모든 피드

기본 시스템에는 활성화하고 사용할 수 있는 각 피드에 대한 일련의 카드가 포함되어 있습니다.

피드는 다음으로 이동하여 볼 수 있습니다. 작업 공간 > Threat Intelligence Security Center > 통합 > 위협 인텔 피드 > 모든 피드.

모든 피드 뷰에 대한 작업

모든 피드 섹션에서는 다음 작업을 수행할 수 있습니다.

표 1. 모든 통합 뷰에 대한 작업

작업	설명
모두	이 드롭다운 메뉴를 사용하여 현재 상태를 기준으로 피드를 필터링합니다. 다음 상태를 기준으로 필터링할 수 있습니다. 모두: 페이지의 모든 피드를 표시합니다. 이 옵션이 기본 옵션입니다. 사용: 사용 상태의 모든 피드를 표시합니다. 사용 안 함: 사용 안 함 상태의 모든 피드를 표시합니다. 초안: 초안 상태에 있는 모든 피드를 표시합니다.
	이 작업을 사용하여 카드 형태로 모든 피드를 봅니다.
	이 작업을 사용하여 목록 뷰 형식으로 모든 피드를 봅니다.
	이 작업을 사용하여 페이지를 새로 고칩니다.
	이 작업을 사용하여 다음을 기준으로 모든 통합을 정렬합니다. 마지막으로 수정한 날짜(최신순) 마지막으로 수정한 날짜(오래된 순) 이름(A-Z) 이름(Z~A)
모든 항목	이 작업을 사용하여 소스 유형 또는 피드 유형별로 위협 인텔리전스 피드 타일을 필터링하고 나열합니다. 소스 유형: 오픈 소스 기타 소스 프리미엄 소스 피드 유형: CSV 사용자 지정 피드 JSON MISP RSS STIX HTTPS 텍스트
카탈로그에서 검색	이 작업을 사용하여 카탈로그 내의 이름과 설명을 기반으로 피드를 검색합니다.

새 위협 인텔리전스 피드 데이터 소스 구성

새 위협 인텔리전스 피드 데이터 소스를 구성하려면 다음 절차를 따르십시오.

1. 다음으로 이동 작업 공간 > Threat Intelligence Security Center.
2. 통합 아이콘을 클릭합니다.
3. 선택 위협 인텔 피드 > 모든 피드.
4. Configure new source(새 소스 구성)를 클릭합니다. 다양한 피드 유형이 표시됩니다.

   

5. 해당 피드 유형을 선택합니다. 예를 들면 MISP.
6. 선택을 클릭합니다.
7. 양식의 필드에 내용을 입력합니다.

   표 2. 새 데이터 소스 작성

   필드	설명
   이름	피드의 이름을 입력합니다.
   설명	피드에 대한 설명입니다.
   피드 유형	피드 유형입니다. 예를 들면 MISP. 기본적으로 이 값은 카탈로그에서 선택한 피드 유형에 따라 표시됩니다.
   로고	소스 피드의 로고를 첨부합니다.
   산업	피드 데이터 원본을 적용할 수 있는 항공 우주, 농업 등의 산업 범주를 선택합니다.
   소스 유형	사용 가능한 소스 유형 목록에서 소스 유형을 선택합니다. 사용 가능한 소스 목록은 다음과 같습니다. 정부 ISAC 오픈 소스 프리미엄 소스 기타 소스

   구성 섹션의 필드에 적절히 입력합니다.

