보안 인시던트 옵저버블 생성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 보안 인시던트 내에서 옵저버블을 만들어 보고 적절한 조치를 취할 수 있습니다. 보안 인시던트에서 옵저버블을 사용할 수 있으면 확장 가능하며 응답시간이 단축됩니다.

    시작하기 전에

    필요한 역할:
    • sn_ti_observable.write (쓰기)
    • sn_ti_observable.read(읽기)
    • sn_ti_observable.admin(삭제)

    프로시저

    1. 보안 인시던트로 이동합니다.
    2. 인시던트를 선택합니다.
    3. 보안 인시던트 옵저버블 관련 목록 탭을 클릭합니다.
    4. 새로 만들기를 클릭합니다.
    5. 양식의 필드에 적절히 입력합니다.
      필드 설명
      분류 태그 선택 보안 태그를 설정하고 활성화하여 기록에 메타데이터를 추가하는 경우 하나 이상의 태그를 선택하여 옵저버블의 민감도를 지정할 수 있습니다.

      보안 태그를 설정하거나 활성화하지 않은 경우 이 드롭다운 목록이 표시되지 않습니다.
      옵저버블과 연결된 값(예: IP 주소 또는 해시)입니다.
      주:
      IP 주소 또는 해시에 대한 위협 검사 , 반환된 맬웨어 또는 기타 실패의 경우 IP 주소 또는 해시 값이 옵저버블 [sn_ti_observable] 테이블에 자동으로 추가됩니다. 따라서 옵저버블 양식에서 검색할 수 있습니다.
      옵저버블 유형 IP 주소 또는 파일 해시와 같은 옵저버블 분류를 선택합니다. 이러한 옵저버블 유형은 옵저버블 유형 모듈에 정의되어 있습니다.
      인시던트 수 옵저버블 값이 발생한 횟수입니다.
      컴포지션임 이 필드는 옵저버블 기록이 저장된 후에만 표시됩니다.

      옵저버블 유형옵저버블 컴포지션과 다른 유형으로 설정되어 있고 이 새로운 옵저버블이 컴퍼지션인 경우 이 확인란을 선택합니다.

      옵저버블 유형이 이미 옵저버블 컴포지션으로 설정된 경우 확인란이 선택되고 읽기 전용입니다.

      옵저버블 컴포지션은 하위 옵저버블을 포함하는 옵저버블입니다.
      찾기 다음 중 하나를 선택합니다.
      • 악의적: 옵저버블이 조직에 해롭다는 것을 나타냅니다.
      • 의심스러움: 옵저버블이 조직에 해로울 수 있음을 나타냅니다.
      • 치료: 옵저버블이 조직에 해롭지 않음을 나타냅니다.
      • 알 수 없음: 옵저버블의 결과를 아직 결정하지 않았음을 나타냅니다.

      • 기본값: 알 수 없음. 자세한 내용은 위협 조회 찾기 계산기 문서를 참조하십시오.

      주:
      업그레이드 후 기존 옵저버블은 악성으로 표시됩니다.
      운영자 이 필드는 컴포지션 여부 확인란을 선택한 경우에만 나타납니다. 이 필드의 설정에 따라 연결된 표시기가 있는지 여부를 결정할 때 옵저버블과 해당 하위 항목이 고려됩니다.

      연결된 표시기가 존재하는 것으로 간주되려면 모든 하위 옵저버블이 있어야 하는 경우 이 필드를 AND 로 설정합니다.

      연결된 표시기가 존재하는 것으로 간주될 하위 옵저버블이 있는 경우 OR 로 설정합니다.
      있으면 안 됩니다. 이 필드는 옵저버블 기록이 저장된 후에만 표시됩니다.

      선택하는 경우 이 필드는 옵저버블의 부재가 잠재적인 문제(예: 레지스트리 키 누락)임을 나타냅니다.
      위치 두 속성의 설정과 스크립트 포함 정의를 사용하여 이 필드에 로드 더 많은 IoC 데이터 로드 할 수 있습니다.
      메모 옵저버블에 대한 추가 메모를 입력합니다.
    6. 양식 헤더를 마우스 오른쪽 버튼으로 클릭하고 저장을 클릭합니다.
      이제 다음 관련 목록 중 하나를 클릭하여 추가 정보를 볼 수 있습니다.
      관련 목록 설명
      관련 표시기 위협 소스에 의해 식별된 표시기를 나열합니다.
      관련된 작업 옵저버블과 관련된 변경 사항을 나열합니다.
      하위 옵저버블 위협 소스로 식별된 관련 옵저버블을 나열합니다.
      IP에 대한 일치하는 자원 옵저버블이 IP 주소인 경우 이 목록에는 일치하는 IP 주소가 있는 모든 자원(구성 항목)이 표시됩니다.
      옵저버블 소스 소스의 신뢰도와 함께 이 옵저버블의 소스를 나열합니다.
      보안 주석 이 옵저버블에 추가된 보안 주석을 나열합니다.
    7. 보안 인시던트로 돌아가면 다음과 같은 정보를 사용할 수 있습니다.
      주:
      보안 인시던트에 옵저버블을 추가하면 시스템은 이와 관련된 다른 구성 항목 또는 사용자를 확인합니다. 이에 따라 관련 구성 항목관련 사용자 관련 목록 탭이 업데이트됩니다.
      보안 인시던트 옵저버블 예시
      정의
      옵저버블 옵저버블과 연결된 값(예: IP 주소 또는 해시)입니다.
      관찰 대상 유형 옵저버블의 특정 유형입니다.
      컨텍스트 사용자가 선택합니다. 선택 항목은 다음과 같습니다.
      • IP - 소스 또는 대상
        주:
        가 활성화된 경우 위협 인텔리전스 이 필드에 값을 변경하거나 추가하면 로그 데이터 가져오기 워크플로우 Security Operations Palo Alto Networks - 로그 데이터 가져오기 워크플로우가 실행됩니다.Palo Alto Networks - Firewall 워크플로우는 방화벽에서 보강된 위협 로그 데이터를 검색하여 보안 인시던트에 첨부합니다. 이 정보는 Enrichment Data(보강 데이터) 탭의 Firewall Logs(방화벽 로그) 섹션에도 구문 분석되어 표시됩니다.
      • URL - 리퍼러
        주:
        사용자가 피싱 이메일의 링크를 클릭할 때 리퍼러는 멀웨어 URL에 액세스하기 전의 최종 점프 URL입니다.
      인시던트 수 이 옵저버블이 나타나는 인시던트의 수입니다. 이 값은 옵저버블이 수동으로 또는 워크플로우를 통해 다른 인시던트에 추가될 때 자동으로 업데이트됩니다.
      업데이트됨 목록이 마지막으로 업데이트된 데이터 및 시간입니다.
      주:
      플러그인이 위협 인텔리전스 설치된 경우 IoC 리포지토리옵저버블 목록에서 옵저버블을 볼 수도 있습니다.