SIR TI에서 TISC로 데이터 마이그레이션

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 3분
  • TISC에서 데이터 마이그레이션 작업 구성을 사용하면 기존 위협 인텔리전스 플러그인 데이터를 TISC 플러그인 데이터로 직접 이동할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    이 태스크 정보

    • 선택적 기록 마이그레이션: 지정된 조건을 충족하는 선택한 테이블의 기록만 마이그레이션됩니다.
    • 관계 포함: 관계 포함 확인란을 선택한 경우에만 관련 기록이 마이그레이션됩니다.
    • 엔터티 마이그레이션 상태: 엔터티(옵저버블 또는 객체)가 마이그레이션되면 관련 기록으로 마이그레이션되지 않는 한 추가 마이그레이션에 포함되지 않습니다.
    • 케이스 기록: 종결된 케이스 포함 확인란을 선택하지 않으면 기본적으로 활성 기록만 마이그레이션됩니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 데이터 마이그레이션 작업 구성.
    2. 새로 만들기를 클릭합니다.
    3. 양식에서 필드를 적절하게 채웁니다.
      표 1. 데이터 마이그레이션 작업 구성
      필드 설명
      이름 데이터 마이그레이션의 이름입니다.
      테이블 기록을 TISC로 마이그레이션할 테이블을 선택합니다.
      마이그레이션을 위한 TISC 테이블 옵션은 다음과 같습니다.
      • 옵저버블(sn_ti_observable)
      • 영향 표시기(sn_ti_indicator)
      • 보안 케이스(sn_ti_case)
      • STIX V2 개체(sn_ti_stix2_object)(공격 패턴, 캠페인, 동작 방침과 같은 옵션)
      주:
      • STIX V2 옵션을 선택하면 TISC에는 MITRE ATT&CT를 마이그레이션하는 다른 프레임워크가 있으므로 MITRE ATT&CK를 제외한 모든 STIX 객체가 마이그레이션됩니다.
      • 보안 케이스를 마이그레이션하도록 선택하면 종결된 케이스는 마이그레이션되지 않고 활성 케이스만 마이그레이션됩니다.

      예를 들어 옵저버블 마이그레이션 테이블을 선택합니다.

      활성 데이터 마이그레이션 프로세스가 활성 상태인 경우 이 확인란을 선택합니다.
      관계 포함 위협 인텔리전스 기록의 관계를 TISC 기록으로 마이그레이션하려면 이 확인란을 선택합니다.
      주:
      이 확인란을 선택하면 모든 관련 엔터티가 옵저버블과 함께 마이그레이션되며, 이 확인란을 선택하지 않으면 관련 엔터티 없이 단일 옵저버블만 마이그레이션됩니다.
      종결된 케이스 포함 종결된 케이스를 케이스 기록 마이그레이션의 일부로 포함하려면 이 확인란을 선택합니다.
      보안 인시던트와 관련된 옵저버블만 마이그레이션 보안 인시던트와 연결된 옵저버블을 마이그레이션하기 위한 확인란을 선택합니다. 이 확인란을 선택하지 않으면 보안 인시던트와의 연결에 관계없이 모든 옵저버블이 마이그레이션됩니다.
      조건 마이그레이션할 데이터를 필터링하는 데 사용할 수 있는 조건을 선택하는 옵션입니다.
      추가 구성
      신뢰도 마이그레이션된 TISC 엔터티(옵저버블 또는 객체 또는 표시기)에 대한 신뢰도를 입력합니다.

      신뢰도는 0-100 범위 사이여야 합니다.

      만료 기간(일) 마이그레이션된 TISC 엔터티의 만료 기간입니다.
      주:
      시스템은 다시 가져올 때 이미 TISC로 마이그레이션된 기록을 무시하거나 건너뜁니다.
    4. 제출을 클릭합니다.
    5. 지금 실행을 클릭하여 데이터 마이그레이션을 실행합니다.
      데이터 마이그레이션을 실행하면 백그라운드 작업이 실행되고 마이그레이션 작업이 생성됩니다. 이 작업은 마이그레이션 프로세스를 생성하며 이러한 마이그레이션 기록의 배치 크기는 5,000입니다.
    6. 마이그레이션 작업 실행 섹션에서 마이그레이션 작업 상태를 확인합니다.
      작업 상태가 큐에 대기하고 배치 크기의 최대 한도는 5,000개 기록을 초과해서는 안 됩니다. 해당 특정 엔터티에 대해 모두 마이그레이션된 객체를 보려면 기록을 클릭합니다.
    7. 마이그레이션 작업 실행 관련 목록에서 마이그레이션 작업 상태를 확인합니다.
    8. 처리 상태를 보려면 기록을 클릭하십시오.
    9. 마이그레이션 작업 실행 기록의 마이그레이션 처리 큐 기록 관련 목록 섹션에서 배치 마이그레이션 상태를 확인합니다.
      기록 마이그레이션을 위한 배치 크기는 5000입니다.
    10. 마이그레이션 처리 큐 기록의 각 관련 목록에서 일괄 마이그레이션의 일부로 생성된 TISC 엔터티를 확인합니다.