   표 3. 구성

   필드	설명
   만료 기간(일)	피드의 만료 기간을 일수로 입력합니다. 예를 들어 180일입니다. 주: 소스에서 수집된 데이터가 무엇이든 수집 후 180일이 지나면 만료됩니다.
   REST 메시지 사용	에서 Now Platform제공하는 REST 메시지/REST 메서드 기능을 사용해야 하는 경우 REST 메시지 사용 확인란을 선택합니다. 이 확인란을 선택하지 않으면 애플리케이션은 REST 엔드포인트 URL 에 제공된 엔드포인트를 사용하여 피드에서 데이터를 가져옵니다. 자세한 내용은 설명서에서 Now Platform아웃바운드 REST 웹 서비스를 참조하세요. 주: REST 메시지를 선택할 때 REST 메시지 및 REST 메서드 필드는 필수입니다.
   REST 메시지	인스턴스에 이미 구성되어 있는 REST 메시지 기록 목록에서 REST 메시지 기록을 선택합니다. 자세한 내용은 Now Platform 설명서에서 아웃바운드 REST 웹 서비스를 참조하십시오. 주: 특정 헤더를 보고 REST 메시지 옵션을 사용하여 REST 관련 기록을 정의해야 하는 경우 이 값을 선택합니다.
   REST 메서드	선택한 REST 메시지에 대해 구성된 사용 가능한 REST 메서드 목록에서 REST 메서드를 선택합니다. 자세한 내용은 Now Platform 설명서에서 아웃바운드 REST 웹 서비스를 참조하십시오.
   신뢰도	이 특정 피드를 통해 수집된 모든 해당 기록에 대한 신뢰도를 설정합니다. 주: 이 소스에 대한 신뢰도를 0-100 사이로 설정합니다.
   REST 엔드포인트 URL	데이터 소스에서 데이터를 호스팅하는 REST 엔드포인트 URL을 입력합니다.
   인증 필요	새 데이터 소스에 인증이 필요한 경우 이 확인란을 선택합니다. 주: REST 엔드포인트 URL을 사용하여 데이터를 검색하는 경우에만 적용할 수 있음을 언급하는 문장을 추가합니다.
   인증 유형	소스 피드의 인증 유형입니다. 다음은 사용자를 위해 기본 시스템 내에서 구성되고 프로비저닝된 인증 유형입니다. API ID / API 키 API ID / API 시크릿 API 키 API 키 / API 시크릿 API 사용자 이름 / API 비밀번호 / API 키 기본 인증 주: 사용자 지정 소스 피드 유형에 대한 기본 시스템의 인증 유형은 클라이언트 ID 및 클라이언트 비밀입니다.
   요청과 함께 전달할 헤더	요청과 함께 전달될 모든 헤더는 요청 헤더 매핑에서 제공될 수 있습니다. 헤더는 콜론(":")으로 구분된 키-값 쌍으로 제공되어야 합니다. 각 헤더 키 값 쌍은 새 줄에 제공되어야 합니다. 인증 매개변수를 헤더 값으로 제공하려면 필수 인증 레이블을 "${" 및 "}$"로 묶습니다. 예: x-api-key:${API Key}$.
   고급	사용자 지정 통합 스크립트 및 보고서 프로세서 스크립트를 정의하려면 이 확인란을 선택합니다. 주: 이 확인란을 선택하면 사용자 지정 스크립트를 선택할 수 있는 통합 스크립트 및 보고서 프로세서 필드가 나타납니다.
   통합 스크립트	통합 스크립트는 피드에 구성된 대로 인증 매개변수와 헤더를 사용하여 REST 엔드포인트 URL에 대한 호출을 호출한 다음 스크립트는 특정 피드에서 사용할 수 있는 데이터를 가져옵니다. 기본 시스템에는 통합 스크립트를 위해 애플리케이션 내에서 프로비저닝되는 사용자 지정 스크립트 포함이 있습니다. FeedDatasourceIntegrationBase MITRESourceIntegration RSSFeedDatasourceIntegration SimpleFeedDatasourceIntegration SimpleMISPFeedDatasourceIntegration 기본 통합 스크립트는 선택한 피드 유형을 기반으로 합니다. 예를 들어 데이터를 처리하고 가져오는 표준 형식인 MISP 피드 유형을 선택하면 통합 스크립트는 SimpleFeedDatasourceIntegration입니다. 주: 사용자 지정 통합 스크립트의 경우 FeedDatasourceIntegrationBase 를 확장하여 스크립트 포함을 생성하고 필요한 메서드를 재정의할 수 있습니다.
   보고서 프로세서	보고서 프로세서 스크립트는 통합 스크립트를 사용하여 피드에서 가져온 데이터를 처리합니다. 기본 시스템에는 통합 스크립트를 위해 애플리케이션 내에서 프로비저닝되는 사용자 지정 스크립트 포함이 있습니다. FeedDatasourceResponseProcessor MITRECollectionDataProcessor RSSFeedDatasourceResponseProcessor (영문) SimpleFeedDatasourceResponseProcessor SimpleMISPFeedDatasourceResponseProcessor TAXIIV2CollectionDataProcessor STIX HTTPS의 기본 보고서 프로세서는 TAXIIV2CollectionDataProcessor입니다. 기본적으로 이 옵션이 표시되며 다른 보고서 프로세서는 수정하거나 선택할 수 없습니다.

