TISCSplunk에서 추가 기능 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 7분

    • 아래 절차에 따라 애플리케이션을 구성합니다.

    시작하기 전에

    필요한 역할: Splunk 관리자

    이 태스크 정보

    아래 절차에서는 에서 TISC 추가 기능 Splunk의 구성에 대해 설명합니다.

    프로시저

    1. 왼쪽 탐색 메뉴에서 Splunk용 위협 인텔리전스 보안 센터 앱을 검색합니다.
    2. 작업 열 아래의 설정을 클릭합니다.
      구성 페이지가 표시되고 계정을 설정할 ServiceNow TISC 수 있습니다.
    3. 추가를 선택합니다.
    4. 양식의 필드에 내용을 입력합니다.
      필드 설명
      계정 추가
      이름 계정의 고유 이름입니다.
      사용자 이름 계정 사용자 이름을 입력합니다 ServiceNow . 위의 단계에서 역할 생성 sn_sec_tisc.api_obs_read_access 중에 생성된 사용자에 대해 사용된 것과 동일한 사용자 이름을 사용할 수 있습니다.
      암호 계정 암호를 제공하십시오 ServiceNow .
      인스턴스 URL 인스턴스 URL 주소를 제공합니다 ServiceNow .
    5. 추가를 클릭합니다.
      ServiceNow 인스턴스 계정이 에 Splunk추가됩니다.
    6. 입력 페이지로 이동하여 컬렉션을 생성하고 계정에 대한 데이터 입력을 관리합니다ServiceNow.
    7. 입력 생성을 클릭합니다.
      계정에 입력을 추가할 수 있는 입력 추가 대화 상자가 ServiceNow 표시됩니다.

      입력 세트가 정의되면 애플리케이션은 기준을 충족하는 특정 수의 옵저버블을 검색하기 위해 정보를 인스턴스에 TISC 보냅니다.

    8. 입력 세부 정보를 적절하게 입력합니다.
      필드 설명
      이름 입력의 고유한 이름입니다. 예를 들어 악성 IP 목록입니다.
      계정 계정 사용자 이름을 입력합니다 ServiceNow . 위의 단계에서 sn_sec_tisc.api_obs_read_access 역할로 생성된 사용자에 사용되는 것과 동일한 사용자 이름을 사용할 수 있습니다.
      간격 데이터를 TISC검색할 시간 간격(초)을 설정합니다.
      만료 기간(일) 만료 기간을 일 단위로 설정하는 옵션입니다.
      주:
      샘플 만료는 30일로 설정되어 있습니다. 예를 들어, 특정 날짜에 데이터를 끌어오면 10,000개의 기록 세트를 검색할 수 있습니다. 이러한 기록은 내의 SplunkKV(키-값) 저장소에 저장됩니다. 수집된 날짜부터 기록은 30일 동안 보존됩니다. 31일째가 되면 KV 스토어에서 자동으로 삭제됩니다.
      만료되지 않음 수집된 기록을 만료시키지 않으려면 이 옵션을 선택합니다.
      추가 속성 권장 옵션 목록에서 KV 스토어에 포함할 속성을 추가할 수 있습니다. 속성은 쉼표로 구분해야 합니다.

      허용되는 속성 목록은 필수 속성 테이블 다음의 테이블에 제공됩니다.
      필터 데이터를 임포트해야 하는 기준이 되는 조건을 정의합니다.

      필터 조건을 설정하기 위해 위협 점수, 신뢰도 및 유형과 같은 필드를 기반으로 기준을 정의할 수 있습니다.

      단순 필터 조건의 경우 이 필터링 옵션을 사용할 수 있습니다. 그러나 필터 조건이 더 복잡하고 고급 필터링의 경우 JSON 필터를 추가하도록 선택할 수 있습니다.
      • 허용되는 정수 연산자는 다음과 같습니다.

        "=", "!=", ">", "<", ">=", "<="

      • 허용되는 문자열 연산자는 다음과 같습니다.

        "=", "!=", "안에"

      다음은 간단한 필터의 예입니다.

      {Sample filter format: Allowed Tokens: "threat_score", "confidence", "reputation", "type", "value". Allowed Integer Operators: "=", "!=", ">", "<", ">=", "<=". Allowed String Operators: "=", "!=", "IN". Example: reputation IN ("clean","suspicious","malicious") AND threat_score > 90 AND confidence > 90 AND type = "ip_v4_address"}
      JSON JSON 기반 필터를 사용하면 보다 복잡한 조건을 정의할 수 있습니다.

