에서 옵저버블 보강 MISP

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기9분

    • 인시던트 응답 조사 중에 다양한 MISP 소스의 추가 정보로 옵저버블을 보강하여 식별된 위협을 억제할 수 있습니다.

    에서 자동 옵저버블 보강 사용 MISP

    새 옵저버블이 보안 인시던트와 연결된 경우 자동 옵저버블 보강을 Now Platform MISP 사용하도록 설정합니다.

    시작하기 전에

    • 보안 인시던트 응답예약된 작업, 보안 인시던트 옵저버블 조회 활성화 또는 비활성화 옵션에 대한 시스템 속성을 활성화하여 옵SIR저버블 보강 기능을 트리거합니다.
    • 필요한 역할: sn_si.analyst

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 옵저버블 데이터를 MISP 보강하려는 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 새 옵저버블이 보안 인시던트와 연결된 후 작업 메모를 검토합니다.

      다음 예제에서는 Security Operations Integration - 옵저버블 보강 워크플로우 가 트리거될 때 작업 메모가 게시되는 것을 보여줍니다.

      옵저버블 보강 상태의 작업 메모를 봅니다.
    4. MISP 보안 인시던트의 보강 결과 관련 목록에서 워크플로우 실행이 완료된 후 보강 결과를 봅니다.
      주:
      보강 결과 관련 목록이 보안 인시던트 관련 목록에 나타나도록 MISP 구성해야 합니다. 자세한 내용은 관련 목록 구성을 참조하십시오.
      다음 예제에서는 의 보강 결과를 MISP보여 줍니다.
      MISP 보강 결과 탭에서 보강 결과를 봅니다.
      다음 표에서는 MISP 보강 결과를 보여줍니다.
      표 1. MISP 보강 결과
      필드 설명
      이벤트 이벤트의 ID입니다. 열기를 클릭하여 인스턴스의 기록을 봅니다 Now Platform .
      조직 이벤트를 처음 생성한 조직입니다.
      옵저버블 이벤트와 연결된 옵저버블입니다.
      범주 속성의 범주입니다.

      MISP 설명서에서 범주 목록을 봅니다.
      유형 속성의 유형입니다.

      MISP 설명서에서 유형 목록을 봅니다.
      MISP 태그 속성과 연결된 태그의 목록입니다 MISP .
      MISP 갤럭시 속성과 연결된 은하의 목록입니다 MISP .
      설명 속성을 자세히 설명하는 컨텍스트 설명입니다. 이러한 주석은 상관 관계에 사용되지 않으며 순전히 정보를 제공하기 위한 것입니다.
      IDS 모든 적격 수출에 포함될 수 있는 손상 표시기입니다.
      배포 게시된 속성의 분포입니다. 속성은 이벤트와 다른 배포 수준을 가질 수 있습니다. 두 경우 모두 가장 낮은 분포 수준이 사용됩니다.
      MISP 이벤트 하이퍼링크 MISP 서버에 저장된 MISP 이벤트에 대한 링크입니다.
      통합 벤더 보강을 위해 데이터를 제공하는 통합 벤더입니다.
      원시 데이터 속성과 연결된 원시 데이터입니다 MISP .

    에서 수동 옵저버블 보강 수행 MISP

    개별 또는 여러 옵저버블을 선택하고 수동 옵저버블 보강을 수행하여 다양한 MISP 소스의 추가 정보로 옵저버블을 보강할 수 있습니다.

    시작하기 전에

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 보강을 수행할 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. Show All Related Lists(모든 관련 목록 표시) 및 Associated Observables(연결된 옵저버블) 탭을 클릭합니다.
    4. 옵저버블을 선택하고 Actions(작업) 메뉴에서 Run Observable Enrichment(옵저버블 보강 실행)를 클릭합니다.
      사이팅 검색을 위해 여러 옵저버블을 선택할 수 있습니다.
      옵저버블 보강 실행 대화 상자가 나타납니다.
    5. MISP 소스를 선택하고 선택됨 열에서 선택한 옵저버블을 보강할 구현을 선택합니다.
    6. 제출을 클릭합니다.
      작업 메모에 Security Operations Integration - 옵저버블 보강 워크플로우 가 트리거되었음을 보여줍니다. 연결된 구현 워크플로우가 실행되어 보강을 수행합니다. 보안 인시던트의 작업 메모를 보고 상태를 볼 수 있습니다.

      다음 예제에서는 수동 관찰 대상 보강에 대한 작업 메모를 보는 방법을 보여줍니다.

      그림 1. 수동 옵저버블 보강을 위한 작업 메모
      수동 옵저버블 보강에 대한 작업 메모를 봅니다.
      보강 메시지는 생성된 이벤트를 나열합니다. 인스턴스의 Now Platform OR MISP 에서 이벤트를 보고 MISP 보강 결과 탭에서 기록의 세부 정보를 볼 수 있습니다.

    속성에 MISP 태그 추가 또는 제거

    에서 태그를 MISP 추가하거나 제거하여 이벤트 또는 속성을 분류합니다. 전역적으로 태그 지정을 사용하여 분류를 활성화하거나, 분류 중에 이벤트를 수정하지 않으려는 MISP 경우 로컬에서 태그를 사용할 수 있습니다.

