자동화된 IOC 보강

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 특정 기준과 일치할 때 플로우를 사용하여 IOC의 보강을 자동화하는 방법을 알아봅니다.

    시작하기 전에

    필요한 역할:
    • 시스템 관리자(보기, 만들기 또는 편집)
    • sn_sec_tisc.admin(보기)

    이 태스크 정보

    다음과 같은 경우에만 IOC 트리거 보강을 자동화합니다.
    • 옵저버블의 유형은 도메인 이름, IPv4 주소 또는 IPv6 주소입니다.
    • 옵저버블이 처리된 상태입니다.
    • 옵저버블에 보강 또는 보강 건너뛰기 태그가 없습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 관리.
    2. 선택 자동화된 플로우.
    3. 플로우 디자이너에서 해당 규칙 상세 정보를 보려면 자동화된 IOC 보강 작업 링크를 선택합니다.
    4. 다음 트리거에 대한 플로우 디자이너 작업을 봅니다. 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. 옵저버블이 IPv4 또는 IPv6 주소이고 허용된 CIDR 범위 내에 속하는 경우 다음을 수행합니다.
      1. 허용 목록에 옵저버블을 추가합니다.
      2. 옵저버블 태그를 Skip Enrichment(보강 건너뛰기)로 업데이트합니다.
      3. 이 옵저버블에 대한 플로우를 종료합니다.
    6. 그렇지 않으면 사용 가능한 기능으로 옵저버블 데이터를 보강합니다.
      1. 위협 조회 및 사이팅 검색을 수행하여 옵저버블에 대한 추가 정보를 수집합니다.
      2. 보강된 데이터로 옵저버블을 업데이트합니다.
      3. IOC가 처리되었음을 나타내기 위해 보강됨 태그를 추가합니다.
    7. 또한 옵저버블의 평판이 깨끗한 경우 다음을 수행합니다.
      1. 옵저버블을 긍정 오류 및 비활성화로 표시합니다.
    8. 그 외에는 옵저버블 평판을 알 수 없는 경우
      1. 잠재적 위협 아님 및 보강됨 태그를 추가하여 위협이 아님을 나타냅니다.
      TISC의 자동화된 IOC 보강.