위협 인텔리전스 설정

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기26분

    • 인스턴스에서 실행 위협 인텔리전스 하기 전에 에서 다운로드 ServiceNow Store해야 합니다. 속성을 설정하고 위협 소스를 정의할 수도 있습니다.

    위협 인텔리전스 설치

    인스턴스에서 실행 위협 인텔리전스 하기 전에 에서 다운로드 ServiceNow Store해야 합니다.

    시작하기 전에

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성을 위해 필요합니다.
    작업 설정 설명

    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다.

    		 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 아직 할당되지 않은 경우 시스템 관리자 [admin]가 애플리케이션을 설치하고 위협 관리자 [sn_ti.admin] 역할을 할당합니다.
    • 위협 관리자[sn_ti.admin]는 구성을 감독하고 예상 결과를 확인합니다.
    필요한 역할: admin

    프로시저

    에 대한 지침을 따릅니다. 에서 애플리케이션 다운로드 ServiceNow Store레이블이 표시됩니다.

    다음에 수행할 작업

    속성 설정 위협 인텔리전스.

    위협 인텔리전스 앱과 함께 설치되는 구성요소

    위협 인텔리전스 플러그인을 활성화하면 테이블 및 사용자 역할을 포함한 여러 유형의 구성요소가 설치됩니다.

    주:
    애플리케이션 파일 테이블에는 이 애플리케이션과 함께 설치되는 구성요소가 나열됩니다. 이 테이블에 액세스하는 방법에 대한 지침은 애플리케이션과 함께 설치되는 구성요소 찾기를 참조하십시오.

    이 기능에 대한 데모 데이터를 사용할 수 있습니다.

    설치되는 역할

    역할 이름 [name] 설명 포함하는 역할
    위협 관리자

    [sn_ti.admin]

    		 모든 위협 속성, SLA 및 알림을 완전히 제어합니다. sn_ti.쓰기
    위협 판독기

    [sn_ti.읽기]

    		 위협 정보에 대한 읽기 권한을 갖습니다. sn.sec_cmn.int_read
    위협 작성자

    [sn_ti.쓰기]

    		 위협 정보에 대한 쓰기 권한이 있습니다.

    공격 모드, 표시기 또는 옵저버블을 삭제할 수 없습니다. 위협 관리자만 삭제할 수 있습니다.
    • sn_sec_cmn.int_write
    • sn_ti.read

    MITRE 분석가

    [sn_ti.mitre_analyst]입니다.

    이 역할을 사용하면 모듈 내 위협 인텔리전스 및 모듈에 대한 모듈에 대한 읽기 액세스 MITRE-ATT&CKSIR 가능합니다.
    • sn_ti.read
    • sn_si.read

    설치되는 테이블

    테이블 설명
    공격 메커니즘

    [sn_ti_attack_mechanism]

    		 취약성을 악용할 때 자주 사용되는 메커니즘을 기반으로 공격 패턴을 계층적으로 구성합니다. 이 보기의 구성원인 범주는 시스템을 공격하는 데 사용되는 다양한 기술을 나타냅니다.
    공격 모드/방식

    [sn_ti_attack_mode]

    		 공격 모드와 방법은 사이버 공격자의 행동을 나타냅니다. 그들은 악의적 사용자가 하는 일과 그 방법을 점점 더 자세하게 특성화합니다.
    검색 방법

    [sn_ti_discovery_method]

    		 인시던트가 검색된 방법에 대한 표현입니다.
    피드

    [sn_ti_feed]

    		 위협 개요에서 RSS(위협 피드)를 구성하는 데 사용됩니다.
    표시기 공격 모드/방법

    [sn_ti_m2m_indicator_attack_mode]

    		 공격 모드/방법을 표시기에 매핑하는 데 사용됩니다.
    영향 표시기

    [sn_ti_indicator]

    		 사이버 보안 컨텍스트 내에서 관심 있는 아티팩트 및/또는 동작을 나타내기 위한 컨텍스트 정보와 결합된 특정 관찰 가능한 패턴을 전달하는 데 사용됩니다.
    손상 메타데이터 표시기

    [sn_ti_indicator_metadata]

    		 TAXII 기록을 채우는 데 사용됩니다.
    표시기 소스

    [sn_ti_m2m_indicator_source]

    		 특정 표시기를 보고하는 모든 소스를 수집하는 데 사용됩니다.
    표시기 유형

    [sn_ti_indicator_type]

    		 관찰 가능한 특정 조건을 식별하는 패턴과 패턴의 의미, 조치 방법 및 시기 등에 대한 컨텍스트 정보로 구성된 사이버 위협 표시기를 특성화합니다.
    연동된 표시기 유형

    [sn_ti_m2m_indicator_indicator_type]

