에서 사이팅 검색 MISP

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기7분

    • 인스턴스의 MISP 옵저버블에 대한 사이팅 검색을 수행하여 네트워크에서 피싱 공격이나 악성 IP 또는 URL과의 통신과 같은 특정 유형의 공격이 발생하는 빈도를 확인할 수 있습니다. 각 발생은 목격으로 간주됩니다.

    의 사이팅 MISP

    목격은 지표, 개체 또는 속성이 보였고 그 유효성이 확인되었음을 나타냅니다. 사이팅 인은 MISP 이벤트의 속성에 응답할 수 있는 시스템입니다. 사용자가 지정된 속성을 보았는지 쉽게 확인할 수 있는 방법을 제공하여 신뢰성을 높일 수 있도록 설계되었습니다. 한 속성을 여러 번 볼 수 있습니다.
    주:
    옵저버블은 MISP에서는 속성이라고 합니다.

    일부 속성은 가양성으로 간주되며, 이는 유효한 사이팅이 아님을 의미합니다. 다른 속성은 일주일 동안만 실행되는 피싱 캠페인처럼 특정 기간 동안만 유효합니다. 특정 기간 동안 유효한 속성에 만료 날짜를 할당할 수 있지만 각 조직은 속성에 유효한 만료 날짜를 하나만 할당할 수 있습니다.

    해당 MISP 서버에서 로컬로 표시된 조직의 사용자가 작성 MISP 한 사이팅을 내부 사이팅이라고 합니다. 해당 MISP 서버에서 원격으로 표시된 조직의 사용자가 생성 MISP 한 사이팅을 외부 사이팅이라고 합니다.

    에서 사이팅 검색 SIR

    Security Operations Integration - 관찰 검색 워크플로우가 관찰 검색을 실행합니다. 이 워크플로우는 옵저버블 목록을 수락하고, 구현 역량을 찾고, 사이팅 검색 구성을 기반으로 쿼리를 생성하고, 구성된 워크플로우를 기반으로 검색을 실행합니다.

    사이팅 검색은 분석가가 시간 경과에 따른 위협의 확산을 확인하는 데 도움이 됩니다. 보안 인시던트에서 검색할 옵저버블과 데이터 범위를 개별적으로 또는 여러 개 선택할 수 있습니다. 결과는 보안 인시던트 목격, 목격 검색 결과목격 검색 상세 정보 관련 목록에 포함됩니다.

    인시던트 분석을 시작할 때 자동으로 관찰 검색을 수행하거나 관찰 가능한 관찰 검색을 수동으로 수행하여 동일한 피싱 공격의 영향을 받는 조직 내의 다른 사용자를 식별하도록 설정할 수 Now Platform 있습니다.

    에서 자동 사이팅 검색 활성화 MISP

    새 옵저버블이 보안 인시던트에 연결될 때마다 Security Operations Integration - 사이팅 검색 워크플로우가 트리거되도록 사이팅 검색을 MISP 자동으로 실행합니다.

    시작하기 전에

    다음 사항을 확인합니다. 사이팅 검색 구성 프로파일 MISP 이(가) 활성 상태입니다.

    필요한 역할: sn_si.analyst

    이 태스크 정보

    를 활성화하는 경우 에서 자동으로 실행되는 사이팅 검색 역량 MISP 통합 구성, 새 옵저버블이 보안 인시던트와 연결되면 사이팅 검색이 MISP 트리거됩니다. 기본적으로 '새 옵저버블이 보안 인시던트와 연결된 경우 사이팅 검색 자동 실행' 옵션이 활성화되어 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 관찰 검색 데이터에서 MISP 보려는 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 새 옵저버블이 보안 인시던트와 연결된 후 작업 메모를 검토합니다.
      Security Operations Integration - 관찰 검색 워크플로우가 트리거되면 작업 메모가 게시됩니다.

      다음 예는 작업 메모 섹션을 보여줍니다.

