자동 이벤트 생성 방법 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기7분

    • 에서 이벤트를 MISP자동으로 생성하도록 구성합니다Now Platform.

    시작하기 전에

    프로시저

    1. 다음으로 이동 모두 > MISP 통합 > 자동 이벤트 작성 프로파일레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 이름 양식
      필드 설명
      이름 자동 이벤트 생성 프로파일의 이름입니다.
      설명 프로파일에 대한 간략한 설명입니다. 더 자세한 설명은 이벤트 생성의 다음 단계에 있는 속성을 통해 공유됩니다.
      순서 트리거 조건이 충족될 때 프로파일의 순서입니다. 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

      여러 프로필을 만드는 경우 이 값은 두 개 이상의 프로필이 트리거 조건을 공유할 때 런타임 실행 우선 순위를 제공합니다. 숫자가 가장 낮은 프로필의 우선 순위가 가장 높습니다.
      소스 MISP 이벤트 생성을 위한 소스입니다.
      활성 프로파일이 활성 또는 비활성인지 표시하는 옵션입니다. 프로필이 꺼져 있음을 나타내려면 기본적으로 이 옵션이 선택되어 있지 않습니다.

      이 프로파일은 모든 프로파일 구성 단계를 완료하고 마침을 클릭할 때까지 활성화되지 않습니다.
    4. 계속을 클릭합니다.

    이벤트 트리거 조건 구성

    조건이 충족될 때 이벤트를 MISP 자동으로 트리거할 수 있도록 에서 이벤트 트리거 조건을 Now Platform 구성합니다.

    시작하기 전에

    필요한 역할: sn_sec_misp.write

    프로시저

    1. 트리거 조건 양식에서 이벤트를 트리거할 수 있는 세부 정보를 입력합니다.
      보안 인시던트 필드 또는 옵저버블 필드를 기반으로 하는 트리거 조건을 제공하여 복합 논리를 빌드할 수 있습니다. 에 해당 이벤트가 MISP없는 경우 에서 MISP 이벤트를 생성할 수도 있습니다. 옵저버블에 MISP에 해당 이벤트가 없는 경우 세 가지 트리거 조건(보안 인시던트 필드를 기반으로 트리거, 옵저버블 필드를 기반으로 트리거, MISP 이벤트 작성)의 조합을 사용하여 복합 논리를 빌드하도록 선택할 수 있습니다. 여러 트리거를 선택하는 경우 AND 조건을 사용하여 조인할 수 있습니다. OR 조건을 사용해야 하는 경우 새 조건으로 프로파일을 만드는 것이 좋습니다.
      표 2. 이벤트 트리거 조건 양식
      필드 설명
      보안 인시던트 필드를 기반으로 트리거 MISP 모든 보안 인시던트 트리거 조건이 충족되는 경우 생성할 수 있는 이벤트입니다.
      보안 인시던트 트리거 조건 조건 작성기의 목록과 필드를 사용하여 설정할 수 있는 첫 번째 행의 필터입니다. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.

      두 번째 필터 조건을 설정하려면 [새 기준]을 클릭합니다.
      옵저버블 필드를 기반으로 트리거 MISP 모든 옵저버블 트리거 조건이 충족되면 생성할 수 있는 이벤트입니다.
      옵저버블 트리거 조건 조건 작성기의 목록과 필드를 사용하여 설정할 수 있는 첫 번째 행의 필터입니다. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.

      두 번째 필터 조건을 설정하려면 [새 기준]을 클릭합니다.
      옵저버블에 MISP 상의 해당 이벤트가 없는 경우 MISP 이벤트 작성 MISP 에 옵저버블에 해당 이벤트가 없는 경우 만들 수 있는 이벤트입니다 MISP.
      그림 1. 이벤트 트리거 조건

      다음 예는 이벤트 생성 프로파일을 설정할 때의 MISP 이벤트 트리거 조건을 보여줍니다.

      MISP에서 작성된 이벤트를 기반으로 하는 조건을 구성합니다.
    2. 계속을 클릭합니다.

    MISP 이벤트 필드 매핑

    MISP 이벤트가 생성될 때 보안 인시던트 정보를 사용할 수 MISP 있도록 이벤트 필드를 Now Platform 매핑합니다.

