MISP에서 이벤트 관리

취리히 보안 관리

Release

zurich

ft:locale

ko-KR

ft:publication_title

취리히 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

MISP에서 이벤트 관리

릴리스 버전: Zurich

업데이트 날짜 2025년 07월 31일

소요 시간: 11분

에서 자동 또는 수동으로 이벤트를 MISP 생성할 수 있습니다 ServiceNow AI Platform. 에서 이벤트 데이터를 MISP 편집할 수도 있습니다 ServiceNow AI Platform.

에서 자동으로 생성된 이벤트 검증 MISP

인스턴스에서 이벤트 생성 프로파일을 구성한 후 자동으로 생성된 이벤트를 확인할 수 있습니다 ServiceNow AI Platform .

자동 이벤트 작성 프로파일

자동 이벤트 생성 프로파일 구성은 다음의 sn_si.admin 또는 sn_ti.admin 사용자 역할로 수행됩니다. MISP 통합 > 자동 이벤트 작성 프로파일 모듈.

이벤트 데이터 보기 MISP

다음과 같은 방법으로 생성된 이벤트를 볼 수 있습니다.

생성된 이벤트에 대한 작업 메모를 봅니다. 다음 예와 같이 인스턴스에서 이벤트 상세 정보를 ServiceNow AI Platform 볼 수 있으며 서버에 표시되는 MISP 방식으로도 볼 수 있습니다.
그림 1. 생성된 이벤트에 대한 작업 메모
연결된 MISP 이벤트 관련 목록을 클릭합니다. 여기서는 다음 예와 같이 보안 인시던트 및 MISP 자원과 관련된 이벤트를 볼 수 있습니다.
그림 2. 관련 이벤트 목록
MISP 다음 예와 같이 양식 뷰에서 이벤트 데이터를 보고 이벤트에 대한 MISP 자세한 정보를 검토합니다.
그림 3. 양식 뷰의 이벤트 데이터

MISP에서 수동으로 이벤트 작성

에서 ServiceNow AI Platform 이벤트를 MISP 수동으로 생성하여 속성 및 객체로 표시되는 상황별 관련 정보를 캡처합니다.

시작하기 전에

다음 항목 검토: MISP 사용자 역할 및 권한 양방향 기능을 사용하기 위한 것입니다 MISP .
필요한 역할: sn_sec_misp.write

프로시저

다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
이벤트를 생성하려는 옵저버블이 포함된 보안 인시던트를 선택합니다.
MISP에서 새 이벤트 만들기를 클릭합니다.

MISP에서 새 이벤트 작성 대화 상자에서 상세 정보를 입력합니다.

