옵저버블 정의
옵저버블은 예약된 피드 수집 또는 임포트 도우미에서 검색할 수 있습니다. 그러나 필요한 경우 옵저버블을 생성할 수 있습니다.
시작하기 전에
필요한 역할: sn_sec_tisc.analyst
프로시저
- 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 위협 인텔 라이브러리 > 옵저버블 > 모든 옵저버블.
- 새로 만들기를 클릭합니다.
-
옵저버블 유형을 선택합니다.
새 옵저버블 기록 생성 양식이 표시됩니다.주:옵저버블, 표시기, 엔터티 또는 객체에 대한 새 객체 기록을 생성할 때마다 소스 기록이 생성되고, 새 객체 기록이 생성된 다음 사용자가 집계된 기록으로 리디렉션된다는 프롬프트 메시지가 표시됩니다.
-
양식에서 필드를 채웁니다.
주:새 옵저버블을 만들거나 기존 옵저버블을 볼 때마다 첨부 파일 창이 기본적으로 양식 뷰에 표시됩니다. 오른쪽 상황별 메뉴에서 첨부 파일 아이콘을 클릭하거나 기본 설정 > 작업 공간 을 클릭하고 사이드바 표시를 비활성화합니다. 자세한 내용은 Next Experience Workspace 기본 설정 구성을 참조하십시오.
표 1. 상세 정보 섹션 필드 설명 값 옵저버블과 연결된 값(예: IP 주소 또는 해시)입니다. 설명 옵저버블 기록에 대한 설명입니다. 작성자 이름을 입력합니다. 유형 IP 주소, 도메인 이름, 아티팩트, 디렉터리, 파일 또는 해시와 같은 옵저버블 분류 유형입니다. 기본적으로 새 기록을 선택하면 표시됩니다.
상태 옵저버블의 활성 또는 비활성 상태입니다. 공격 단계 LM, MITRE ATT&CK와 같은 킬 체인의 공격 단계를 나타냅니다. TLP TLP별 데이터 민감도 설정을 나타내는 고유 값입니다. 평판 옵저버블의 악의적인 평판을 지정합니다. 상태 활성 또는 비활성인 경우 옵저버블의 상태를 입력합니다. 위협 점수 해당 옵저버블에 대한 위협 점수를 나타냅니다. 만료 시간 옵저버블 기록의 만료 시간을 지정합니다. 소스 이 기록이 생성되는 위협 소스를 지정합니다. 신뢰도 이 옵저버블 기록에 대한 신뢰도를 입력합니다. confidence 속성은 작성자가 데이터의 정확성에 대해 가지고 있는 신뢰도를 식별합니다. 신뢰도 값은 0-100 범위의 숫자여야 합니다(MUST).
시스템 업데이트 방지 이 플래그를 예로 설정하면 시스템이 기록의 필드 값을 재정의할 수 없습니다. 긍정 오류 여부 옵저버블이 긍정 오류로 식별되는지 여부를 나타내는 부울 플래그입니다. 표 2. 속성 필드 설명 해결 대상 도메인 이름이 확인되는 하나 이상의 IP 주소 또는 도메인 이름에 대한 참조 목록을 지정합니다. FQDN 여부 FQDN(정규화된 도메인 이름)은 인터넷 호스트 또는 컴퓨터의 전체 주소입니다. 호스트 이름, 도메인 이름 및 TLD(최상위 도메인)를 지정하여 DNS(Domain Name System) 내의 정확한 위치를 제공합니다. 표 3. 추가 정보 필드 설명 위협 수준 옵저버블 기록의 위협 수준을 나타냅니다. 처음으로 발견됨 이 옵저버블 기록이 악의적인 활동을 수행하는 것이 처음 목격된 시간입니다. 위협 심각성 옵저버블 기록의 위협 심각도를 나타냅니다. 마지막으로 발견됨 이 옵저버블 기록이 악의적인 활동을 수행하는 것이 마지막으로 목격된 시간입니다. 사용 범주 옵저버블이 속하는 범주(예: 봇넷 또는 피싱)입니다. 공격 단계 LM, MITRE ATT&CK와 같은 킬 체인의 공격 단계를 나타냅니다. 추가 컨텍스트 추가 컨텍스트를 추가합니다. 소스 이 기록이 생성되는 위협 소스를 지정합니다. 중요사항:소스 보고된 점수: 이 필드에는 옵저버블이 수집되는 소스에서 보고한 위협 점수의 집계 값이 포함됩니다. 옵저버블 기록 양식에서 이 필드를 보려면 기본적으로 사용할 수 없으므로 수동으로 추가해야 합니다.표 4. 속성 필드 설명 해결 대상 도메인 이름이 확인되는 하나 이상의 IP 주소 또는 도메인 이름에 대한 참조 목록을 지정합니다. FQDN 여부 FQDN(정규화된 도메인 이름)은 인터넷 호스트 또는 컴퓨터의 전체 주소입니다. 호스트 이름, 도메인 이름 및 TLD(최상위 도메인)를 지정하여 DNS(Domain Name System) 내의 정확한 위치를 제공합니다. 주:Resolves To 및 Is FQDN 속성은 옵저버블의 도메인 이름 유형에만 적용할 수 있습니다.표 5. 옵저버블 유형 속성 특성 이름 속성 유형 아티팩트 - 복호화 키
