구조화된 파일을 사용하여 데이터 임포트

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 구조화된 데이터를 CSV, XLSX, XLS 등 지원되는 파일 형식으로 업로드합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.analyst

    프로시저

    1. 다음으로 이동 작업 공간 > Threat Intelligence Security Center.
      위협 인텔 라이브러리 페이지가 표시됩니다.
    2. 인텔리전스 임포트를 클릭합니다.
    3. 구조화된 파일 카드에서 가져오기를 클릭합니다.
      중요사항:
      TXT, CSV, STIX 2.x JSON, MISP JSON 또는 구조화된 파일과 같은 지원되는 파일 형식으로 위협 인텔리전스 데이터를 가져오는 동안 파일 크기는 5MB로 제한됩니다. 원시 텍스트에 대한 문자 제한은 10,000자로 제한됩니다.
    4. 양식의 필드에 내용을 입력합니다.
      필드 설명
      옵션 선택 드롭다운 목록에서 필요한 옵션(예: 옵저버블 또는 표시기)을 선택합니다.
      • 옵저버블: 임포트할 옵저버블 데이터를 선택합니다.
        주:
        옵저버블 데이터를 임포트하는 경우 이 옵션을 선택합니다. 또한 파일의 열 헤더를 수정하지 마십시오. 필수 필드는 값과 유형이며 다른 필드는 선택 사항입니다. 또한 날짜/시간을 YYYY-MM-DDThh:mm:ssZ 형식으로 입력합니다.
      • 표시기: 가져올 표시기 데이터를 선택합니다.
        주:
        표시기 데이터를 임포트하는 경우 이 옵션을 선택합니다. 또한 파일의 열 헤더를 수정하지 마십시오. 표시기의 필수 필드는 패턴, 패턴 유형 및 유효 기간(시작)이며 다른 필드는 선택 사항입니다. 또한 날짜/시간을 YYYY-MM-DDThh:mm:ssZ 형식으로 입력합니다.
      표시기에 대한 샘플 파일 미리 보기 및 다운로드 이 링크에서 미리보기 링크를 통해 샘플 파일을 다운로드하고 구조화된 데이터를 CSV, XLS, XLSX와 같은 호환 가능한 파일 형식으로 업로드합니다.
      주:
      열 헤더는 헤더와 정확히 일치해야 합니다. 파일의 각 옵저버블에는 값, 유형 필드가 필요합니다. 나머지 필드는 선택 사항이지만 처음 발견됨, 마지막으로 발견됨은 숫자로 표시되어야 하고 epoch 시간(밀리초 단위)이어야 합니다.
      파일 업로드 이 링크를 클릭하여 파일 데이터를 권장 구조 파일 형식으로 업로드합니다.
      주:
      한 번에 하나의 파일만 업로드할 수 있습니다. 새 파일을 추가하려면 기존 파일을 제거하고 새 파일을 추가해야 합니다.
      정의 설정
      TLP 임포트한 기록에 적용할 드롭다운 목록에서 TLP(Traffic Light Protocol) 표시기를 선택합니다.
      TLP는 TISC에 있으며 민감한 데이터가 의도한 사용자와 공유되도록 다양한 색상으로 레이블이 지정되어 있습니다.
      • CLEAR: 제한 없이 정보를 공유할 수 있습니다.
      • 적색
      • 호박색+엄격
      • 호박색
      • 녹색
      신뢰도(0~100) 임포트한 기록에 대해 0-100 사이의 신뢰도 값을 설정합니다.
      만료 기간(일) 임포트한 기록의 만료 기간을 입력합니다.
      주:
      필수 필드입니다.
      태그
      태그 추가 태그를 사용하여 이 소스에서 시스템으로 수집된 기록에 주석을 달거나 귀에 표시합니다. Staart는 검색 창에 태그 이름을 입력하여 시스템에서 사용 가능한 태그를 선택하거나 새 태그 이름을 입력하고 추가를 클릭하여 소스에 할당합니다.
      분류
      분류 선택 임포트한 데이터의 분류를 선택합니다. 분류를 사용하여 위협 인텔리전스 기록에 할당된 분류로 사용할 수 있는 사전을 정의합니다. 예를 들어, CAPEC 명명법입니다. 자세한 내용은 분류 생성 문서를 참조하십시오.
      주:
      선택한 분류에 따라 분류 값 옵션이 변경됩니다.
      소스 값 재정의 TLP, 신뢰도, 만료, 태그 및 분류에 대한 소스 값을 구성된 값으로 재정의하려면 이 확인란을 선택합니다. 이 확인란을 선택하지 않으면 구성된 값이 비어 있지 않으면 적용됩니다.
    5. 다음을 클릭합니다.
    6. 처리를 위해 제출하기 전에 데이터를 검토합니다.
      주:
      STIX 옵션에는 임포트된 기록 검토가 지원되지 않습니다.

      다음을 클릭하면 위 섹션에서 사용자가 제공한 모든 정보의 요약을 볼 수 있으며 아래 섹션에서는 임포트해야 하는 모든 레코드를 제공합니다.

      사용자는 모든 유형의 활동을 수행할 수 있으며 여러 사용자는 오른쪽 상황별 메뉴에서 사용할 수 있는 설명 섹션을 사용하여 공동 작업할 수 있습니다. 임포트된 기록 목록은 전체 파일 또는 원시 텍스트가 처리되면 렌더링됩니다. 큰 파일에 대한 임포트 처리에는 더 많은 시간이 소요되며, 처리하는 동안 임포트 기록 페이지에서도 상태를 확인하고 검토하고 제출할 수 있습니다.

      주:
      확인에 실패한 기록은 임포트 프로세스에서 건너뛰고 추가 처리를 위해 검토 및 제출 페이지에 표시되지 않습니다.
    7. 업데이트 유형을 클릭하고 임포트한 기록의 유형을 업데이트할 유형을 선택합니다.
    8. 임포트한 기록의 모든 유형을 삭제하려면 삭제 를 클릭합니다.
    9. 제출을 클릭합니다.
      주:
      임포트 기록을 제출하면 사용자는 구성된 승인 규칙에 따라 해당 임포트 기록을 승인하도록 승인자에게 리디렉션됩니다. 기록을 생성 중인 현재 사용자가 승인 프로세스를 필요로 하지 않는 경우 기록은 자동 승인 프로세스를 거치고, 요청을 제출하는 동안 임포트 작업이 자동 승인됩니다.
    10. 상태 보기(View Status)를 클릭하여 임포트 기록의 상태를 보거나 완료(Done)를 클릭합니다.
      처리를 위해 데이터를 임포트하면 기록에 처리 상태가 표시됩니다.
    11. 취소를 클릭하여 임포트 프로세스를 중단합니다.
    12. 필요한 경우 이전 페이지로 돌아가서 기록을 검토하려면 돌아가기를 클릭합니다.