SIR TI에서 TISC로 데이터 마이그레이션
TISC에서 데이터 마이그레이션 작업 구성을 사용하면 기존 위협 인텔리전스 플러그인 데이터를 TISC 플러그인 데이터로 직접 이동할 수 있습니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
이 태스크 정보
- 선택적 기록 마이그레이션: 지정된 조건을 충족하는 선택한 테이블의 기록만 마이그레이션됩니다.
- 관계 포함: 관계 포함 확인란을 선택한 경우에만 관련 기록이 마이그레이션됩니다.
- 엔터티 마이그레이션 상태: 엔터티(옵저버블 또는 객체)가 마이그레이션되면 관련 기록으로 마이그레이션되지 않는 한 추가 마이그레이션에 포함되지 않습니다.
- 케이스 기록: 종결된 케이스 포함 확인란을 선택하지 않으면 기본적으로 활성 기록만 마이그레이션됩니다.
프로시저
- 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 데이터 마이그레이션 작업 구성.
- 새로 만들기를 클릭합니다.
-
양식에서 필드를 적절하게 채웁니다.
표 1. 데이터 마이그레이션 작업 구성 필드 설명 이름 데이터 마이그레이션의 이름입니다. 테이블 기록을 TISC로 마이그레이션할 테이블을 선택합니다. 마이그레이션을 위한 TISC 테이블 옵션은 다음과 같습니다.- 옵저버블(sn_ti_observable)
- 영향 표시기(sn_ti_indicator)
- 보안 케이스(sn_ti_case)
- STIX V2 개체(sn_ti_stix2_object)(공격 패턴, 캠페인, 동작 방침과 같은 옵션)
주:- STIX V2 옵션을 선택하면 TISC에는 MITRE ATT&CT를 마이그레이션하는 다른 프레임워크가 있으므로 MITRE ATT&CK를 제외한 모든 STIX 객체가 마이그레이션됩니다.
- 보안 케이스를 마이그레이션하도록 선택하면 종결된 케이스는 마이그레이션되지 않고 활성 케이스만 마이그레이션됩니다.
예를 들어 옵저버블 마이그레이션 테이블을 선택합니다.
활성 데이터 마이그레이션 프로세스가 활성 상태인 경우 이 확인란을 선택합니다. 관계 포함 위협 인텔리전스 기록의 관계를 TISC 기록으로 마이그레이션하려면 이 확인란을 선택합니다. 주:이 확인란을 선택하면 모든 관련 엔터티가 옵저버블과 함께 마이그레이션되며, 이 확인란을 선택하지 않으면 관련 엔터티 없이 단일 옵저버블만 마이그레이션됩니다.종결된 케이스 포함 종결된 케이스를 케이스 기록 마이그레이션의 일부로 포함하려면 이 확인란을 선택합니다. 보안 인시던트와 관련된 옵저버블만 마이그레이션 보안 인시던트와 연결된 옵저버블을 마이그레이션하기 위한 확인란을 선택합니다. 이 확인란을 선택하지 않으면 보안 인시던트와의 연결에 관계없이 모든 옵저버블이 마이그레이션됩니다. 조건 마이그레이션할 데이터를 필터링하는 데 사용할 수 있는 조건을 선택하는 옵션입니다. 추가 구성 신뢰도 마이그레이션된 TISC 엔터티(옵저버블 또는 객체 또는 표시기)에 대한 신뢰도를 입력합니다. 신뢰도는 0-100 범위 사이여야 합니다.
만료 기간(일) 마이그레이션된 TISC 엔터티의 만료 기간입니다. 주:시스템은 다시 가져올 때 이미 TISC로 마이그레이션된 기록을 무시하거나 건너뜁니다. - 제출을 클릭합니다.
-
지금 실행을 클릭하여 데이터 마이그레이션을 실행합니다.
데이터 마이그레이션을 실행하면 백그라운드 작업이 실행되고 마이그레이션 작업이 생성됩니다. 이 작업은 마이그레이션 프로세스를 생성하며 이러한 마이그레이션 기록의 배치 크기는 5,000입니다.
-
마이그레이션 작업 실행 섹션에서 마이그레이션 작업 상태를 확인합니다.
작업 상태가 큐에 대기하고 배치 크기의 최대 한도는 5,000개 기록을 초과해서는 안 됩니다. 해당 특정 엔터티에 대해 모두 마이그레이션된 객체를 보려면 기록을 클릭합니다.
- 마이그레이션 작업 실행 관련 목록에서 마이그레이션 작업 상태를 확인합니다.
- 처리 상태를 보려면 기록을 클릭하십시오.
-
마이그레이션 작업 실행 기록의 마이그레이션 처리 큐 기록 관련 목록 섹션에서 배치 마이그레이션 상태를 확인합니다.
기록 마이그레이션을 위한 배치 크기는 5000입니다.
- 마이그레이션 처리 큐 기록의 각 관련 목록에서 일괄 마이그레이션의 일부로 생성된 TISC 엔터티를 확인합니다.