    시작하기 전에

    필요한 역할: sn_sec_misp.write

    프로시저

    1. 양식의 필드에 내용을 입력합니다.
      표 3. 기본 MISP 이벤트 필드 매핑 양식
      필드 설명
      이벤트 정보 에서 자동으로 생성되는 이벤트 정보입니다 Now Platform 보안 인시던트 응답.

      이벤트 정보 필드는 ${SIR FIELD LABEL}$을 사용하여 대체 변수를 지원합니다. 이벤트를 만드는 동안 이러한 변수는 실제 보안 인시던트 필드 값으로 대체됩니다. ${URL}$ 대체 변수는 보안 인시던트의 URL로 바뀝니다.
      배포 이벤트가 게시된 후 이 이벤트를 볼 수 있는 사람을 제어하는 옵션입니다. 이 옵션은 이벤트가 다른 서버와 동기화되는지 여부도 제어합니다. 분포는 속성에 의해 상속되며 가장 제한적인 설정이 우선합니다. 배포 옵션은 다음과 같습니다.
      • 내 조직만: 내 기관의 구성원만 이 이벤트를 볼 수 있습니다. 조직 구성원 중 한 명이 이벤트를 다른 인스턴스로 끌어올 수 있으며, 이 경우 조직만 이벤트를 볼 수 있는 액세스 권한을 가질 수 있습니다. 이 설정을 사용하는 이벤트는 동기화되지 않습니다.
      • 이 커뮤니티 전용: 사용자의 조직, 이 MISP 서버의 조직 및 이 서버와 동기화되는 서버를 실행하는 MISP 조직을 포함하여 커뮤니티의 일부 MISP 인 사용자가 이벤트를 볼 수 있도록 합니다. 연결된 서버에 연결하는 다른 모든 조직은 이벤트를 볼 수 없습니다.
      • 연결된 커뮤니티: 커뮤니티의 일부 MISP 인 사용자가 이 MISP 서버의 모든 조직, 이 서버와 동기화되는 서버의 모든 조직 MISP 및 두 홉 떨어진 서버에 연결하는 서버의 호스팅 조직을 포함하여 이벤트를 볼 수 있도록 합니다. 두 홉 떨어져 있는 연결된 서버에 연결된 다른 모든 조직은 이벤트를 볼 수 없습니다.
      • 모든 커뮤니티: 이벤트를 모든 MISP 커뮤니티와 공유합니다.
      위협 수준 이벤트의 위험 수준을 나타내는 필드입니다. 인시던트를 세 가지 위협 범주(낮음, 중간, 높음)로 분류할 수 있습니다. 이 필드는 정의되지 않은 상태로 둘 수도 있습니다. 옵션은 다음과 같습니다.
      • 낮음: 일반 대량 맬웨어
      • 중간: 지능형 지속 위협(APT)
      • 높음: 정교한 APT 및 0일 공격
      분석 상태 이벤트 분석의 현재 단계로, 다음과 같은 옵션이 있습니다.
      • 초기: 분석이 이제 막 시작되었습니다.
      • 진행 중: 분석이 진행 중입니다.
      • 완료됨: 분석이 완료되었습니다
      다음 예는 MISP에서 이벤트를 작성하는 데 사용할 수 있는 양식을 보여줍니다.
      그림 2. 기본 MISP 이벤트 필드 매핑
      양식을 구성하여 MISP에서 새 이벤트를 작성합니다.
    2. 계속을 클릭합니다.

    옵저버블을 이벤트에 속성 MISP 으로 매핑 또는 연결 SIR

    보안 인시던트 응답 속성 유형과 SIR 옵저버블이 다를 수 있으므로 MISP 옵저버블 유형을 MISP 속성 유형에 매핑합니다.

    시작하기 전에

    필요한 역할: sn_sec_misp.write

    이 태스크 정보

    MISP Integration for Security Operations 옵저버블을 이벤트에 속성으로 추가할 SIR 때 사용하는 기본 시스템 매핑을 MISP 제공합니다.

    사용자 환경에 맞게 기본 시스템 매핑을 수정하도록 선택할 수 있습니다. 예를 들어, 여러 SIR 옵저버블을 하나의 MISP 속성 유형에만 매핑할 수 있습니다. 옵저버블 유형이 매핑되지 않은 경우 기본적으로 다른 MISP 속성 유형이 선택됩니다.