      작업 메모를 보고 관찰 검색 워크플로우가 트리거되었는지 확인합니다.
    4. 모든 이벤트(전역)에서 볼 수 있고 워크플로우 실행이 완료된 후 내부 또는 외부 사이팅별로 분류된 옵저버블의 집계 정보를 봅니다.
      사이팅, 사이팅 검색 결과사이팅 검색 세부 정보 관련 목록에서 정보를 봅니다. 다음 예는 사이팅 관련 목록에서 생성된 사이팅 검색 기록을 보여줍니다.
      Sightings 탭에서 생성된 Sightings 검색 기록을 봅니다.
      표 1. 사이팅 검색 기록
      필드 설명
      작성됨 사이팅 검색 기록이 생성된 날짜와 시간입니다.
      옵저버블 쿼리에서 검색되는 옵저버블입니다.
      관찰 카운트 내부 및 외부 사이팅 수입니다.
      소스 옵저버블의 소스입니다. 옵저버블이 조직에서 MISP 온 것이면 기록 앞에 MISP라는 단어가 옵니다.
      로컬 여부 내부 사용자가 목격을 보고했는지 여부를 나타내는 상태입니다.
      사이팅 검색 링크 인스턴스의 사이팅 검색 링크입니다 MISP .
      요약 기록과 연관된 사이팅의 유형입니다. 사이팅의 세 가지 유형은 사이팅, 가양성 및 만료입니다.

      요약 열은 가 MISP Integration for Security Operations 설치된 경우에만 나타납니다. 이외의 MISP 소스가 나타나면 해당 기록에 대한 요약 열 항목이 비어 있습니다.

    에서 수동 사이팅 검색 수행 MISP

    애플리케이션에서 Now Platform MISP Integration for Security Operations 개별 또는 여러 옵저버블을 선택하고 수동 사이팅 검색을 수행하여 시간 경과에 따른 위협의 확산을 확인합니다.

    시작하기 전에

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 관찰 검색을 실행할 MISP 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. Show All Related Lists(모든 관련 목록 표시) 및 Associated Observables(연결된 옵저버블) 탭을 클릭합니다.
    4. 옵저버블을 선택한 다음 작업 메뉴에서 사이팅 검색 실행을 클릭합니다.
      사이팅 검색을 위해 여러 옵저버블을 선택할 수 있습니다.
      사이팅 검색 실행 대화 상자가 열립니다.
    5. 사이팅 검색 데이터를 검색할 날짜 범위를 지정합니다.
      표 2. 사이팅 검색 실행 대화 상자
      필드 설명
      마지막 검색할 인시던트가 생성되기 전의 시간 또는 일수입니다.

      기본값은 7일입니다. 한도는 99시간 또는 일입니다.
      해당 범위 검색할 날짜 범위입니다. 기본 날짜는 다음과 같습니다.
      • 인시던트가 생성된 날짜 및 시간입니다.
      • 인시던트가 시작되기 7일 전의 날짜 및 시간입니다.
    6. 검색을 클릭합니다.
      다음 예는 작업 메모의 수동 사이팅 검색 결과를 보여줍니다.
      작업 메모의 수동 사이팅 검색 결과입니다.

    결과

    사이팅 검색 기록이 생성됩니다. 워크플로우 실행이 완료되면 모든 이벤트(전역)에서 표시되고 내부 또는 외부 사이팅별로 분류된 옵저버블의 집계 정보를 볼 수 있습니다. 집계 및 관련 사이팅 데이터는 사이팅, 사이팅 검색 결과사이팅 검색 세부 정보 관련 목록의 보안 인시던트에 표시됩니다.

    사이팅을 보고할 대상 MISP

    데이터의 가양성에 대응하고 참 긍정 위협이 발생할 때 인식을 높일 수 있도록 위협 데이터 목격을 보고합니다. 특정 옵저버블 또는 속성에 대한 만료 날짜를 추가할 수도 있습니다.

