위협 액터 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 악의적인 의도로 행동하는 개인, 그룹 또는 조직인 위협 액터를 정의합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.analyst

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터.
    2. 작업 공간에서 위협 인텔 라이브러리 아이콘을 클릭합니다.
    3. 위협 액터 객체로 이동합니다.
    4. 새로 만들기를 클릭합니다.
      주:
      옵저버블, 표시기, 엔터티 또는 객체에 대한 새 객체 기록을 생성할 때마다 소스 기록이 생성되고 새 객체 기록이 생성된 다음 사용자가 집계된 기록으로 리디렉션된다는 프롬프트 메시지가 표시됩니다.
    5. 양식에서 필드를 채웁니다.
      표 1. 위협 액터 상세 정보 뷰
      필드 설명
      ID 공격을 방지하기 위한 동작 과정의 고유 ID입니다.
      이름 위치를 식별하는 설명이 포함된 이름을 입력합니다.
      설명 침입 세트에 대한 자세한 정보와 컨텍스트를 제공하는 설명으로, 잠재적으로 목적과 주요 특성을 포함합니다.
      별칭 이 위협 액터를 식별하는 다른 이름의 목록입니다.
      주:
      애플리케이션에 없는 새 별칭을 추가하려면 별칭 필드 자체 내에서 사용할 수 있는 새 별칭 추가 아이콘을 클릭합니다.
      목표 이 위협 행위자의 높은 수준의 목표, 즉 무엇을 하려고 하는지입니다. 예를 들어, 그들은 개인적인 이익에 의해 동기가 부여될 수 있지만 그들의 목표는 신용 카드 번호를 훔치는 것입니다.
      위협 액터 유형 이 위협 액터의 유형입니다.
      위협 액터 역할 이 객체에 대한 다양한 위협 액터 역할입니다.
      처음으로 발견됨 이 위협 액터가 처음 발견된 시간입니다.

      이 속성은 STIX에서 사용할 수 있거나 사용할 수 없는 사이팅 및 기타 데이터의 데이터에 대한 요약 속성입니다. 처음 표시된 타임스탬프보다 이전의 새 사이팅이 수신되면 새 데이터를 고려하도록 객체가 업데이트될 수 있습니다.
      마지막으로 발견됨 이 위협 액터가 마지막으로 표시된 시간입니다.
      기본 동기 이 위협 액터의 기본 이유, 동기 또는 목적입니다. 동기는 위협 액터가 목표(달성하려는 것)를 달성하고자 하는 이유입니다.

      예를 들어, 한 국가의 금융 부문을 혼란에 빠뜨리는 것을 목표로 하는 위협 행위자는 자본주의에 대한 이데올로기적 증오에 의해 동기가 부여될 수 있습니다.
      전문성 위협 액터가 공격을 수행하는 데 필요한 기술, 특정 지식, 특수 교육 또는 전문 지식입니다.
      보조 동기 이 속성은 이 위협 액터의 2차 이유, 동기 또는 목적을 지정합니다.

      이러한 동기는 주요 동기와 동등하거나 거의 동등한 원인으로 존재할 수 있습니다. 그러나 주요 동기를 대체하거나 반드시 확대하는 것은 아니지만 추가 맥락을 나타낼 수 있습니다. 목록의 위치는 중요하지 않습니다.
      자원 수준 이 위협 액터가 일반적으로 작동하는 조직 수준으로, 이 위협 액터가 공격에 사용할 수 있는 리소스가 결정됩니다. 이 속성은 정교함 속성과 연결되어 있으며, 특정 리소스 수준은 위협 액터가 최소한 특정 정교함 수준에 액세스할 수 있음을 의미합니다.
      신뢰도 이 작업 과정에 대한 신뢰도를 입력합니다.
      TLP TLP는 중요한 정보가 적절한 대상과 공유되도록 하는 데 사용됩니다. 4가지 색상(흰색, 녹색, 호박색, 빨간색)을 사용하여 다양한 감도 정도를 나타냅니다.
      소스 이 객체 기록이 생성되는 위협 소스를 지정합니다.
      해지함 해지된 객체를 객체 작성자가 더 이상 유효한 것으로 간주하지 않음을 나타냅니다.
      표 2. 인사이트
      필드 설명
      메모 이 위협 액터에 대한 추가 메모를 추가합니다.
      표 3. 추가 정보
      필드 설명
      추가 컨텍스트 이 공격 패턴에 대한 컨텍스트를 추가합니다.
      사양 버전 이 객체를 나타내는 데 사용되는 STIX 사양의 버전입니다.

