위협 인텔리전스 보안 센터와 함께 설치되는 구성요소
애플리케이션을 다운로드하고 활성화하면 위협 인텔리전스 보안 센터 사용자 역할 및 속성을 포함한 여러 유형의 구성요소가 설치됩니다.
설치되는 속성
필요한 역할: sn_sec_tisc.admin
보안 관리자 [sn_sec_tisc.admin] 역할이 있는 사용자는 이를 수정할 수 있습니다.
| 속성 | 사용량 |
|---|---|
| 위협 인텔리전스 보안 센터에 대한 속성 | |
| 이렇게 하면 모든 상관관계 규칙이 비활성화됩니다. 선택한 상관 관계 규칙을 비활성화해야 하는 경우 상관 관계 규칙의 "활성" 필드를 대신 사용합니다. sn_sec_tisc.disable_correlation_rules |
|
| 이 속성은 위협 점수 계산기 기능에서 집계 처리를 활성화/비활성화하는 데 사용됩니다. sn_sec_tisc.aggregates_for_calculator |
|
| 사이팅 검색이 수행될 때 저장될 원시 데이터의 행 수입니다. 범위 0 - 100 sn_sec_tisc.sighting_search_raw_data_rows |
|
| 사이팅 검색 결과를 CMDB의 CI와 연결합니다. sn_sec_tisc.associate_ci_with_sighting_search |
|
| 목록에서 URL을 제거할지 여부를 제어합니다. sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls |
|
| 이 속성을 사용하면 MITRE 기술을 연결된 개체 또는 보안 인시던트에서 케이스로 자동 롤업할 수 있습니다. sn_sec_tisc.auto_rollup_mitre_data |
|
| 예인 경우 보고서에 렌더링된 MITRE 목록의 모든 전술(케이스와 연결된 기술이 없는 전술 포함)이 표시됩니다. sn_sec_tisc.show_all_tactics_reporting |
|
| 공유 보고서에 사용할 케이스(sn_sec_tisc_case) 테이블에 대한 이메일 클라이언트 템플릿의 시스템 ID입니다. sn_sec_tisc.reporting_email_template_sn_sec_tisc_case |
|
| 새 기록을 만들 때 기본 TLP 수준이 적용됩니다. 양식에서 수동으로 설정하지 않으면 이 값이 사용됩니다. sn_sec_tisc.tlp_default_value |
|
| 로깅 수준 디버그,정보,경고,오류 sn_sec_tisc.logging.verbosity |
|
| 위협 인텔리전스 피드에 대한 속성 | |
| TAXII 수집 데이터를 가져오기 위해 대기 하는 아웃 바운드 HTTP 연결의 최대 시간 (초) sn_sec_tisc.taxii.http.max_timeout |
|
| TAXII 서버에서 하나의 REST 호출로 검색된 최대 객체 수(TAXII 버전 2.0 및 2.1에만 적용) sn_sec_tisc.taxii.max_page_size |
|
| 실패한 TAXII2에 대한 최대 재시도 횟수입니다. X REST 호출 sn_sec_tisc.taxii2.retry_count |
|
| Cyware TAXII 서버에서 하나의 REST 호출로 검색되는 최대 객체 수 sn_sec_tisc.cyware_taxii.max_page_size |
주:
Cyware TAXII 피드와 관련된 TAXII 컬렉션에서 데이터를 가져올 때 사용되는 페이지 크기를 지정합니다. 다른 모든 TAXII 컬렉션의 경우 컬렉션에서 TAXII 검색된 페이지 크기는 기본적으로 해당 속성 |
