
지표 값으로 피벗하려면, 알러트와 연결된 이벤트에서 `p_any` 필드(다음으로도 알려진 [지표 필드](/ko/search/panther-fields.md#indicator-fields))를 찾으세요. 값 위에 마우스를 올리고 돋보기 아이콘(툴팁: **Indicator Search**):
을 클릭하세요. 그러면 [검색](/ko/search/search-tool.md) 로 이동하며, 모든 로그 전반에서 해당 값(관련 지표 필드에서)에 대한 검색이 실행됩니다:
### 알러트 이벤트 검색
에서 **Event** 섹션에서 **Search Events**를 클릭하세요. 그러면 [검색](/ko/search/search-tool.md) 로 이동하며, সেখানে 알러트와 연결된 이벤트를 볼 수 있습니다. 거기서 [피벗](/ko/resources/help/glossary.md#pivot) 을 사용해 데이터를 중심으로 추가 조사할 수 있습니다.
## Panther에서 모든 로그 전반에 걸쳐 값을 가장 잘 검색하는 방법
Panther에서 모든 로그 전반에 걸쳐 값을 검색할 때 일반적인 시나리오는 두 가지입니다:
* (권장) [지표 검색 수행](#performing-an-indicator-search)
* [전체 텍스트 검색 수행](#performing-a-full-text-search)
가능한 경우 지표 검색이 권장됩니다. 훨씬 적은 데이터만 검색하므로 더 효율적이기 때문입니다. 하지만 두 시나리오 모두에서 최적으로 검색하는 방법에 대한 권장 사항이 있습니다.
### 지표 검색 수행
지표 검색 수행은 특정 [지표 필드](/ko/search/panther-fields.md#indicator-fields) (다음으로도 알려진 `p_any` 필드)에서만 모든 로그 전반에 걸쳐 값을 검색하는 것을 의미합니다. 이 유형의 검색은 검색하려는 값이 `p_any` 필드로 추출되었음을 알고 있을 때 가능합니다(즉, 로그 스키마가 필드를 [`지표`](/ko/data-onboarding/custom-log-types/reference.md#indicators)).
로 올바르게 지정하는 경우). *어느* 지표 필드에서 해당 값을 찾을 수 있는지 알 필요는 없습니다. 왜냐하면 [검색 필터 칩](#recommended-performing-an-indicator-search-in-search-using-filter-chips) 이 올바른 필드를 자동 감지할 수 있기 때문입니다.
Panther에서 다음과 같은 방법으로 지표 검색을 실행할 수 있습니다:
* Search에서 ([필터 칩 사용](#recommended-performing-an-indicator-search-in-search-using-filter-chips) 또는 [PantherFlow](#performing-an-indicator-search-in-search-using-pantherflow))
* [GraphQL API 사용](#performing-an-indicator-search-using-the-graphql-api)
* [Panther AI 사용](#performing-an-indicator-search-using-panther-ai)
{% hint style="warning" %}
사용하지 마세요 [Data Explorer](/ko/search/data-explorer.md) 를 사용하여 `panther_views` 데이터베이스. `panther_views` 를 쿼리함으로써 지표 검색을 수행하는 것은 [사용 중단될 예정입니다](/ko/search/backend.md#panther-views).
{% endhint %}
#### (권장) 필터 칩을 사용해 Search에서 지표 검색 수행
{% hint style="info" %}
Search(필터 칩 사용)에는 모든 로그 전반에 걸친 검색을 효율적으로 만드는 기본 최적화가 내장되어 있습니다.
{% endhint %}
다음과 같은 방법으로 필터 칩을 사용해 [검색](/ko/search/search-tool.md)에서 지표 검색을 실행할 수 있습니다:
* 해당 값이 어느 지표 필드에 있을지 알고 있는 경우: [데이터베이스 및 테이블 필터](/ko/search/search-tool.md#using-database-table-and-date-range-filters) 를 각각 **Logs** 및 **All tables**로 설정한 상태에서, [키/값 필터 표현식](/ko/search/search-tool.md#key-value-filter-expression)을 생성하세요. 여기서 키는 [지표 필드](/ko/search/panther-fields.md#indicator-fields).
* 아래 예시에서 AWS ARNs는 Console 친화적 별칭이며, 다음을 가리킵니다. `p_any_aws_arns`.
* 해당 값이 어느 지표 필드에 있을지 모르는 경우: 필터 칩에 값을 입력할 때 **auto-detect**를 선택하세요. 아래 예시에서 Search는 `T1234` 가 MITRE ATT\&CK 기법임을 감지하고, 해당 값만 `p_any_mitre_attack_techniques`.