    		 표시기를 적용 가능한 유형과 링크
    인시던트 수

    [sn_ti_observable]

    		 옵저버블과 관련된 보안 인시던트 수입니다.
    의도된 효과

    [sn_ti_intended_effect]

    		 위협 행위자의 의도된 효과를 표현하는 데 사용됩니다.
    IP 스캔 결과

    [sn_ti_ip_result]

    		 IP 조회 결과를 표시하는 데 사용됩니다.
    맬웨어 속도 제한

    [sn_ti_rate_limit]

    		 조회 소스에 사용할 요율 제한을 정의합니다.
    맬웨어 스캔

    [sn_ti_scan]

    		 조회입니다. 조회할 항목, 조회 소스 및 조회 결과 요약이 포함되어 있습니다.
    맬웨어 스캔 큐 항목

    [sn_ti_scan_q_entry]

    		 조회 또는 처리를 위해 대기 중인 조회 기록입니다. 지정된 속도 제한 내에서 요청을 용이하게 합니다.
    맬웨어 검사 결과

    [sn_ti_scan_result]

    		 조회 결과를 표시합니다.
    맬웨어 스캐너

    [sn_ti_scanner]

    		 조회 수행에 사용할 외부 공급업체 조회 소스를 정의합니다.
    맬웨어 스캐너 속도 제한

    [sn_ti_scanner_rate_limit]

    		 조회 소스를 요율 제한과 연결합니다.
    맬웨어 유형

    [sn_ti_malware_type]

    		 맬웨어 인스턴스의 유형을 표현하는 데 사용됩니다.
    옵저버블

    [sn_ti_observable]

    		 STIX의 옵저버블은 컴퓨터 및 네트워크의 작동과 관련된 상태 저장 속성 또는 측정 가능한 이벤트를 나타냅니다.
    옵저버블 컨텍스트 유형

    [sn_ti_observable_context_type]

    		 옵저버블의 컨텍스트(소스, IP 주소 대상 등)를 저장합니다.
    옵저버블 표시기

    [sn_ti_m2m_observable_indicator]

    		 옵저버블을 표시기와 연결하는 데 사용됩니다.
    옵저버블 소스

    [sn_ti_observable_source]

    		 옵저버블을 위협 소스와 연결하는 데 사용됩니다.
    관찰 대상 유형

    [sn_ti_observable_type]

    		 IP 주소와 같은 다양한 유형의 옵저버블을 나열합니다.
    옵저버블 유형 범주

    [sn_ti_observable_type_category]

    		 옵저버블의 첫 번째 범주(예: IP 주소 및 URL)를 저장합니다. 옵저버블 유형을 보다 정확하게 결정하는 데 사용됩니다.
    관련 공격 모드/방법

    [sn_ti_m2m_attack_mode_attack_mode]

    		 공격 모드를 서로 연관시키는 데 사용됩니다.
    관련 옵저버블

    [sn_ti_m2m_observables]

    		 옵저버블을 서로 연결하는 데 사용됩니다.
    스캔 유형

    [sn_ti_scan_type]

    		 파일, URL 및 IP에 대한 초기 기록이 있는 조회 유형의 정의입니다.
    보안 케이스

    [sn_ti_case]

    		 케이스 관리를 사용하여 만든 보안 케이스 기록을 저장합니다.
    보안 케이스 IoC

    [sn_ti_case_ioc]

    		 옵저버블과 케이스 간의 관계를 관리하는 데 사용됩니다.
    보안 케이스 관련 작업

    [sn_ti_m2m_case_task]

    		 보안 케이스와 작업(보안 인시던트, 변경 요청 등) 간의 관계를 관리하는 데 사용됩니다.
    보안 케이스 관계 제외

    [sn_ti_case_relationship_exclusion]

    		 보안 케이스에서 관련 기록의 포함 및 제외에 대한 정의를 제공합니다.
    사이팅

    [sn_ti_sighting]

    		 관찰 대상과 관찰 검색 요청 실행에 사용되는 관찰 검색 상세 정보 결과 사이의 m2m 링크입니다.
    사이팅 구성 항목

    [sn_ti_m2m_sighting_ci]

    		 구성 항목을 관찰 검색에 매핑합니다.
    사이팅 검색 상세 정보

    [sn_ti_sighting_search_detail]

    		 사이팅 검색의 상세 정보(예: 검색된 내부 외부 항목 수)입니다.
    사이팅 검색 결과

    [sn_ti_sighting_search]

    		 목격 검색 실행을 위한 헤더.
    지원되는 옵저버블 유형

    [sn_ti_m2m_ind_type_obs_type]

    		 표시기 유형을 유효한 옵저버블 유형에 연결합니다.
    지원되는 스캔 유형

    [sn_ti_supported_scan_type]