    시작하기 전에

    • 검토 MISP 사용자 역할 및 권한 양방향 기능 사용.MISP
    • 편집 중인 속성이 사용자와 동일한 조직에 MISP 속하는지 확인합니다.
    • 사용할 수 있는 태그와 은하계는 원본과 해당 배포 권한을 기반으로 MISP 합니다.
    • 필요한 역할: sn_sec_misp.write

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 태그를 추가하려는 옵저버블, 속성 또는 이벤트가 포함된 보안 인시던트를 선택합니다.
    3. 모든 관련 목록 표시 및 MISP 보강 결과 관련 목록을 클릭합니다.
    4. 기록 옆에 있는 미리 보기 아이콘 미리 보기 아이콘을 클릭한 다음 기록 열기를 클릭합니다.
      다음 예시에서는 MISP 보강 결과를 검토하는 방법과 보강 기록을 여는 MISP 방법을 보여줍니다.
      그림 2. MISP 보강 결과 기록
    5. MISP 보강 결과 기록을 검토합니다.
      표 2. MISP 보강 결과
      필드 설명
      옵저버블
      이벤트 이벤트를 처음 만들거나 로 가져올 때 서버에서 할당 MISP 한 이벤트 ID입니다 MISP.

      이벤트를 미리 보거나 기록을 클릭하여 이벤트 데이터 페이지에서 이벤트 데이터를 MISP 봅니다.
      조직 속성을 생성한 조직입니다 MISP .
      범주 에서 특정 이벤트에 추가하는 속성의 범주입니다 MISP. 내부 참조, 네트워크 활동, 금융 사기 등과 같은 옵션을 선택할 수 있습니다.
      유형 속성의 유형입니다 MISP .
      통합 벤더 옵저버블 보강을 위한 데이터를 제공하는 통합 벤더입니다.
      작성된 날짜(MISP) 이벤트가 처음 생성되거나 로 임포트된 날짜입니다 MISP.
      IDS 에서 옵저버블이 악성 SIR으로 표시되는지 여부의 상태입니다. 의 MISP 해당 속성도 true로 표시됩니다.
      배포 게시된 후 이 이벤트를 볼 수 있는 사람과 같은 배포 옵션 통제. 이 옵션은 이벤트가 다른 서버와 동기화되는지 여부도 제어합니다. 분포는 속성에 의해 상속되며 가장 제한적인 설정이 우선합니다. 배포 옵션은 다음과 같습니다.
      • 내 조직만: 내 기관의 구성원만 이 이벤트를 볼 수 있습니다. 조직만 볼 수 있는 액세스 권한이 있는 조직 구성원 중 한 명이 이벤트를 다른 인스턴스로 끌어올 수 있습니다. 이 설정을 사용하는 이벤트는 동기화되지 않습니다.
      • 이 커뮤니티 전용: 사용자의 조직, 이 MISP 서버의 조직 및 이 서버와 동기화되는 서버를 실행하는 MISP 조직을 포함하여 커뮤니티의 일부 MISP 인 사용자가 이벤트를 볼 수 있도록 합니다. 이러한 연결된 서버에 연결된 다른 모든 조직은 이벤트를 볼 수 없습니다.
      • 연결된 커뮤니티: 이 MISP 서버의 모든 조직, 이 서버와 동기화되는 서버의 모든 조직 MISP 및 두 홉 떨어진 서버에 연결하는 서버의 호스팅 조직을 포함하여 커뮤니티의 일부 MISP 인 사용자가 이벤트를 볼 수 있습니다. 두 홉 떨어져 있는 연결된 서버에 연결된 다른 모든 조직은 이벤트를 볼 수 없습니다.
      • 모든 커뮤니티: 이벤트를 모든 MISP 커뮤니티와 공유하여 이벤트를 자유롭게 이용할 수 있도록 합니다.
      MISP 이벤트 하이퍼링크 MISP 서버에 저장된 MISP 이벤트에 대한 링크입니다.
      원시 데이터 옵저버블 보강 데이터 기록에 대한 원시 상세 정보입니다.
      설명 속성에 대해 추가하는 코멘트입니다. 이러한 의견은 정보 제공의 목적으로만 사용되며 상관 관계에 사용되지 않습니다.
      태그(로컬) 동기화 및 익스포트 필터링에 태그 지정을 활성화하기 위해 호스트 조직의 MISP 인스턴스에서 사용할 수 있는 태그입니다. MISP 로컬 태그를 사용할 때 이벤트는 수정되지 않습니다. 이러한 태그는 다른 MISP 인스턴스와 동기화되고 커뮤니티를 공유하기 전에 항상 제거됩니다.
      태그(전역) 다른 MISP 인스턴스 및 공유 커뮤니티와 공유하고 동기화하기 위해 전역적으로 사용할 수 있는 태그입니다. 인스턴스에 전역 태그를 MISP 추가할 때 이벤트를 수정합니다.
      갤럭시(로컬) 호스트 조직의 MISP 인스턴스에서 동기화 및 익스포트 필터링을 위해 사용할 수 있는 갤럭시입니다. MISP 로컬 갤럭시를 사용할 때는 이벤트가 수정되지 않습니다. 이러한 은하계는 다른 MISP 개체와 동기화되고 커뮤니티를 공유하기 전에 항상 제거됩니다.
      갤럭시(글로벌) 다른 MISP 인스턴스 및 공유 커뮤니티와 공유하고 동기화하기 위해 전역적으로 사용할 수 있는 갤럭시입니다. 글로벌 갤럭시를 MISP 추가하면 이벤트가 수정됩니다.
    6. 로컬 또는 전역 태그를 편집하려면 다음 옵션 중 하나에서 편집 아이콘 편집 아이콘을 클릭합니다.
    • 태그(로컬)
    • 태그(전역)
    1. MISP 속성 태그 대화 상자에서 검색하고 추가할 태그의 이름을 입력합니다.
    2. Update Tags to MISP Attribute(MISP 속성으로 태그 업데이트)를 클릭합니다.