표 1. MISP 대화 상자에서 이벤트 작성
필드		설명
날짜		의 이벤트 생성 날짜입니다 MISP.
이벤트 정보		에서 자동으로 생성되는 이벤트 정보입니다 ServiceNow AI Platform 보안 인시던트 응답.
위협 수준		이벤트의 위험 수준입니다. 인시던트를 세 가지 위협 범주(낮음, 중간, 높음)로 분류할 수 있습니다. 이 필드는 정의되지 않은 상태로 둘 수도 있습니다. 옵션은 다음과 같습니다. 낮음: 일반 대량 맬웨어 중간: 지능형 지속 위협(APT) 높음: 정교한 APT 및 0일 공격
소스		MISP 이벤트 생성 소스입니다.
배포		이벤트가 게시된 후 이 이벤트를 볼 수 있는 사용자를 제어하는 옵션입니다. 이 옵션은 이벤트를 다른 서버와 동기화할지 여부도 제어합니다. 분포는 속성에 의해 상속됩니다. 가장 제한적인 설정이 우선합니다. 배포 옵션은 다음과 같습니다. 내 기관만: 조직의 구성원만 이 이벤트를 볼 수 있습니다. 조직 구성원 중 한 명이 내 조직만 접근할 수 있는 다른 인스턴스로 이벤트를 끌어올 수 있습니다. 이 설정의 이벤트는 동기화되지 않습니다. 이 커뮤니티만: 자신의 조직, 이 MISP 서버의 조직 및 이 서버와 동기화되는 서버를 실행하는 MISP 조직을 포함하여 커뮤니티에 MISP 속한 사용자가 이벤트를 볼 수 있도록 합니다. 연결된 서버에 연결된 다른 조직에서는 이벤트를 볼 수 없습니다. 연결된 커뮤니티: 이 MISP 서버의 모든 조직, 이 서버와 동기화되는 서버의 모든 조직MISP, 두 홉 떨어져 있는 모든 서버에 연결하는 서버의 호스팅 조직을 포함하여 커뮤니티의 MISP 일부인 사용자가 이벤트를 볼 수 있도록 합니다. 이 서버에서 두 홉 떨어져 있는 연결된 서버에 연결된 다른 조직은 이벤트를 볼 수 없도록 제한됩니다. 모든 커뮤니티: 이벤트를 모든 MISP 커뮤니티와 공유합니다.
분석		다음과 같은 가능한 옵션이 있는 이벤트 분석의 현재 스테이지입니다. 초기: 분석이 이제 막 시작되었습니다. 진행 중: 분석이 진행 중입니다. 완료됨: 분석이 완료되었습니다.
고급 옵션	SIR 연결된 옵저버블을 MISP 이벤트 속성으로 추가	보안 인시던트 MISP 에서 사용 가능한 옵저버블을 이벤트에 속성으로 추가하는 옵션입니다. 이 옵션은 옵저버블 찾기가 악성일 때 속성 IDS 플래그 설정 옵션을 활성화합니다.
	옵저버블 찾기가 악성일 때 속성 IDS 플래그 설정	에서 SIR악성으로 표시된 옵저버블 . 의 MISP 해당 속성도 true로 표시됩니다.
	보안 태그를 기준으로 옵저버블 필터링	선택한 보안 태그를 기준으로 옵저버블을 필터링하는 옵션입니다. 이 옵션은 위협 인텔리전스에서 MISP 이벤트를 구분하고 관리하는 기능을 제공합니다. 보안 태그: 옵저버블을 필터링하는 태그를 추가합니다. 예를 들어 "공유 차단" 또는 "TLP: 흰색"이라는 태그를 추가하는 경우 옵저버블 중 하나에 이러한 태그가 연결되어 있으면 MISP 이벤트 작성 중에 이러한 옵저버블이 MISP 이벤트에 속성으로 추가되지 않습니다.
	보안 인시던트 MITRE ATT&CK 기술을 MISP 이벤트에 로컬 갤럭시로 동기화	보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트의 로컬 갤럭시로 동기화 ServiceNow AI Platform SIR 하는 MISP 옵션입니다.
	보안 인시던트 MITRE ATT&CK 기술을 MISP 이벤트에 전역 갤럭시로 동기화	보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트의 전역 갤럭시로 동기화 ServiceNow AI Platform SIR 하는 MISP 옵션입니다.
	MISP 이벤트에 태그 추가	ServiceNow에서 작성된 이벤트에 MISP 태그를 추가할 수 있는 옵션입니다. 이 옵션은 다음 옵션을 표시합니다. 로컬(태그):선택한 태그가 MISP 이벤트에 로컬 태그로 추가됩니다. 전역(태그):선택한 태그가 MISP 이벤트에 전역 태그로 추가됩니다.

새 MISP 이벤트 작성을 클릭합니다.

다음 예는 에서 MISP이벤트를 생성하여 보안 인시던트의 결과를 볼 수 있음을 보여줍니다. 다음 예와 같이 작업 메모, 인스턴스의 이벤트 ServiceNow AI Platform 및 서버의 이벤트를 MISP 볼 수도 있습니다.

그림 4. 에서 수동으로 MISP의 이벤트 생성 ServiceNow AI Platform
다음과 같은 방법으로 결과를 볼 수 있습니다.
- 성공 메시지가 보안 인시던트 페이지 상단에 나타납니다. 인스턴스에서 이벤트 상세 정보를 ServiceNow AI Platform 볼 수 있으며 서버에 표시되는 MISP 대로 볼 수도 있습니다.
- 작업 메모에서 자세한 내용이 포함된 성공 메시지를 볼 수 있습니다. 인스턴스에 있는 이벤트 상세 정보를 ServiceNow AI Platform 볼 수 있으며 서버에 표시되는 대로 볼 수도 있습니다 MISP .
- 연결된 MISP 이벤트 관련 목록에서 보안 인시던트 및 자원과 관련된 이벤트를 볼 수 있습니다MISP.

이벤트에 속성 MISP 추가

이벤트에 유형, 범주 및 이벤트에 대한 기타 상황별 정보와 같은 속성을 이벤트에 추가합니다.

시작하기 전에

다음 항목 검토: MISP 사용자 역할 및 권한 양방향 기능을 사용하기 위한 것입니다 MISP .
속성을 추가하거나 업데이트하는 이벤트가 사용자와 동일한 조직에 MISP 속하는지 확인합니다.
필요한 역할: sn_sec_misp.write

프로시저

다음으로 이동 모두 > MISP > 연결된 MISP 이벤트.
보안 인시던트에서 연결된 MISP 이벤트 관련 목록으로 이동할 수도 있습니다.
속성을 추가할 MISP 이벤트를 클릭합니다.
MISP 이벤트에 속성 추가를 클릭합니다.

이벤트에 속성 추가 대화 상자에서 상세 정보를 입력합니다.