    		 조회 유형을 조회 소스/벤더별 구현에 매핑합니다. 특정 조회 소스가 형식을 지원함을 나타냅니다.
    작업 공격 모드/방식

    [sn_ti_m2m_task_attack_mode]

    		 공격 모드를 작업과 연결합니다.
    작업 표시기

    [sn_ti_m2m_task_indicator]

    		 표시기를 작업에 연결합니다.
    작업 옵저버블

    [sn_ti_m2m_task_observable]

    		 옵저버블을 작업과 연결합니다.
    작업 사이팅

    [sn_ti_m2m_task_sighting]

    		 관찰 기록과 관련된 작업 기록(보안 인시던트 및 케이스)을 저장합니다.
    TAXII 수집

    [sn_ti_taxii_collection]

    		 TAXII 서버에서 임포트할 수 있는 사이버 위험 인텔리전스 피드를 정의합니다.
    TAXII 프로파일

    [sn_ti_taxii_profile]

    		 사이버 위험 인텔리전스를 공유하기 위한 리포지토리를 정의합니다. TAXII 컬렉션이 포함되어 있습니다.
    위협 액터 유형

    [sn_ti_threat_actor_type]

    		 추정 의도 및 과거에 관찰된 동작을 포함하여 사이버 공격 위협을 나타내는 악의적인 행위자(또는 반대자)의 특성을 제공합니다.
    Threat Intelligence 소스

    [sn_ti_source]

    		 위협 데이터를 임포트하기 위한 소스를 정의합니다.
    연관된 공격 동기

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 STIX 개체와 관련된 모든 공격 동기를 수집합니다.
    연관된 인프라 유형

    [sn_ti_stix2_m2m_infra_type]

    		 인프라를 해당 유형과 연결합니다.
    연결된 킬 체인 단계

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 킬 체인 단계를 표시기에 연결합니다.
    연결된 킬 체인 단계

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 킬 체인 단계를 STIX 개체에 연결합니다.
    연관된 맬웨어 역량

    [sn_ti_stix2_m2m_malware_capability]

    		 맬웨어를 해당 기능과 연결합니다.
    연결된 맬웨어 유형

    [sn_ti_stix2_m2m_malware_malware_type]

    		 맬웨어를 해당 유형과 연결합니다.
    연결된 옵저버블

    [sn_ti_stix2_m2m_malware_observable]

    		 맬웨어와 연관된 모든 옵저버블을 수집합니다.
    연결된 옵저버블

    [sn_ti_stix2_m2m_observed_data_observable]

    		 관찰 데이터와 연결된 모든 옵저버블을 수집합니다.
    관련 보고서 유형

    [sn_ti_stix2_m2m_report_report_type]

    		 위협 보고서를 해당 유형과 연결합니다.
    연결된 위협 액터 역할

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 위협 액터를 해당 역할과 연결합니다.
    연결된 위협 액터 유형

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 위협 액터를 해당 유형과 연결합니다.
    연결된 도구 유형

    [sn_ti_stix2_m2m_tool_tool_type]

    		 도구를 해당 유형과 연결합니다.
    공격 동기

    [sn_ti_stix2_attack_motivation]

    		 공격 동기는 공격의 강도와 지속성을 형성합니다. 위협 액터 및 침입 세트는 일반적으로 근본적인 감정이나 상황을 반영하는 방식으로 행동하며, 이는 방어자에게 공격 방식을 알려줍니다.
    공격 패턴

    [sn_ti_stix2_attack_pattern]

    		 악의적 사용자가 대상을 손상시키려고 시도하는 데 사용하는 방법을 설명하는 TTP 유형입니다.
    캠페인

    [sn_ti_stix2_campaign]

    		 특정 대상 집합에 대해 일정 기간 동안 발생하는 악의적인 활동 또는 공격 집합(웨이브라고도 함)을 설명하는 적대적 동작 그룹입니다.
    동작 방침

    [sn_ti_stix2_course_of_action]

    		 인텔리전스 생산자가 소비자에게 인텔리전스에 대응하여 취할 수 있는 조치에 대한 권장 사항입니다.
    외부 참조

    [sn_ti_stix2_external_reference]

    		 STIX 외부에 표시된 정보에 대한 포인터입니다.
    ID 사이팅

    [sn_ti_stix2_m2m_sighting_identity]

    		 사이팅과 관련된 모든 ID를 수집합니다.
    ID

    [sn_ti_stix2_identity]

    		 실제 개인, 조직 또는 그룹(예: ACME, Inc.) 및 개인, 조직, 시스템 또는 그룹의 클래스(예: 재무 섹터)입니다.
    표시기 외부 참조

    [sn_ti_stix2_indicator_external_reference]