* 에서 검색합니다. [침해 지표(IoC) 목록을 붙여넣을 수도](/ko/search/search-tool.md#searching-indicators-of-compromise) 있으며 **auto-detect**를 선택하면 Search가 가능한 경우 각 값을 지표 필드에 자동으로 매핑합니다.
#### PantherFlow를 사용해 Search에서 지표 검색 수행
를 사용하여 지표 검색을 실행하려면 [PantherFlow](/ko/pantherflow.md)에서 [`union`](/ko/pantherflow/operators/union.md) 연산자를 사용해 모든 테이블을 결합한 다음, [`where`](/ko/pantherflow/operators/where.md) 절을 사용해 검색을 특정 지표 필드로 제한하세요.
자세히 알아보기: [사용 `p_any` 필드](/ko/pantherflow/best-practices.md#use-p_any-fields).
{% hint style="warning" %}
PantherFlow는 현재 `p_any` 필드가 없는 테이블을 건너뛰지 않습니다. 모든 테이블을 검색합니다. 이 비효율성을 완화하려면 모든 테이블 대신 관심 있는 테이블로 검색 범위를 제한하세요.
```kusto
union panther_logs.public.aws_*
```
을 사용한 PantherFlow 지표 검색의 추가 최적화는 `union` 계획되어 있습니다.
{% endhint %}
모든 로그를 검색하는 예시:
```kusto
union panther_logs.public.*
| where p_event_time > time.ago(1d)
| where p_any_ip_addresses != null
| where arrays.intersection(p_any_ip_addresses, ['ip1', 'ip2'])
```
{% hint style="info" %}
Panther AI를 사용해 PantherFlow 쿼리를 생성할 수 있습니다—[여기에서 자세히 알아보기](/ko/search/search-tool.md#ai-powered-pantherflow-query-generation).
{% endhint %}
#### GraphQL API를 사용한 지표 검색 수행
다음 `executeIndicatorSearchQuery` [GraphQL API](/ko/panther/api/graphql.md) mutation.
예시 보기 [여기](/ko/panther/api/graphql/data-lake-queries.md#execute-a-search-query).
#### Panther AI를 사용한 지표 검색 수행
에서 [Panther AI](/ko/ai.md) 진입점에서 [자연어](/ko/resources/help/glossary.md#natural-language) 자연어 [로 검색을 실행하도록 프롬프트하세요. 올바른](/ko/ai.md#data-search-and-analysis) 및 [지표 필드](/ko/search/panther-fields.md#indicator-fields) 데이터 검색 및 분석 도구
가 자동으로 선택됩니다. `예를 들어, 다음과 같이 입력하면`Find all logs where the IP XXX.XXX.XXX.XXX is present `에 대해 Panther AI는` XXX.XXX.XXX.XXX `p_any_ip_addresses`.
### 전체 텍스트 검색 수행
를 전체에서 검색합니다. 전체 텍스트 검색은 하나 이상의 [데이터베이스](/ko/search/backend.md#available-databases).
{% hint style="warning" %}
에 있는 하나 이상의 테이블의 모든 열 전반에서 값을 검색하는 것을 의미합니다. [일반적으로는](#performing-an-indicator-search) 지표 검색
{% endhint %}
을 자유 텍스트 검색 대신 수행하는 것이 권장됩니다. 후자는 훨씬 비효율적이어서 완료하는 데 더 오래 걸리고(비용도 더 많이 듭니다).
* [Panther에서 다음과 같은 방법으로 전체 텍스트 검색을 실행할 수 있습니다:](#performing-a-full-text-search-in-search-using-filter-chips)
* [Search에서, 필터 칩 사용](#performing-a-full-text-search-in-search-using-pantherflow)
#### Search에서, PantherFlow 사용
필터 칩을 사용해 Search에서 전체 텍스트 검색 수행 [Search에서 필터 칩으로 전체 텍스트 검색을 수행하려면,](/ko/search/search-tool.md#free-text-filter-expression).
자유 텍스트 필터 표현식 **auto-detect** 옵션이 선택되어 있습니다.
#### 을 생성하세요. 값을 입력할 때는
를 선택하지 마세요. [`union` PantherFlow를 사용해 Search에서 전체 텍스트 검색 수행](https://docs.panther.com/pantherflow/operators/union):
```kusto
union panther_logs.public.*
| where p_event_time > time.ago(1d)
PantherFlow에서 모든 로그 전반을 검색하려면
```
연산자를 사용하세요. 쿼리 효율성을 높이려면 다음의 원칙을 따르는 것이 권장됩니다. [PantherFlow 모범 사례](/ko/pantherflow/best-practices.md).
{% hint style="info" %}
Panther AI를 사용해 PantherFlow 쿼리를 생성할 수 있습니다—[여기에서 자세히 알아보기](/ko/search/search-tool.md#ai-powered-pantherflow-query-generation).
{% endhint %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/search/threat-hunting.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.