표 2. 이벤트에 속성 추가 대화 상자
필드	설명
값	속성의 실제 값입니다. 선택한 속성 유형에 유효한 값을 기준으로 한 값에 대한 데이터를 입력합니다. 예를 들어 ip-src(소스 IP 주소) 유형의 속성의 경우 11.11.11.11이 유효한 값입니다. 주: 이벤트와 컨텍스트를 공유하는 속성 또는 옵저버블만 선택할 수 있습니다. 옵저버블은 이미 의 속성을 MISP가질 수 없습니다.
범주	속성의 범주입니다. 범주는 이 속성에 대한 맬웨어의 측면을 설명합니다. 예를 들어 맬웨어 또는 네트워크 활동의 지속성 메커니즘이 있습니다.
유형	범주를 설명하는 유형입니다. 예를 들어 공격자가 공격에 IP 주소를 사용하는 경우 원본 이메일 주소 또는 첨부 파일을 통해 전송된 파일은 모두 맬웨어의 페이로드 전달을 설명할 수 있습니다. 이러한 유형의 속성에는 페이로드 제공 범주가 있습니다.
배포	이 속성을 볼 수 있는 사용자입니다. 분포는 속성에 의해 상속됩니다. 가장 제한적인 설정이 우선합니다.
속성을 IDS 서명으로 사용	에서 SIR악성으로 표시된 옵저버블 . 의 MISP 해당 속성도 true로 표시됩니다.
설명	속성에 대해 추가하는 코멘트입니다.

다음 예는 연결된 MISP 이벤트 목록에서 탐색하여 이벤트 레코드 5627을 보고 이벤트에 속성을 추가할 수 있음을 보여줍니다. 속성에는 값(testdomain.com), 범주(외부 분석), 유형(도메인)이 포함됩니다. IDS를 활성화할 수도 있습니다. 다음 예와 같이 이벤트 기록의 성공 메시지는 속성이 이벤트에 추가되었음을 보여줍니다.

MISP 이벤트에 속성을 추가합니다. — 그림 5. MISP 이벤트에 속성 추가

MISP 이벤트에 속성 추가를 클릭합니다.

결과

속성 섹션에서 추가된 속성을 볼 수 있습니다.

이벤트에 태그 MISP 추가

태그를 ServiceNow AI Platform MISP 추가하여 이벤트 또는 속성을 분류합니다. 전역적으로 태그 지정을 사용하여 분류를 활성화하거나, 분류 중에 이벤트가 수정되는 것을 원하지 MISP 않을 때 태그를 로컬에서 사용할 수 있습니다.

시작하기 전에

다음 항목 검토: MISP 사용자 역할 및 권한 양방향 기능을 사용하기 위한 것입니다 MISP .
편집 중인 이벤트가 사용자와 동일한 조직에 MISP 속해 있는지 확인합니다.
사용할 수 있는 태그와 갤럭시는 소스 및 해당 배포 권한을 기반으로 MISP 합니다.
필요한 역할: sn_sec_misp.write

프로시저

다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
태그를 추가할 이벤트가 포함된 보안 인시던트를 선택합니다.
모든 관련 목록 표시 및 MISP 보강 결과 관련 목록을 클릭합니다.
보강 결과 목록에서 이벤트 ID를 클릭합니다.
다음에서 탐색할 수도 있습니다. MISP > 연결된 MISP 이벤트 모듈.

MISP 이벤트 기록을 검토합니다.