    		 표시기와 연관된 외부 참조를 나타냅니다.
    표시기 사이팅

    [sn_ti_stix2_indicator_sighting]

    		 표시기의 목격을 나타냅니다.
    인프라 유형

    [sn_ti_stix2_infrastructure_type]

    		 다양한 인프라 유형을 나타냅니다.
    인프라

    [sn_ti_stix2_infrastructure]

    		 특정 목적을 지원하기 위한 시스템, 소프트웨어 서비스 및 관련 물리적 또는 가상 리소스를 설명하는 TTP 유형(예: 공격의 일부로 사용되는 C2 서버, 방어의 일부인 장치 또는 서버, 공격의 대상이 되는 데이터베이스 서버 등).
    설치된 소프트웨어

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 맬웨어 분석과 관련된 모든 소프트웨어(SCO 소프트웨어 유형)를 수집합니다.
    침입 세트

    [sn_ti_stix2_intrusion_set]

    		 단일 조직에서 오케스트레이션하는 것으로 여겨지는 공통 속성을 가진 적대적 동작 및 리소스의 그룹화된 집합입니다.
    킬 체인 단계

    [sn_ti_stix2_kill_chain_phase]

    		 킬 체인과 연결된 킬 체인 단계를 나타냅니다.
    킬 체인

    [sn_ti_stix2_kill_chain]

    		 다양한 킬 체인을 나타냅니다.
    위치

    [sn_ti_stix2_location]

    		 STIX를 통해 제공되는 지리적 위치를 나타냅니다.
    맬웨어 분석

    [sn_ti_stix2_malware_analysis]

    		 맬웨어 인스턴스 또는 제품군에서 수행된 특정 정적 또는 동적 분석의 메타데이터 및 결과입니다.
    맬웨어 역량

    [sn_ti_stix2_malware_capability]

    		 맬웨어 제품군 또는 인스턴스가 나타내는 공통 기능을 나타냅니다.
    맬웨어 운영 체제

    [sn_ti_stix2_m2m_malware_operating_system]

    		 맬웨어와 관련된 모든 운영 체제(SCO 소프트웨어 유형)를 수집합니다.
    맬웨어

    [sn_ti_stix2_malware]

    		 악성 코드를 나타내는 TTP 유형입니다.
    표시 정의

    [sn_ti_stix2_marking_definition]

    		 STIX 객체에 대한 처리 또는 공유 요구 사항을 나타냅니다.
    객체 사이팅

    [sn_ti_stix2_object_sighting]

    		 STIX 개체의 목격을 나타냅니다.
    객체-표시기 관계

    [sn_ti_stix2_m2m_object_indicator]

    		 STIX 객체와 STIX 표시기 간의 모든 관계를 수집합니다.
    객체-객체 관계

    [sn_ti_stix2_m2m_object]

    		 STIX 객체와 지표를 제외한 다른 STIX 객체 간의 모든 관계를 수집합니다.
    객체-옵저버블 관계

    [sn_ti_stix2_m2m_object_observable]

    		 STIX 옵저버블과 STIX 객체 간의 모든 관계를 수집합니다.
    관찰 데이터 사이팅

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 사이팅과 관련된 모든 관찰 데이터 객체를 수집합니다.
    관찰 데이터

    [sn_ti_stix2_observed_data]

    		 STIX SCO(Cyber-Observable Objects)를 사용하여 파일, 시스템 및 네트워크와 같은 사이버 보안 관련 엔터티에 대한 정보를 전달합니다.
    보고서 유형

    [sn_ti_stix2_report_type]

    		 위협 보고서의 기본 목적 또는 제목을 나타냅니다.
    보고된 옵저버블

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 맬웨어 분석과 관련된 모든 옵저버블을 수집합니다.
    STIX V2 개체

    [sn_ti_stix2_object]

    		 STIX 객체의 공통 상위 테이블입니다.
    STIX V2 사이팅

    [sn_ti_stix2_sighting]

    		 STIX 사이팅 테이블의 공통 상위 테이블입니다.
    위협 액터 역할

    [sn_ti_stix2_threat_actor_role]

    		 위협 행위자가 수행할 수 있는 역할을 나타냅니다.
    위협 액터

    [sn_ti_stix2_threat_actor]

    		 위협 행위자는 악의적인 의도로 운영되는 것으로 여겨지는 실제 개인, 그룹 또는 조직입니다.
    위협 그룹화

    [sn_ti_stix2_threat_grouping]

    		 몇 가지 공통 컨텍스트를 공유하는 모든 STIX 개체를 그룹화합니다.
    위협 메모

    [sn_ti_stix2_threat_note]

    		 해당 STIX 객체에 포함되지 않은 컨텍스트 및 추가 분석을 제공합니다.
    위협 의견

    [sn_ti_stix2_threat_opinion]