      이 사양에 따라 정의된 STIX 개체의 경우 이 속성의 값은 2.1이어야 합니다.
      언어 이 속성은 이 객체에 있는 텍스트 콘텐츠의 언어를 식별합니다.
      소스에서 생성된 시간 소스에서 객체가 만들어지는 시간을 지정합니다.
      확장명 공격 패턴의 확장을 나타냅니다.
      소스에서 수정된 시간 원본에서 개체가 수정되는 시간을 지정합니다.
      처리 상태 이 객체의 처리 상태, 동작 과정을 나타냅니다.
      작성됨 소스에서 객체가 생성된 날짜 및 시간을 지정합니다.
      업데이트됨 소스에서 객체가 업데이트된 날짜 및 시간을 지정합니다.
      참조에 의해 생성됨 이 속성은 엔터티를 설명하는 ID 개체가 이 개체를 만들었음을 지정합니다.
    6. 저장을 클릭합니다.
      저장하면 새 옵저버블 기록이 생성되었음을 나타내는 프롬프트 메시지가 표시됩니다. 기록을 편집하고 새 관계를 생성하려면 "계속" 을 클릭하십시오.
    7. 계속을 클릭합니다.
      중요사항:
      새 옵저버블 기록을 생성하면 시스템 업데이트 방지 확인란이 표시됩니다.

      옵저버블 또는 표시기 또는 STIX 객체 기록이 생성된 후 시스템에서 업데이트되지 않도록 하려면 이 확인란을 선택합니다.

      표 4. 태그 및 분류
      필드 설명
      태그
      태그 선택 위협 액터와 연결된 태그를 선택합니다.
      태그 추가 새 태그를 추가합니다.
      분류
      분류 선택 이 위협 액터와 연결된 분류를 선택합니다.
      분류 값 추가 이 위협 액터와 연결된 분류 값을 추가합니다.

    다음에 수행할 작업

    위협 액터와 연결된 개체에 대한 추가 정보를 보려면 다음 관련 목록 중 하나를 클릭합니다.
    표 5. 관련 기록
    필드 설명
    외부 참조 STIX 이외의 정보를 참조하는 외부 참조를 나열합니다. 이 속성은 하나 이상의 외부 객체 식별자를 제공하는 데 사용됩니다.
    공격 패턴 이 개체와 관련된 공격을 분류하는 데 도움이 되는 공격 패턴을 나열합니다.
    캠페인 이 객체와 연결된 캠페인을 나열합니다.
    ID 이 객체와 연결된 ID 목록입니다.
    인프라 시스템, 소프트웨어 서비스 및 이 객체와 관련된 물리적 또는 가상 자원을 나열합니다.
    침입 세트 이 객체와 관련된 공통 속성이 있는 적대적 동작 및 자원 집합을 나열합니다.
    위치 이 객체와 연결된 위치의 목록입니다.
    맬웨어 이 개체와 연결된 악성 코드를 나열합니다.
    마케팅 정의 이 객체와 연결된 마케팅 정의를 나열합니다.
    옵저버블 이 객체와 연결된 옵저버블을 나열합니다.
    사이팅 이 객체와 연결된 사이팅을 나열합니다.
    도구 위협 액터가 이 개체와 관련된 공격을 수행하는 데 사용하는 합법적인 소프트웨어를 나열합니다.
    주:
    1. 이 객체와 연결된 관련 기록을 연결하거나 연결 해제할 수 있습니다. 자세한 내용은 위협 인텔리전스 관련 기록 연결 문서를 참조하십시오.
    2. TI 라이브러리 내의 다양한 SDO에도 잠재성 관계가 포함되어 있습니다. 두 개체 간의 관계를 설정하려면 위협 인텔 라이브러리잠재성 관계 링크를 사용하여 개체 간의 관계를 확인합니다. 자세한 내용은 객체-객체 잠재성 관계 확인 문서를 참조하십시오.
    3. 또한 객체 양식 뷰의 관련 기록 섹션을 사용하면 양식 뷰에서 제공되는 잠재성 관계 섹션을 사용하여 두 객체 간의 관계를 확인할 수 있습니다. 자세한 내용은 다음 참조를 관련 기록에서 잠재성 관계 확인참조하십시오.
    4. 케이스에 객체를 추가할 수 있습니다. 자세한 내용은 케이스에 추가 문서를 참조하십시오.