    프로시저

    1. 추가 옵션 양식에서 옵저버블 및 MISP 속성 유형을 매핑 SIR 합니다.
    2. 보안 인시던트 응답 다음 테이블의 설명에 따라 옵저버블 유형을 속성 유형에 매핑합니다MISP.
      표 4. SIR 옵저버블 및 MISP 속성 유형 매핑
      필드 설명
      연결된 모든 옵저버블을 속성으로 추가 보안 인시던트 MISP 에서 사용 가능한 옵저버블을 이벤트에 속성으로 추가할 수 있는 옵션입니다.

      이 옵션은 관찰 대상 유형에서 속성 유형 매핑 섹션의 매핑을 활성화합니다.
      속성 유형 매핑에 대한 옵저버블 유형 옵저버블 유형을 속성 유형에 매핑 SIR 하는 옵션입니다 MISP . 예를 들어, CVE 번호를 의 취약성 속성MISP에 매핑 SIR 할 수 있습니다.

      옵저버블 유형은 하나의 MISP 속성 유형에만 추가할 SIR 수 있습니다.

      기본 시스템은 관찰 대상 유형을 속성 유형에 매핑 SIR 하는 MISP 기능을 제공합니다.

      옵저버블 유형이 SIR 속성 MISP 유형에 매핑되지 않은 경우 옵저버블은 의 MISP다른 속성 유형에 매핑됩니다.

      새 매핑을 추가하려면 옵저버블 유형 추가를 클릭하고 옵저버블 유형을 검색 SIR 한 다음 해당 MISP 속성 유형에 매핑합니다.

      매핑 제거 아이콘 매핑 제거를 클릭합니다. 을 클릭하여 AND MISP 속성 매핑 연결을 제거합니다SIR.

      주:
      속성 유형에 대한 MISP 자세한 내용은 MISP 설명서를 참조하십시오.
      옵저버블 찾기가 악성일 때 속성 IDS 플래그 설정 에서 옵저버블이 악성 SIR으로 표시된 경우 의 해당 속성에 IDS 플래그가 활성화되어 있음을 알 수 있는 옵션입니다 MISP . IDS 플래그가 설정되지 않은 경우 속성은 컨텍스트 정보로 간주되며 자동 침입 탐지에 사용되지 않습니다.

      다음 예제에서는 추가 옵션 페이지로 이동하는 방법을 보여 줍니다. 이 페이지에서 SIR 옵저버블 및 MISP 속성 유형 매핑을 사용 설정하고, IPV6 네트워크 및 IPV4 네트워크와 같은 새 SIR 옵저버블 유형을 추가하고, 이를 속성 유형 도메인 IP 주소에 MISP 매핑할 수 있습니다.

      그림 3. 옵저버블 및 MISP 속성 유형 매핑 SIR
      SIR 옵저버블 및 MISP 속성 유형을 매핑합니다.

    정보를 이벤트에 동기화 MITRE-ATT&CKMISP

    더 나은 보안 인시던트 및 위협 분석을 위해 정보를 속성과 MISP 동기화 MITRE-ATT&CK 합니다.

    시작하기 전에

    필요한 역할: sn_sec_misp.write

    프로시저

    추가 옵션 양식에서 정보를 속성과 동기화 MITRE-ATT&CK 하는 옵션을 검토합니다 MISP .
    표 5. 고급 옵션 양식
    필드 설명
    보안 인시던트 MITRE-ATT&CK™ 기술을 로컬 갤럭시 MISP 로 이벤트에 동기화 보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트의 로컬 갤럭시로 동기화 Now Platform SIR 하는 옵션입니다MISP.
    주:
    로컬 갤럭시를 추가하려면 통합을 구성한 사용자가 해당 MISP 서버의 호스트 조직에 속해야 합니다.
    보안 인시던트 MITRE-ATT&CK™ 기술을 글로벌 갤럭시 MISP 로 이벤트에 동기화 보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트의 글로벌 갤럭시로 동기화 Now Platform SIR 하는 옵션입니다MISP.

    결과

    에서 이벤트를 MISPNow Platform자동으로 생성할 수 있는 프로필을 만들었습니다. 이제 연결된 MISP 이벤트 관련 목록에서 이벤트를 볼 수 있습니다.