    		 다른 엔터티에서 생성된 STIX 개체의 정보 정확도 평가를 제공합니다.
    위협 보고서

    [sn_ti_stix2_threat_report]

    		 보고서는 컨텍스트 및 관련 세부 정보를 포함하여 위협 행위자, 맬웨어 또는 공격 기술에 대한 설명과 같은 하나 이상의 주제에 초점을 맞춘 위협 인텔리전스 모음입니다. 관련 위협 인텔리전스를 그룹화하여 포괄적인 사이버 위협 스토리로 게시하는 데 사용됩니다.
    도구 유형

    [sn_ti_stix2_tool_type]

    		 공격을 수행하는 데 사용할 수 있는 도구 범주입니다.
    도구

    [sn_ti_stix2_tool]

    		 도구는 위협 행위자가 공격을 수행하는 데 사용하는 합법적인 소프트웨어입니다.
    취약성

    [sn_ti_stix2_vulnerability]

    		 소프트웨어 및 일부 하드웨어 구성요소(예제 펌웨어)에서 발견되는 계산 논리(예제 코드)의 요구 사항, 설계 또는 구현에서 약점 또는 결함을 나타냅니다. 이러한 취약점을 직접 악용하여 해당 시스템의 기밀성, 무결성 또는 가용성에 부정적인 영향을 미칠 수 있습니다.

    속성 설정 위협 인텔리전스

    위협 인텔리전스 속성을 사용하면 API 키 설정을 포함하여 시스템 기능의 다양한 측면을 제어할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 관리 > 속성레이블이 표시됩니다.
    2. 필요에 따라 다음 속성을 설정합니다.
      표 1. Threat Intelligence 속성
      속성 설명
      IP 주소/URL에 대한 추가 정보를 검색할 도메인 이름

      sn_ti.ip_lookup.web_site

      IoC 데이터베이스로 추가 정보를 검색하는 데 사용할 도메인 이름입니다. 이 속성은 ThreatAdditionalInfo 스크립트 포함에서 옵저버블 양식에 대한 추가 정보를 채우는 데 사용됩니다.

      기본값: http://api.ipinfodb.com/v3/ip-country/

      주:
      pinfodb.com 타사 API는 추가 비용 없이 사용할 수 있으며 많은 상용 소프트웨어 프로그램에서 사용됩니다. 다른 도메인 이름으로 바꾸는 경우 다음 필드에 API 키도 제공해야 합니다.
      도메인에 사용할 API 키(있는 경우)

      sn_ti.ip_lookup.api_key

      IoC 데이터베이스로 추가 정보를 검색하는 데 사용할 API 키입니다. 이 속성은 ThreatAdditionalInfo 스크립트 포함에서 sn_ti.ip_lookup.web_site 속성과 함께) 옵저버블 양식에 대한 추가 정보를 채우는 데 사용됩니다.
      옵저버블이 IoC와 연결되어 있거나 악성으로 판명된 경우 옵저버블에서 자동화된 위협 조회를 실행하지 마십시오.

      sn_ti.scan_ioc_before_sending

      주:
      다음 속성(sn_ti.scan_ioc_num_days)에서 기간을 정의해야 합니다.

      옵저버블이 구성된 기간(일) 동안 옵저버블이 악성이거나 IoC와 연결된 것으로 확인될 때 옵저버블에서 자동화된 위협 조회 실행을 중지하는 옵션입니다. 옵저버블에 대한 위협 조회를 계속 실행해야 하는 경우 수동으로 실행할 수 있습니다.

      기본값: 예
      기간(일)

      sn_ti.스캔_ioc_num_days

      옵저버블의 자동화된 위협 조회를 건너뛸 때까지의 기간을 정의하는 옵션입니다.

      기본값(일): 30
      옵저버블이 이미 실행된 경우 자동화된 위협 조회를 실행하지 마십시오.

      sn_ti.enable_threat_lookup_bypass

      주:
      다음 속성(sn_ti.threat_lookup_bypass_times)에서 기간을 정의해야 합니다.

      이미 사용 가능한 옵저버블에 대한 위협 조회 결과가 있는 경우 구성된 기간이 경과할 때까지 동일한 옵저버블에 대한 자동화된 위협 조회 재실행을 건너뛸 수 있는 옵션이 있습니다.

      기본값: 아니요
      주:
      이 속성을 활성화하는 경우 적절한 값을 추가하고 있는지 확인하십시오.
      기간(분)

      sn_ti.위협_조회_바이패스_시간

      옵저버블의 자동화된 위협 조회를 다시 실행할 수 있는 기간을 정의하는 옵션입니다.