- 암호화 알고리즘
- MD5 해시
- MIME 형식
- SHA1 해시
- SHA256 해시
- SHA512 해시
- URL
AS 번호 - 이름
- RIR
디렉터리 - 디렉터리 생성 시간
- 디렉터리에 마지막으로 접근한 시간
- 디렉터리를 마지막으로 수정한 시간
- 인코딩된 경로
도메인 이름 - FQDN 여부
- 해결 대상
이메일 주소 - 표시 이름
- 이메일 본문
- 이메일 받는 사람 Bcc
- 이메일 받는 사람 Cc
- 이메일 받는 사람 To
- 이메일 발신자
- 이메일 제목
- 보낸 날짜
파일 - 추가 정보
- 인코딩된 파일 이름
- 파일 생성 시간
- 파일에 마지막으로 접근한 시간
- 파일을 마지막으로 수정한 시간
- 파일 이름 마법수
- MD5 해시
- MIME 형식
- SHA1 해시
- SHA256 해시
- SHA512 해시
IPv4 주소 - AS 번호
- MAC 주소
IPv4 CIDR - AS 번호
- MAC 주소
IPv6 주소 - AS 번호
- MAC 주소
IPv6 CIDR - AS 번호
- MAC 주소
네트워크 - 대상 바이트
- 카운트 대상 패킷 카운트
- 대상 포트
- 종료 시간
- HTTP 메시지 본문 길이
- HTTP 요청 헤더
- HTTP 요청 메서드
- HTTP 요청 값
- HTTP 요청 버전
- ICMP 코드 바이트
- ICMP 유형 바이트
- 네트워크 활성 여부
- 소켓 블로킹 여부
- 소켓 리스닝 여부
- 네트워크 프로토콜
- 소켓 주소 체계
- 소켓 기술자
- 소켓 핸들
- 소켓 옵션
- 소켓 유형 소스 바이트 카운트
- 소스 패킷 카운트
- 소스 포트
- 시작 시간
- TCP 대상 플래그
- TCP 소스 플래그
프로세스 - ASLR 사용 설정
- 명령줄
- 현재 작업 디렉터리(CWD)
- DEP 사용 설정
- 환경 변수
- 숨겨짐 여부
- 소유자 SID
- 프로세스 ID
- 우선순위
- 프로세스 생성 시간
- 서비스 설명
- 서비스 표시 이름
- 서비스 그룹 이름
- 서비스 이름
- 서비스 시작 유형
- 서비스 상태 서비스 유형
- 시작 정보
- Windows 무결성 수준
- 창 제목
소프트웨어 - CPE(공통 플랫폼 열거형)
- 지원되는 언어
- 소프트웨어 식별(SWID)
- 벤더 버전
사용자 계정 - 계정 생성 시간
- 계정 만료 시간
- 계정 로그인
- 계정 유형
- 추가 정보
- 권한 에스컬레이션 가능
- 자격 증명이 마지막으로 변경된 시간
- 표시 이름
- 첫 번째 로그인 시간
- 계정 비활성화됨 여부
- 권한 있음 여부
- 서비스 계정 예부
- 마지막 로그인 시간
- 사용자 ID
Windows 레지스트리 키 - 키 수정됨
- 시간 레지스트리 값
- 하위 키 수
X.509 인증서 - 추가 정보
- 인증 키 식별자
- 기본 제약 조건
- 인증서 정책
- CRL 배포 지점
- 확장된 키 사용
- 모든 정책 금지
- 발급자
- 발급자 대체 이름
- 자체 서명됨 여부
- 주요 사용량
- 이름 제약 조건
- 정책 제약 조건
- 정책 매핑
- 개인 키 사용 유효 기간(시작)
- 개인 키 사용 유효 기간(끝)
- 서명 알고리즘
- 제목
- 제목 대체 이름
- 제목 디렉터리 속성
- 주체 키 식별자
- 주체 공개 키 알고리즘
- 주체 공개 키 지수
- 주체 공개 키 계수
- 유효 기간(시작)
- 유효 기간
- 버전
표 6. 인사이트 필드 설명 메모 옵저버블 기록에 대한 추가 메모를 추가합니다. -
저장을 클릭합니다.