   스케줄링 섹션의 필드에 적절히 입력합니다.

   표 4. 예약

   필드	설명
   실행	기록을 수집할 빈도를 설정합니다. 예약된 작업 간격에 따라 피드가 실행되고 실행됩니다. 사용 가능한 작업 간격은 다음과 같습니다. 일별 주별 월별 주기적으로 한 번 요청 시 비즈니스 달력: 입력 시작 비즈니스 달력: 입력 종료 주: 기본적으로 빈도는 요청 시로 설정됩니다. 자세한 내용은 예약된 작업 및 선택한 스크립트를 자동으로 실행하는 방법을 참조하십시오.
   데이터를 가져오는 위치	데이터를 가져와야 하는 시작 날짜입니다. 이 필드는 해당 소스에서 데이터를 수집해야 하는 시점으로 설정해야 합니다. 이 필드가 설정되면 다음 수집 실행은 구성된 시간에서 데이터를 가져오고 연속 수집 실행은 증분 데이터를 가져옵니다. 예를 들어 소스는 매시간 데이터를 수집하도록 예약되어 있습니다. 사용자가 1월 12일 오전 9:30에 데이터 가져오기 를 1월 12일 오전 6:00로 설정하면 1월 12일 오전 10:00에 트리거되는 수집은 1월 12일 오전 6:00부터 1월 12일 오전 10:00까지 데이터를 가져옵니다. 오전 11:00에 트리거되는 다음 수집은 1월 12일 오전 10:00부터 1월 12일 오전 11:00까지의 증분 데이터만 가져옵니다. 주: 즉, 예약된 실행은 지정된 날짜부터 시작하여 증분 방식으로 데이터를 가져옵니다.

   표 5. 태그

   필드	설명
   태그 선택	태그를 사용하여 이 소스에서 시스템으로 수집된 기록에 주석을 달거나 귀에 표시합니다. 검색 창에 태그 이름을 입력하여 애플리케이션에서 사용 가능한 태그를 선택하거나 새 태그 이름을 입력하고 추가를 클릭하여 소스에 할당합니다.

8. 저장 작업을 클릭하여 피드를 저장하고 생성합니다.

   제공된 상세 정보가 확인되고 기본적으로 피드 상태는 비활성화됩니다.

9. (선택 사항) 피드 구성만 초안으로 저장하려면 초안으로 저장 작업을 클릭하십시오. 사용자는 피드가 초안으로 저장되면 피드를 활성화할 수 없습니다.

   구성 세부 정보를 잘 모르는 경우 초안으로 저장 옵션을 사용할 수 있습니다. 구성 상세 정보를 얻은 후 초안 버전에 나머지 정보를 입력하고 생성할 수 있습니다.

10. 피드를 활성화하려면 Enable( 활성화)을 클릭합니다.
    피드를 사용할 수 있습니다. 카탈로그 또는 위협 인텔 피드 페이지에서 필요한 피드 타일의 작업 메뉴를 사용하여 특정 피드를 활성화, 비활성화 또는 삭제할 수도 있습니다.

    주:

    데이터 소스 양식 페이지의 일정 섹션에서 실행 빈도가 요청 시로 설정된 경우 통합을 활성화할 때마다 사용자에게 소스를 성공적으로 활성화했음을 알리는 메시지 프롬프트가 표시됩니다. 소스 구성이 데이터를 자동으로 수집할 수 있도록 실행 빈도를 변경해야 합니다.
11. Enable(활성화)을 클릭하여 기록을 활성화합니다.
    피드 데이터 소스 기록이 활성화되면 기록을 실행하여 통합을 실행할 수 있습니다.

    주:

    데이터 소스 기록에 레이블이 지정되고 활성화됨으로 표시됩니다. 마찬가지로 Disable 버튼을 클릭하여 데이터 소스 피드를 비활성화할 수 있습니다.
12. 삭제를 클릭하여 피드 데이터 소스 기록을 삭제합니다.
13. 통합 실행 섹션을 선택하여 실행 상세 정보를 확인합니다.

위협 인텔 피드의 유형

절차의 다음 단계는 각 특정 피드 유형 구성에 대한 해당 섹션을 참조하십시오. Threat Intelligence 피드을 클릭합니다.