      기본값(분): 0
      옵저버블 찾기에 대한 사용자 재정의의 유효 기간을 설정합니다.

      sn_ti.enable_observable_finding_system_override

      주:
      다음 속성(sn_ti.observable_finding_override_expiry)에서 유효성을 정의해야 합니다.
      		 옵저버블 찾기에 대한 사용자 재정의의 유효 기간을 설정하는 옵션입니다. 옵저버블의 위협 조회 결과는 이 유효 기간 동안 기본 시스템에 의해 변경되지 않습니다.
      기본값: 아니요.
      주:
      이 속성을 활성화하는 경우 적절한 값을 추가하고 있는지 확인하십시오.
      유효 기간(분)

      sn_ti.observable_finding_override_expiry입니다.

      		 옵저버블 찾기의 유효 기간을 정의하는 옵션입니다.

      기본값(분): 없음
      지정된 기간(일) 동안 소스로부터 공격 모드/방법을 수신하지 못한 경우 비활성으로 표시합니다.

      sn_ti.attack_mode_inactivate_days

      공격 모드/방법을 마지막으로 수신한 시점부터 기록이 비활성으로 표시되기까지의 일 수입니다.

      기본값: 360

      주:
      활성 확인란은 기본적으로 공격 모드/방법 양식에 표시되지 않습니다. 그러나 추가할 수 있습니다. 공격 모드/방법이 비활성화되면 다른 양식에서 선택할 수 없습니다.
      표시기가 지정된 일수 동안 소스로부터 수신되지 않은 경우 비활성으로 표시하십시오.

      sn_ti.indicator_inactivate_days

      표시기를 마지막으로 수신한 시점부터 기록이 비활성으로 표시되기까지의 일 수입니다.

      기본값: 180

      주:
      활성 확인란은 기본적으로 표시기 양식에 표시되지 않습니다. 그러나 추가할 수 있습니다. 표시기가 비활성 상태이면 다른 양식에서 선택할 수 없습니다.
      구문 분석할 수 있는 STIX 첨부 파일의 최대 페이로드 크기(MB)입니다.

      sn_ti.stix.max_페이로드_크기

      구문 분석할 수 있는 STIX 첨부 파일의 최대 페이로드 크기를 지정합니다.

      기본값: 없음

      허용되는 최대값: 제한 없음.
      TAXII 수집 데이터를 가져오기 위해 대기 하는 아웃 바운드 HTTP 연결의 최대 시간 (초)

      sn_ti.taxii.http.max_timeout

      아웃바운드 HTTP 연결이 TAXII 수집 데이터의 다음 패킷을 가져오기 전에 대기하는 최대 시간을 지정합니다.

      기본값: 300
      TAXII 서버에서 하나의 REST 호출로 검색된 최대 객체 수(TAXII 버전 2.0 및 2.1에만 적용)

      sn_ti.taxii.max_page_size[페이지_크기]

      한 페이지에 대해 TAXII 서버에서 하나의 REST 호출로 검색되는 최대 객체 수를 지정합니다.

      기본값: 5000

      허용되는 최대값: 50000
      실패한 TAXII 2.X REST 호출에 대한 최대 재시도 횟수

      sn_ti.taxii2.retry_count

      실패한 TAXII REST 호출에 대한 최대 재시도 횟수를 지정합니다.

      기본값: 3
    3. 저장을 클릭합니다.

    위협 소스 정의

    위협 원본 목록을 위협 인텔리전스 유지 관리할 수 있습니다. 각 소스에는 소스가 쿼리되는 빈도를 정의하는 기능이 포함되어 있습니다. 또한 요청 시 위협 소스를 실행하여 필요한 STIX(Structured Threat Information eXpression) 데이터를 가져올 수 있습니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    이 태스크 정보

    위협 인텔리전스 는 위협 관련 정보를 가져오기 위해 STIX 및 TAXII(Trusted Automated Exchange of Indicator Information)라는 두 가지 기술을 사용합니다.

    STIX는 침해 지표(IoC) 활동(예: IP 주소 및 파일 해시)과 공격 모드/방법과 같은 위협에 대한 컨텍스트 정보를 포함하는 광범위한 사이버 위협 정보 세트를 나타내기 위한 표준화되고 구조화된 언어를 제공하여 사이버 공격자의 동기, 기능 및 활동을 보다 완벽하게 특성화합니다. 따라서 STIX 데이터는 조직이 사이버 위협으로부터 가장 잘 방어할 수 있는 방법에 대한 귀중한 정보를 제공합니다.