표 3. MISP 이벤트 양식 뷰
필드	설명
이벤트 ID	이벤트를 처음 만들거나 서버로 가져올 MISP 때 MISP 할당된 이벤트 ID입니다.
UUID	이벤트와 속성을 고유하게 식별하는 ID입니다.
작성자 조직	인스턴스에서 이벤트를 MISP 생성한 조직입니다.
소유자 조직	인스턴스에서 이벤트를 MISP 소유한 조직입니다. 이 필드는 관리자에게만 표시됩니다.
작성자 사용자	에서 MISP이벤트를 생성한 사용자입니다.
마지막 변경	이벤트가 마지막으로 수정된 날짜입니다.
MISP 소스	MISP 이벤트가 생성된 소스입니다.
작성된 날짜(MISP)	이벤트를 만들었거나 서버에서 처음 가져온 MISP 날짜입니다.
위협 수준	이벤트의 위험 수준입니다. 인시던트는 세 가지 위협 범주(낮음, 중간, 높음)로 분류할 수 있습니다. 이 필드는 정의되지 않은 상태로 둘 수 있습니다. 옵션은 다음과 같습니다. 낮음: 일반 대량 맬웨어 중간: 지능형 지속 위협(APT) 높음: 정교한 APT 및 0일 공격
분석	다음과 같은 가능한 옵션이 있는 이벤트 분석의 현재 스테이지입니다. 초기: 분석이 이제 막 시작되었습니다. 진행 중: 분석이 진행 중입니다. 완료됨: 분석이 완료되었습니다.
배포	개별 속성의 분포입니다. 속성의 배포 수준은 이벤트와 다를 수 있습니다.
게시 날짜:	이벤트 게시 여부의 상태입니다. 게시하면 이벤트의 속성을 모든 적격 익스포트에 사용할 수 있으며 이벤트 경보를 구독한 사용자에게 알릴 수 있습니다.
MISP 이벤트 하이퍼링크	MISP 서버에 저장된 MISP 이벤트에 연결합니다.
정보	이벤트에 대한 간단한 설명입니다.
태그(로컬)	호스트 조직의 MISP 인스턴스에서 동기화 및 익스포트 필터링을 위한 태그 지정을 활성화하는 데 사용할 수 있는 태그입니다. MISP 로컬 태그를 사용할 때 이벤트가 수정되지 않습니다. 로컬 태그는 다른 MISP 인스턴스 및 공유 커뮤니티와 동기화되기 전에 항상 제거됩니다.
태그(전역)	다른 인스턴스 및 공유 커뮤니티와 MISP 공유하고 동기화하기 위해 전역적으로 사용할 수 있는 태그입니다. 인스턴스에 전역 태그를 MISP 추가할 때 이벤트를 수정할 수 있습니다.
갤럭시(로컬)	호스트 조직의 MISP 인스턴스에서 동기화 및 익스포트 필터링에 사용할 수 있는 갤럭시입니다. MISP 로컬 갤럭시를 사용할 때 이벤트는 수정되지 않습니다. 이러한 로컬 은하는 다른 MISP 인스턴스 및 공유 커뮤니티와 동기화되기 전에 항상 제거됩니다.
갤럭시(전역)	다른 MISP 인스턴스 및 공유 커뮤니티와 공유하고 동기화할 수 있는 전역적으로 사용할 수 있는 갤럭시입니다. 글로벌 갤럭시 MISP 를 추가할 때 이벤트를 수정할 수 있습니다.

로컬 또는 전역 태그를 편집하려면 편집 아이콘 다음 옵션 중 하나에서 다음을 수행합니다.

태그(로컬)
태그(전역)

MISP 이벤트 태그 대화 상자에서 태그 이름을 입력하여 태그를 검색하고 추가합니다.
MISP 이벤트에 태그 업데이트를 클릭합니다.

다음 예에서는 로컬 태그에 대한 편집 아이콘을 클릭하여 C3, 애드웨어, C2 및 봇넷 3101 태그를 검색 및 추가하고 MISP 서버를 태그로 업데이트할 수 있음을 보여줍니다. 확인 메시지는 모든 태그가 에서 업데이트 MISP되었음을 보여줍니다.

그림 6. MISP 이벤트로 태그 업데이트
기록의 변경 내용을 보려면 성공 메시지에서 폼 다시 로드 를 클릭합니다.

결과

서버에서 태그가 업데이트되었습니다 MISP .

갤럭시를 이벤트 또는 속성으로 MISP 업데이트

은 ServiceNow AI Platform MISP 하계를 추가하거나 제거하여 이러한 객체를 인스턴스에서 클러스터 MISP 로 분류하고 이벤트 MISP 또는 속성에 연결할 수 있습니다.

시작하기 전에

다음 항목 검토: MISP 사용자 역할 및 권한 양방향 기능을 사용하는 MISP 데 필요합니다.
로컬 갤럭시를 추가하려면 통합을 구성한 사용자가 해당 MISP 서버의 호스트 조직에 속해야 합니다.
사용할 수 있는 태그와 갤럭시는 소스와 해당 배포 권한을 기반으로 MISP 합니다.
필요한 역할: sn_sec_misp.write

프로시저

다음 옵션 중 하나에서 편집 아이콘

갤럭시(로컬)
갤럭시(전역)

MISP 이벤트 갤럭시 대화 상자에서 입력하고 검색하여 태그를 추가합니다.
갤럭시를 MISP 이벤트로 업데이트를 클릭합니다.

다음 예제에서는 로컬 갤럭시의 편집 아이콘을 클릭하고, 사용되지 않는 네임스페이스를 선택하고, 엔터프라이즈 공격 - 공격 패턴 갤럭시를 선택하고, 클러스터 정보를 추가하는 방법을 보여줍니다. 갤럭시 정보가 업데이트되면 성공 메시지를 볼 수 있습니다.

그림 7. 갤럭시 정보를 MISP 이벤트로 업데이트

서버에서 갤럭시가 성공적으로 MISP 업데이트되었습니다.
기록의 변경 내용을 보려면 성공 메시지에서 폼 다시 로드 를 클릭합니다.