      샘플 고급 필터:

      {"boolean_operator":"AND","filters":[{"field_name":"reputation","operator":"IN","field_value":"clean,suspicious,malicious"},{"field_name":"threat_score","operator":">","field_value":"90"},{"field_name":"confidence","operator":">","field_value":"90"},{"field_name":"type","operator":"=","field_value":"ip_v4_address"}]}
      주:
      계정은 기본적으로 활성 상태이지만 입력은 기본적으로 비활성 상태입니다. 데이터 임포트를 시작하려면 계정을 활성화해야 합니다. 가능한 필터는 TISC(위협 인텔리전스 보안 센터) 애플리케이션에 옵저버블 소스 기록 추가 의 Observable_filters 섹션을 참조하십시오.
    9. 추가를 클릭하여 입력을 추가합니다.
    10. 복제 또는 복사를 클릭하여 기존 계정을 기반으로 새 계정을 복사하고 만듭니다.
      동일한 기준을 사용하여 데이터를 임포트할 때 중복 항목이 생성되지 않도록 복제하기 전에 입력이 비활성화되어 있는지 확인합니다.
    11. 데이터를 가져오면 다음 정보가 TISC에서 가져온 기록과 함께 검색되어 KV 저장소 Splunk 에 저장됩니다.
      필드 설명
      신뢰도 위협 점수의 정확도와 관련된 신뢰 수준을 나타냅니다.
      kvlookup_created_time 키 값 저장소의 기록 생성 시간을 나타냅니다.
      kvlookup_days_till_expiry KV 저장소에서 기록이 삭제될 때까지의 일수를 나타냅니다.
      instance_url 인스턴스 URL 주소를 나타냅니다 ServiceNow .
      평판 관련된 엔터티의 평판을 나타냅니다.
      source_reported_score 에서 보고된 소스 점수 TISC입니다.
      sys_id 통과하는 기록 TISC의 시스템 ID입니다.
      threat_level 위협의 심각도 수준을 나타냅니다.
      threat_score 기록과 연결된 위협 수준을 나타내는 점수입니다.
      threat_severity 옵저버블의 위협 심각도를 나타냅니다.
      type 옵저버블 유형을 나타냅니다.
      updated_by 기록을 마지막으로 업데이트한 사람에 대한 정보를 제공합니다.
      kvlookup_updated_time 키 값 저장소에서 기록이 마지막으로 업데이트된 타임 스탬프를 나타냅니다.
      value 기록의 값입니다. 예를 들어 IP, 해시 등이 있습니다.
      표 1. 추가 속성
      필드 설명
      additional_context 필요한 경우 추가 컨텍스트를 제공합니다.
      attack_phases LM, MITRE ATT&CK 등의 킬 체인의 공격 단계를 나타냅니다.
      저자 작성자 이름을 제공합니다.
      comments 필요에 따라 주석을 추가합니다.
      created 옵저버블이 생성된 시기를 나타냅니다.
      description 설명을 제공합니다.
      expiration_time 옵저버블 기록의 만료 시간을 지정합니다.
      확장명 옵저버블의 확장을 나타냅니다.
      first_observed 데이터가 처음으로 관찰된 때입니다.
      first_seen 이 기록이 악의적인 활동을 수행하는 것이 처음 목격된 경우입니다.
      historically_significant 옵저버블이 역사적으로 중요한 것으로 간주되는지 여부를 나타냅니다. 이 TISC 시스템 플래그는 보관에서 옵저버블을 제외하는 데 사용됩니다.
      id TISC 시스템에서 옵저버블에 할당한 고유 식별자입니다.
      is_defanged 옵저버블 값이 제거되었는지 여부를 나타내는 플래그입니다.
      is_false_positive 옵저버블이 긍정 오류로 식별되는지 여부를 나타내는 부울 플래그입니다.
      language 이 객체의 텍스트 컨텐츠 언어를 나타냅니다.
      last_observed 데이터가 마지막으로 관찰된 시간입니다.
      last_seen 이 개체가 악의적인 활동을 수행하는 것이 마지막으로 목격된 시간입니다.
      notes 옵저버블 기록에 대한 메모를 추가합니다.
      TISC에서 옵저버블에 할당한 시스템 생성 번호입니다.
      security_type 옵저버블이 허용 목록에 속하는지 거부 목록에 속하는지 여부를 지정합니다.
      no_of_sources 옵저버블에 기여한 고유 소스의 수를 나타냅니다.
      sources 이 기록이 생성되는 위협 소스를 지정합니다.
      status 옵저버블의 상태를 활성 또는 비활성인 경우 입력합니다.
      tisc_tags 옵저버블과 연결된 TISC 태그를 선택합니다.
      세분화 옵저버블과 연결된 분류를 선택합니다.
      TLP TLP당 데이터 민감도 설정을 나타내는 고유 값입니다.
      updated 옵저버블 기록이 마지막으로 업데이트된 시기를 나타냄
      usage_categories 옵저버블이 봇넷 또는 피싱처럼 속하는 범주입니다.
      watch_list 옵저버블이 감시 목록에 포함되는지 여부를 지정하는 플래그입니다.

      이러한 필드는 기준에 따라 정의된 다른 필드와 함께 검색 탭에서 사용할 수 있으며 Splunk 검색 탭을 통해 보고, 검색하고, 분석할 수 있습니다.