    TAXII(Trusted Automated Exchange of Indicator Information)는 사이버 위협 정보의 자동 교환을 용이하게 하는 데 사용됩니다. TAXII는 사이버 위협의 탐지, 예방 및 완화를 위해 조직 및 제품/서비스 경계 전반에 걸쳐 실행 가능한 사이버 위협 정보를 공유할 수 있는 일련의 서비스 및 메시지 교환을 정의합니다. TAXII 프로필은 STIX 형식의 정보를 공유하기 위한 리포지토리로 설정할 수 있습니다. 각 프로필에는 하나 이상의 TAXII 컬렉션 또는 피드가 포함되어 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 소스 > 위협 소스레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 적절히 입력합니다.
      필드 설명
      이름 위협 소스의 이름입니다.
      애플리케이션 이 기록을 포함하는 애플리케이션입니다.
      활성 위협 소스를 활성화하려면 이 확인란을 선택합니다.
      고급 통합 팩토리 스크립트보고서 프로세서 필드에 스크립트를 표시하려면 이 선택란을 선택하십시오.
      설명 이 위협 소스에 대한 설명입니다.
    4. 일정 섹션의 필드에 적절한 정보를 입력합니다.
      필드 설명
      실행 통합을 실행할 빈도(매일, 매주, 주기적 등)입니다. 앞에서 설명한 대로 후속 필드는 이 필드의 설정에 따라 표시됩니다.
      통합을 실행할 날짜입니다.
      • 실행 필드에서 매주를 선택한 경우 이 필드에는 요일이 표시됩니다.
      • 실행 필드에서 월별을 선택한 경우 이 필드에는 해당 월의 날짜가 표시됩니다.
      시간 통합을 시작하려는 시간입니다.
      반복 간격 실행 필드에서 주기적으로 선택한 경우 이 필드에는 통합이 다시 실행되기까지의 일 수와 시간이 표시됩니다.
      시작 실행 필드에서 주기를 선택한 경우 이 필드에는 정기 업데이트의 시작점으로 사용할 날짜와 시간이 표시됩니다.
      조건부 조건부 매개변수를 추가하려면 이 필드를 선택합니다.
      조건 조건부 확인란을 선택한 경우 여기에 조건을 입력합니다.
    5. 위협 세부 정보 섹션의 필드를 적절하게 입력합니다.
      필드 설명
      표시기 데이터가 명시적으로 제공하지 않는 경우 사용할 표시기입니다. 차단 목록의 경우 비어 있으면 각 옵저버블에 대해 새 표시기가 생성됩니다.
      표시기 유형 생성된 표시기에 사용할 표시기 유형이며 데이터에서 표시기 유형을 명시적으로 제공하지 않습니다.
      공격 모드/방식 데이터가 명시적으로 제공하지 않을 때 사용할 공격 모드/방법입니다.
      관찰 대상 유형 생성된 옵저버블에 사용할 옵저버블 유형이며 데이터는 옵저버블 유형을 명시적으로 제공하지 않습니다.[SI1]
      가중치 신뢰도 계산에 사용할 이 소스의 가중치 값을 입력합니다.
      주:
      표시기,표시기 유형, 공격 모드/방법관찰 가능 개체 유형 필드의 사용법은 구현에 따라 다릅니다. 기본 프로세서인 SimpleBlocklistProcessor는 도구 설명에 설명된 대로 동작합니다. 그러나 TAXII 위협 소스는 완전히 데이터 기반입니다. 모든 사용자 지정 위협 소스 프로세서는 자체 전략을 사용할 수 있습니다. 이러한 필드는 기본적으로 통합/프로세서에 노출할 항목이며 구현 과정에서 사용 방법이 결정됩니다.
    6. 소스 상세 정보 섹션의 필드에 적절한 정보를 입력합니다.
      필드 설명
      엔드포인트 에서 위협 소스에 액세스하는 위협 인텔리전스웹 서비스 엔드포인트 URL을 입력합니다. 잠금 아이콘을 클릭하여 URL을 잠급니다.
      REST 메시지 사용 위협 소스에 액세스하기 위해 REST 메시지가 필요한 경우 이 확인란을 선택합니다. REST 메시지REST 메서드 필드는 필수가 됩니다.
      REST 메시지 검색 아이콘을 클릭하고 목록에서 REST 메시지를 선택하거나 새로 만들기 를 클릭하여 새 REST 메시지를 정의합니다.
      REST 메서드 조회 아이콘을 클릭하고 목록에서 REST 메서드를 선택하거나 새로 만들기 를 클릭하여 새 REST 메서드를 정의합니다.
      통합 스크립트 기본 통합 스크립트는 SimpleRESTSecurityDataIntegration입니다. 간단한 REST 호출을 실행하고, 응답을 첨부 파일로 저장한 다음, 첨부 파일을 프로세서에 반환합니다. 이 스크립트는 대부분의 조직의 요구 사항을 충족합니다. 그러나 원하는 경우 조회 아이콘을 클릭하고 다른 통합 스크립트를 선택하거나 새 통합 스크립트를 정의할 수 있습니다.
      통합 공장 스크립트 고급 확인란을 선택하면 이 필드에 통합 스크립트를 구성하기 위한 실제 스크립트가 표시됩니다. 필요에 따라 스크립트를 편집할 수 있습니다. 이 기능은 사용자 지정 구현에 유용합니다. 기본 시스템의 통합에는 일반적으로 사용자 지정 생성자 논리가 필요하지 않습니다.
      보고서 프로세서 기본 통합 스크립트는 SimpleBlocklistProcessor입니다. 이 스크립트는 간단한 차단 목록(단순, URL 또는 IP 주소와 같은 옵저버블이 있는 단일 열 문서를 의미)을 수락하고 옵저버블을 생성하는 간단한 프로세서입니다. 다양한 위협 상세 정보 필드를 사용하여 옵저버블이 생성될 때 설정할 필드를 결정합니다.
      프로세서 공장 스크립트 고급 확인란을 선택하면 이 필드에 프로세서를 구성하기 위한 실제 스크립트가 표시됩니다. 필요에 따라 스크립트를 편집할 수 있습니다. 이 스크립트는 일반적으로 사용자 지정 구현에 유용합니다. 기본 시스템의 통합에는 일반적으로 사용자 지정 생성자 논리가 필요하지 않습니다.
    7. 제출을 클릭합니다.
      주:
      위협 원본의 페이지 매김을 구성하는 방법에 대한 자세한 내용은 KB1213825 문서를 참조하세요.

