옵저버블 정의
옵저버블은 벤더 서버에서 STIX 데이터로 검색됩니다. 그러나 필요한 경우 옵저버블을 생성할 수 있습니다.
시작하기 전에
필요한 역할: sn_ti.admin
프로시저
- 다음으로 이동 모두 > 위협 인텔리전스 > IoC 리포지토리 > 옵저버블.
-
새로 만들기를 클릭합니다.
-
양식의 필드에 적절히 입력합니다.
필드 설명 분류 태그 선택 보안 태그를 설정하고 활성화하여 기록에 메타데이터를 추가하는 경우 하나 이상의 태그를 선택하여 옵저버블의 민감도를 지정할 수 있습니다. 보안 태그를 설정하거나 활성화하지 않은 경우에는 이 드롭다운 목록이 표시되지 않습니다.
값 옵저버블과 연결된 값(예: IP 주소 또는 해시)입니다. 주:IP 주소 또는 해시에 대한 위협 검사 , 반환된 맬웨어 또는 기타 오류가 발생하면 IP 주소 또는 해시 값이 옵저버블 [sn_ti_observable] 테이블에 자동으로 추가됩니다. 따라서 옵저버블 양식에서 검색할 수 있습니다.옵저버블 유형 IP 주소 또는 파일 해시와 같은 옵저버블 분류를 선택합니다. 이러한 옵저버블 유형은 Observable Types 모듈에 정의되어 있습니다. 인시던트 수 옵저버블 값이 발생한 횟수입니다. 컴퍼지션임 이 필드는 옵저버블 기록이 저장된 후에만 표시됩니다. 옵저버블 유형이옵저버블 컴포지션 이외의 항목으로 설정되어 있고 이 새 옵저버블이 컴포지션인 경우 이 확인란을 선택합니다.
옵저버블 유형이 이미 옵저버블 컴포지션으로 설정된 경우 확인란이 선택되고 읽기 전용입니다.
옵저버블 컴포지션은 자식 옵저버블을 포함하는 옵저버블입니다.
찾기 다음 중 하나를 선택합니다. - 악성: 옵저버블이 조직에 해롭다는 것을 나타냅니다.
- 의심스러움: 옵저버블이 조직에 해로울 수 있음을 나타냅니다.
- Clean: 옵저버블이 조직에 해롭지 않음을 나타냅니다.
- 알 수 없음: 옵저버블의 발견 사항이 아직 결정되지 않았음을 나타냅니다.
기본값: 알 수 없음. 자세한 내용은 위협 조회 찾기 계산기 문서를 참조하십시오.
주:업그레이드 후 기존 옵저버블은 악성으로 표시됩니다.운영자 이 필드는 컴포지션 확인란이 선택된 경우에만 나타납니다. 이 필드의 설정에 따라 연결된 표시기가 있는지 여부를 결정할 때 옵저버블과 해당 하위 항목이 고려됩니다. 연결된 표시기가 존재하는 것으로 간주되기 위해 모든 하위 옵저버블이 있어야 하는 경우 이 필드를 AND 로 설정합니다.
연결된 표시기가 존재하는 것으로 간주하기 위해 하위 옵저버블이 있는 경우 OR 로 설정합니다.
존재하지 않아야 함 이 필드는 옵저버블 기록이 저장된 후에만 표시됩니다. 선택하는 경우 이 필드는 옵저버블의 부재가 잠재적인 문제(예: 레지스트리 키 누락)임을 나타냅니다.
위치 두 속성의 설정과 스크립트 포함 정의를 사용하면 이 필드에 로드할 더 많은 IoC 데이터 로드 수 있습니다. 메모 옵저버블에 대한 추가 메모를 입력합니다. -
양식 헤더를 마우스 오른쪽 버튼으로 클릭하고 저장을 클릭합니다.
이제 다음 관련 목록 중 하나를 클릭하여 추가 정보를 볼 수 있습니다.
관련 목록 설명 관련 표시기 위협 소스에서 식별한 표시기를 나열합니다. 관련된 작업 옵저버블과 연결된 변경 내용을 나열합니다. 하위 옵저버블 위협 소스에서 식별한 관련 옵저버블을 나열합니다. IP에 대해 일치하는 자원 옵저버블이 IP 주소인 경우 이 목록에는 일치하는 IP 주소가 있는 모든 리소스(구성 항목)가 표시됩니다. 옵저버블 소스 소스의 신뢰도와 함께 이 옵저버블의 소스를 나열합니다. 보안 주석 이 옵저버블에 추가된 보안 주석을 나열합니다.