      다음 예에서는 로컬 태그의 편집 아이콘을 클릭하여 C3, Adware, C2 및 Botnet 3101 태그를 검색 및 추가하고 해당 태그로 MISP 서버를 업데이트할 수 있음을 보여줍니다. 확인 메시지는 에서 모든 태그가 업데이트 MISP되었음을 보여줍니다.

      태그가 서버에서 성공적으로 업데이트됩니다 MISP .
    3. 기록의 변경 내용을 보려면 성공 메시지에서 양식 다시 로드 를 클릭하십시오.

    이벤트 또는 속성에 MISP 갤럭시 추가 또는 제거

    에서 은하를 MISP 추가하거나 제거하여 이러한 객체를 클러스터 MISP 로 분류하고 이벤트나 속성에 MISP 연결할 수 있도록 합니다.

    시작하기 전에

    • 검토 MISP 사용자 역할 및 권한 양방향 기능 사용.MISP
    • 로컬 갤럭시를 추가하려면 통합을 구성한 사용자가 해당 MISP 서버의 호스트 조직에 속해야 합니다.
    • 사용할 수 있는 태그와 은하계는 원본과 해당 배포 권한을 기반으로 MISP 합니다.
    • 필요한 역할: sn_sec_misp.write

    프로시저

    1. 다음 옵션 중 하나에서 편집 아이콘 편집 아이콘을 클릭합니다.
    • 갤럭시(로컬)
    • 갤럭시(글로벌)
    1. MISP Event Galaxies(MISP 이벤트 갤럭시) 대화 상자에서 상세 정보를 입력합니다.
      표 3. MISP 이벤트 갤럭시 대화 상자
      필드 설명
      이벤트 ID 이벤트를 처음 만들거나 로 가져올 때 서버에서 할당 MISP 한 이벤트 ID입니다 MISP.
      Namespace 갤럭시가 저장되는 네임스페이스입니다. 네임스페이스를 사용하여 유사한 갤럭시를 그룹화할 수 있습니다.
      갤럭시 클러스터 정보를 저장하는 은하계입니다.
      클러스터 은하계의 성단에 대한 정보.
    2. Update Galaxies to MISP Attribute(갤럭시를 MISP 속성으로 업데이트)를 클릭합니다.
      다음 예제에서는 로컬 갤럭시에 대한 편집 아이콘을 클릭하여 더 이상 사용되지 않는 네임스페이스를 선택하고, Enterprise Attack - Attack Pattern 갤럭시를 선택하고, 클러스터 정보를 추가할 수 있음을 보여 줍니다. 은하계 정보가 업데이트된 후 성공 메시지를 볼 수 있습니다.

    3. 기록의 변경 내용을 보려면 성공 메시지에서 양식 다시 로드 를 클릭하십시오.

    결과

    서버에서 갤럭시 정보가 성공적으로 업데이트되었습니다 MISP .

    속성에 MISP 설명 추가

    속성에 MISP 대한 설명을 추가합니다. 추가하는 주석은 정보 제공의 목적으로만 사용되며 데이터 상관 관계에는 MISP 사용되지 않습니다.

    시작하기 전에

    • 검토 MISP 사용자 역할 및 권한 양방향 기능 사용.MISP
    • 편집 중인 속성이 사용자와 동일한 조직에 MISP 속하는지 확인합니다.
    • 필요한 역할: sn_sec_misp.write

    프로시저

    1. 설명 필드에서 편집 아이콘 편집 아이콘을 누릅니다.
    2. Attribute Comment(속성 설명) 필드에 설명을 입력합니다.
    3. Update Comment to MISP Attribute(MISP 속성에 대한 설명 업데이트)를 클릭합니다.
      다음 예제에서는 주석 필드 옆에 있는 편집 아이콘을 클릭하여 주석을 추가한 다음 속성을 업데이트할 MISP 수 있음을 보여줍니다. 설명이 업데이트되면 성공 메시지를 볼 수 있습니다.

    4. 기록의 변경 내용을 보려면 성공 메시지에서 양식 다시 로드 를 클릭하십시오.

    결과

    서버에서 주석이 성공적으로 업데이트되었습니다 MISP .