| CrowdStrike에서 한 번에 가져올 기록의 수입니다. 숫자가 높을수록 페이로드를 처리하는 데 더 많은 메모리가 사용됩니다. sn_sec_tisc.crowdstrike_api_limit |
|
| 단일 API 호출에서 끌어올 표시기 수를 나타냅니다. 주: 이는 통합에서 시스템에 필요한 것을 찾지 못하는 경우에만 적용할 수 있습니다. sn_sec_tisc.crowdstrike_indicator_batch_size |
|
| 단일 API 호출에서 끌어올 액터 수를 나타냅니다. 주: 이는 통합에서 시스템에 필요한 것을 찾지 못하는 경우에만 적용할 수 있습니다. sn_sec_tisc.crowdstrike_actor_batch_size |
|
| 단일 API 호출에서 끌어올 보고서 수를 나타냅니다. 주: 이는 통합에서 시스템에 필요한 것을 찾지 못하는 경우에만 적용할 수 있습니다. sn_sec_tisc.crowdstrike_report_batch_size |
|
| CrowdStrike API에서 허용된 오프셋 및 한도의 총계입니다. sn_sec_tisc.crowdstrike_offset_limit_total |
|
| REST API에 대한 속성 | |
| 옵저버블 가져오기 API에 대한 최대 페이지 크기(응답의 일부로 반환되는 옵저버블의 최대 수)를 정의합니다. API 응답시간에 영향을 줄 수 있으므로 높은 값으로 늘리지 않는 것이 좋습니다. sn_sec_tisc.api_maximum_page_size_limit |
|
| 옵저버블 추가 API에 대한 요청 본문에서 보낼 수 있는 최대 옵저버블 수를 정의합니다. API 응답시간에 영향을 줄 수 있으므로 높은 값으로 늘리지 않는 것이 좋습니다. sn_sec_tisc.add_obs_api_max_records |
|
| 웹후크에 대한 속성 | |
| 하나의 웹후크 요청의 일부로 전송할 최대 이벤트 수입니다. 이 속성에 더 높은 값이 설정되어 있더라도 배치 크기는 2,000으로 제한됩니다. sn_sec_tisc.webhook_max_event_batch_size |
|
| 실패한 요청을 오류로 표시하고 다음 이벤트 배치로 이동하기 전에 다시 시도할 횟수입니다. 이 속성에 더 높은 숫자가 설정되어 있더라도 재시도 횟수는 10으로 제한됩니다. sn_sec_tisc.webhook_retry_count |
|
| 실패한 배치를 재시도하기 전에 대기할 시간(초)입니다. 이는 재시도 횟수에 따라 기하급수적으로 증가합니다. 예를 들어 retry_count 3이고 retry_interval 30이면 30, 60, 120초 후에 재시도가 실행됩니다. 이 속성에 더 높은 값이 설정되어 있더라도 초기 재시도 간격은 300초로 제한됩니다. sn_sec_tisc.webhook_retry_interval |
|
| 위협 점수를 다시 적용하여 트리거된 웹후크 이벤트를 무시합니다. sn_sec_tisc.webhook_ignore_threat_score_reapply |
|
| 조사 캔버스에 대한 속성 | |
| 값을 예로 설정하면 왼쪽 상단에 새 노드가 추가됩니다. 아니요인 경우 캔버스 중앙에 새 노드가 추가됩니다. sn_sec_tisc.canvas_suspend_reLayout |
|
| CTI 형식으로 익스포트하기 위한 속성 | |
| STIX 2.1 파일로 익스포트할 수 있는 최대 행 수 sn_sec_tisc.stix_export_limit |
|
| 익스포트 파일에 저널 유형 필드를 포함합니다. sn_sec_tisc.export_journal_fields |
|
예약된 작업
다음 표에서는 예약된 작업에 대해 설명합니다.