    TAXII 프로파일 생성

    STIX 형식의 정보를 공유하기 위해 TAXII 프로필을 유지 관리할 수 있습니다. 각 프로필에는 하나 이상의 TAXII 컬렉션 또는 피드가 포함되어 있습니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 소스 > TAXII 프로파일레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 다음 필드를 적절하게 작성합니다.
      필드설명
      이름 TAXII 프로파일의 이름
      애플리케이션 이 기록을 포함하는 애플리케이션입니다.
      REST 메시지를 템플릿으로 사용 TAXII 프로파일에 액세스하기 위해 REST 메시지가 필요한 경우 이 확인란을 선택합니다.
      TAXII 버전 TAXII 버전을 지정합니다. 지원되는 STIX 버전은 1.1, 2.0 및 2.1입니다.
      설명 이 TAXII 프로파일에 대한 설명입니다.
    4. Discovery 서비스 구성 섹션의 필드에 적절한 정보를 입력합니다.
      필드설명
      검색 서비스 엔드포인트 검색 엔드포인트는 클라이언트가 TAXII 서버에 대한 정보를 가져오고 API 루트 목록을 가져올 수 있는 권한을 부여합니다.
      REST 메시지 사용 TAXII 프로파일에 액세스하기 위해 REST 메시지가 필요한 경우 이 옵션을 선택합니다. 검색 서비스 REST 메시지검색 서비스 REST 메서드 필드가 필수가 됩니다.
      검색 서비스 REST 메시지 검색 아이콘을 클릭하고 목록에서 REST 메시지를 선택하거나 새로 만들기 를 클릭하여 새 REST 메시지를 정의합니다.
      검색 서비스 REST 메서드 검색 아이콘을 클릭하고 목록에서 REST 메시지를 선택하거나 새로 만들기 를 클릭하여 새 REST 메서드를 정의합니다.
    5. 컬렉션 서비스 구성 섹션의 필드에 적절한 정보를 입력합니다.
      필드설명
      컬렉션 정보 서비스 엔드포인트 TAXII 컬렉션은 TAXII 서버에서 제공하는 CTI 객체의 논리적 저장소에 대한 인터페이스이며 TAXII 클라이언트가 TAXII 서버로 정보를 보내거나 TAXII 서버에서 정보를 요청하는 데 사용됩니다.

      TAXII 서버는 API 루트당 여러 컬렉션을 호스팅할 수 있으며, 컬렉션은 요청-응답 방식으로 정보를 교환하는 데 사용됩니다.
      REST 메시지 사용 TAXII 프로파일에 액세스하기 위해 REST 메시지가 필요한 경우 이 옵션을 선택합니다. 컬렉션 정보 서비스 REST 메시지컬렉션 정보 서비스 REST 메서드 필드가 필수가 됩니다.
      컬렉션 정보 서비스 REST 메시지 검색 아이콘을 클릭하고 목록에서 REST 메시지를 선택하거나 새로 만들기 를 클릭하여 새 REST 메시지를 정의합니다.
      컬렉션 정보 서비스 REST 메서드 검색 아이콘을 클릭하고 목록에서 REST 메시지를 선택하거나 새로 만들기 를 클릭하여 새 REST 메서드를 정의합니다.
    6. 제출을 클릭합니다.