    시작하기 전에

    이 태스크 정보

    이를 MISP Integration for Security Operations 통해 모든 이벤트에 걸쳐 목격을 전역으로 보고할 MISP 수 있습니다. 특정 이벤트에 대한 사이팅을 보고하려면 인스턴스를 사용하고 MISP 로컬에서 사이팅을 보고해야 합니다.

    관찰 MISP을 에 보고하려면 인스턴스에서 MISP 옵저버블 또는 속성을 사용할 수 있어야 합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 관찰 MISP 을 보고하려는 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 모든 관련 목록 및 사이팅 관련 목록 표시를 클릭합니다.
    4. 옵저버블을 선택하고 동작 메뉴에서 다음 옵션 중 하나를 선택합니다.
      옵션설명
      MISP: 옵저버블 사이팅 보고 관찰 대상을 관찰된 것으로 보고합니다 MISP. 옵저버블이 여러 이벤트와 연결된 경우 모든 이벤트에서 업데이트됩니다.
      MISP: 옵저버블을 긍정 오류로 보고 옵저버블을 긍정 오류로 보고합니다 MISP.
      MISP: 옵저버블을 만료로 보고 옵저버블을 만료된 것으로 보고합니다 MISP.
      소스에 MISP 특정하지 않은 옵저버블을 선택하면 작업 메뉴에 관련 MISP 소스의 수가 표시됩니다. 다음 예제에서는 8개의 관찰 가능 항목 중 4개를 와 MISP관련된 것으로 보여 줍니다. 다음 예시에서는 작업 메뉴와 제출할 관련 옵저버블을 보여줍니다.
      그림 1. 제출할 관련 옵저버블을 보여주는 작업 메뉴
      작업 메뉴에는 MISP에 대한 관련 옵저버블이 표시됩니다.
    5. 옵션: MISP: 옵저버블 사이팅 보고 옵션을 선택한 경우 옵저버블 사이팅을 MISP에 보고 대화 상자의 필드를 채워야 합니다.
      표 3. 옵저버블 사이팅을 MISP 대화 상자에 보고
      필드 설명
      소스 사이팅의 소스에 MISP 해당하는 소스 필드입니다.
      날짜 옵저버블이 관찰된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워집니다 MISP.

      다음 예제에서는 보안 인시던트의 관찰 관련 목록으로 이동하는 방법을 보여줍니다. 이 목록에서 옵저버블을 선택하고 옵저버블 사이팅을 에 보고할 수 있습니다 MISP. 성공 메시지는 사이팅이 에 성공적으로 제출 MISP되었음을 보여줍니다.

      그림 2. 옵저버블 사이팅을 MISP에 보고
      옵저버블 사이팅을 MISP에 보고
      1. 사이팅 보고를 클릭합니다.
    6. 옵션: MISP: 옵저버블을 긍정 오류로 보고 옵션을 선택한 경우 옵저버블을 긍정 MISP 오류로 보고 대화 상자의 필드를 채워야 합니다.
      표 4. 옵저버블을 긍정 MISP 오류로 대화 상자에 보고
      필드 설명
      소스(선택 사항) 소스에 해당하는 소스 필드입니다 MISP . 이 필드를 사용하여 옵저버블을 긍정 오류로 선언합니다.
      날짜 옵저버블이 긍정 오류로 발견된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워집니다 MISP.
      1. Report False Positive(긍정 오류 보고)를 클릭합니다.
    7. 옵션: MISP: 옵저버블을 만료됨으로 보고 옵션을 선택한 경우 옵저버블 만료 보고 대화 상자의 필드를 채워야 합니다MISP.
      표 5. 옵저버블 만료를 MISP에 보고서 대화 상자
      필드 설명
      소스 소스에 해당하는 소스 필드입니다 MISP . 이 필드를 사용하여 옵저버블을 만료됨으로 설정합니다.
      날짜 옵저버블이 만료된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워집니다 MISP.
      1. 만료 보고를 클릭합니다.

    결과

    사이팅이 서버에 성공적으로 업데이트됩니다 MISP .