| 작업 | 설명 |
|---|---|
| 표시기 소스 기록 집계 | 표시기 소스 기록을 집계합니다. |
| 집계 객체 소스 기록 | 객체 소스 기록을 집계합니다. |
| 옵저버블 소스 기록 집계 | 옵저버블 소스 기록을 집계합니다. |
| 부실 임포트 정리 | 부실 임포트 작업 기록을 정리합니다. |
| 캔버스의 사용되지 않는 새 노드 정리 | 사용하지 않는 새 캔버스 노드를 정리합니다. |
| 보안 파일 다운로드 기록 정리 | 보안 파일 다운로드 기록을 정리합니다. |
| 표시기 소스 기록 중복 제거 | 표시기 소스 기록의 중복을 제거합니다. |
| 중복 제거 객체 소스 기록 | 객체 소스 기록을 중복 제거합니다. |
| 옵저버블 소스 기록 중복 제거 | 옵저버블 소스 기록을 중복 제거합니다. |
| 비활성화 만료된 표시기 | 만료된 표시기 기록을 비활성화합니다. |
| 만료된 객체 비활성화 | 만료된 객체 기록을 비활성화합니다. |
| 비활성화된 만료된 옵저버블 | 만료된 옵저버블 기록 비활성화 |
| TI에서 TISC로 데이터 마이그레이션 | 마이그레이션 작업 실행 기록이 보류 중인 프로세스 |
| 표시기 소스 기록에 대한 집계된 기록 채우기 | 새로 생성된 표시기 소스 기록에 대한 상위 집계 기록을 식별합니다. |
| 객체 소스 기록에 대한 집계된 기록 채우기 | 새로 생성된 객체 소스 기록에 대한 상위 집계 기록을 식별합니다. |
| 옵저버블 소스 기록에 대한 집계 기록 채우기 | 새로 작성된 옵저버블 소스 기록에 대한 상위 집계 기록을 식별합니다. |
| TI에서 TISC 참조 채우기 | TI 옵저버블 기록에서 TISC 집계 옵저버블의 참조를 채웁니다. |
| 승인된 임포트 처리 | 승인된 임포트 작업을 처리합니다. |
| 임포트된 MISP DSM 큐 기록 처리 | 처리된 준비된 MISP 피드 수집 큐 기록입니다. |
| 임포트된 MISP 표시기 임포트 큐 기록 처리 | 임포트 인텔리전스에서 수집된 준비된 MISP 데이터 처리 |
| 임포트된 STIX 임포트 큐 기록 처리 | 임포트 인텔리전스에서 수집된 준비된 STIX 데이터 처리 |
| 임포트된 STIX 임포트 큐 기록 처리 - 수집 | 위협 피드에서 수집된 스테이징된 STIX 데이터를 처리합니다. |
| 보류 중인 케이스 아티팩트 마이그레이션 처리 | 위협 인텔리전스 애플리케이션에서 위협 인텔리전스 보안 센터로 케이스 아티팩트를 마이그레이션합니다. |
| 보류 중인 위협 소스 수집 큐 기록 처리 | 보류 중인 소스 수집 큐 기록을 처리합니다. |
| 위협 점수 계산기의 대기 중인 엔터티 처리 | 보류 중인 위협 계산기 큐 항목 처리 |
| 프로세스 큐에 대기 중인 MISP DSM 큐 기록 | 위협 피드에서 수집된 큐에 대기 중인 MISP 데이터 처리 |
| 프로세스 큐에 대기 MISP 표시기 임포트 큐 기록 | 임포트 인텔리전스에서 수집된 큐에 대기 중인 MISP 데이터 처리 |
| 프로세스 큐에 대기 STIX 임포트 큐 기록 - 수집 | 위협 피드에서 수집된, 큐에 대기 중인 STIX 데이터를 처리합니다. |
| 프로세스 큐에 있는 STIX 표시기 임포트 큐 기록 | 임포트 인텔리전스에서 수집된 큐에 대기 중인 STIX 데이터 처리 |
| 프로세스 웹후크 큐 | 보류 중인 웹후크 큐 기록을 처리합니다. |
| 소스 기록 재집계 | 집계된 기록이 삭제되는 소스 기록을 다시 집계합니다. |
| 필터링된 소스 기록 제거 | 필터링된 소스 기록 정리 |
| CrowdStrike 통합 프로세스 검사기 재개/CrowdStrike 소스 기록 다시 처리 | 요율 제한 대기 중인 CrowdStrike 피드 통합 실행을 재개/관계 집계를 위한 소스 기록 요청 |
| 긍정 오류 옵저버블 수 동기화 | 소스당 옵저버블 긍정 오류 개수를 flase 긍정 수와 동기화 |
| TISC 웹후크 배치 생성 | 처리를 위해 대기 중인 웹후크 대기열 항목에 대한 배치를 생성함 |
| TISC Fire 웹후크 | 보류 중인 웹후크 배치 실행 |
| 관계 보관 열 업데이트 중 | 관계 소스 및 대상 기록 보관 상태 업데이트 |