저장하면 새 옵저버블 기록이 생성되었음을 나타내는 프롬프트 메시지가 표시됩니다. 기록을 편집하고 새 관계를 생성하려면 "계속 "을 클릭하십시오.
-
계속을 클릭합니다.
중요사항:새 옵저버블 기록을 생성하면 시스템 업데이트 방지 확인란이 표시됩니다.
옵저버블, 표시기 또는 STIX 객체 기록이 생성된 후 시스템에서 업데이트를 방지하려면 이 확인란을 선택합니다.
표 7. 태그&분류 필드 설명 태그 태그 선택 옵저버블과 연결된 태그를 선택합니다. 태그 추가 새 태그를 추가합니다. 분류 분류 선택 옵저버블과 연결된 분류를 선택합니다. 분류 값 추가 옵저버블과 연결된 분류 값을 추가합니다. 표 8. 소스 기록 필드 설명 옵저버블에 대한 소스 기록 상세 정보가 표시됩니다(있는 경우).
다음에 수행할 작업
다음 표에는 옵저버블과 관련된 관련 기록이 나열되어 있습니다.
| 관련 목록 | 설명 |
|---|---|
| 옵저버블 | 이 옵저버블과 관련된 옵저버블 목록입니다. 주: 이 섹션에는 두 옵저버블 간의 잠재적 관계도 포함되어 있습니다. 자세한 내용은 두 옵저버블 간의 확인된 관계를 참조하십시오옵저버블-옵저버블 잠재성 관계 확인옵저버블-옵저버블 관계 정의. |
| 표시기 | 이 옵저버블과 관련된 표시기 목록입니다. |
| 공격 패턴 | 이 옵저버블과 관련된 공격 패턴의 목록입니다. |
| 캠페인 | 이 옵저버블과 관련된 캠페인을 나열합니다. |
| 인프라 | 시스템, 소프트웨어 서비스 및 이 옵저버블과 관련된 모든 연관된 물리적 또는 가상 자원과 같은 인프라를 나열합니다. |
| 침입 세트 | 이 옵저버블과 관련된 공통 속성을 가진 일련의 적대적 행동 및 자원과 같은 침입 세트를 나열합니다. |
| 맬웨어 | 이 옵저버블과 관련된 맬웨어 소스 기록을 나열합니다. |
| 위협 액터 | 이 옵저버블과 관련된 위협 액터를 나열합니다. |
| 위협 이벤트 | 이 옵저버블과 관련된 위협 이벤트를 나열합니다. |
| 취약성 | 옵저버블이 IP 주소인 경우 이 목록에는 이 옵저버블과 관련된 일치하는 IP 주소가 있는 모든 자원(구성 항목)이 표시됩니다. |
주:
- 이 객체와 연결된 관련 기록을 연결하거나 연결 해제할 수 있습니다. 자세한 내용은 위협 인텔리전스 관련 기록 연결 문서를 참조하십시오.
- 또한 관련 기록 섹션에서 옵저버블 양식 뷰에 사용할 수 있는 잠재성 관계 섹션을 사용하여 두 옵저버블 간의 관계를 확인할 수 있습니다. 에 대한 자세한 내용은 관련 기록에서 잠재성 관계 확인를 참조하십시오.
- 케이스에 옵저버블을 추가할 수 있습니다. 자세한 내용은 케이스에 추가 문서를 참조하십시오.
- 옵저버블에 대한 보강 작업을 실행할 수도 있습니다. 자세한 내용은 케이스 내에서 보강 작업 실행 문서를 참조하십시오.