새 위협 인텔리전스 피드 구성
새 위협 인텔리전스 피드를 구성합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
새 위협 인텔리전스 피드를 구성하려면 다음 절차를 따르십시오.
프로시저
- 다음으로 이동 모두 > 작업 공간 > 위협 인텔리전스 보안 센터.
- 통합 아이콘을 클릭합니다.
- 선택 위협 인텔리전스 피드 > 모든 피드.
-
새 소스 구성을 클릭합니다.
다양한 피드 유형이 표시됩니다.
- 각 피드 유형을 선택합니다.
-
양식에서 필드를 채웁니다.
표 1. 새 소스 구성 필드 설명 이름 피드의 이름을 입력합니다. 설명 피드에 대한 설명입니다. 피드 유형 피드 유형입니다. 예: MISP 기본적으로 이 값은 카탈로그에서 선택한 피드 유형에 따라 표시됩니다.
로고 소스 피드의 로고를 첨부합니다. 주:크기는 72px/72px여야 합니다.산업 항공 우주, 농업 등 사료를 적용할 수 있는 산업 범주를 선택합니다. 소스 유형 사용 가능한 소스 유형 목록에서 소스 유형을 선택합니다. 사용 가능한 소스 목록은 다음과 같습니다. - 정부
- ISAC
- 오픈 소스
- 프리미엄 소스
- 기타 소스
- 선택을 클릭합니다.
-
구성 섹션의 필드에 적절한 정보를 입력합니다.
표 2. 구성 필드 설명 만료 기간(일) 피드의 만료 기간을 일 단위로 입력합니다. 예를 들어 180일입니다. 주:소스에서 수집된 데이터는 수집 후 180일 후에 만료됩니다.REST 메시지 사용 에서 ServiceNow AI Platform제공하는 REST 메시지/REST 메서드 기능을 사용해야 하는 경우 REST 메시지 사용 확인란을 선택합니다. 이 확인란을 선택하지 않으면 애플리케이션은 REST 엔드포인트 URL 에 제공된 엔드포인트를 사용하여 피드에서 데이터를 가져옵니다. 자세한 내용은 설명서에서 ServiceNow AI Platform아웃바운드 REST 웹 서비스를 참조하세요.
주:REST 메시지를 선택하면 REST 메시지 및 REST 메서드 필드가 필수입니다.REST 메시지 인스턴스에 이미 구성된 REST 메시지 기록 목록에서 REST 메시지 기록을 선택합니다. 자세한 내용은 설명서에서 ServiceNow AI Platform아웃바운드 REST 웹 서비스를 참조하십시오. 주:특정 헤더를 확인해야 할 때 이 값을 선택하고 REST 메시지 옵션을 사용하여 REST 관련 기록을 정의합니다.REST 메서드 선택한 REST 메시지에 대해 구성된 사용 가능한 REST 메서드 목록에서 REST 메서드를 선택합니다. 자세한 내용은 설명서에서 ServiceNow AI Platform아웃바운드 REST 웹 서비스를 참조하십시오. 신뢰도 이 특정 피드를 통해 수집되는 해당하는 모든 기록에 대한 신뢰도를 설정합니다. 주:이 소스에 대한 신뢰도를 0-100 사이로 설정합니다.데이터 구문 분석 메커니즘 적절한 데이터 구문 분석 메커니즘 옵션을 선택합니다. 사용 가능한 옵션은 다음과 같습니다. - 자동 IoC 추출: 이 옵션은 텍스트, CSV 또는 JSON 피드를 구성할 때 기본적으로 선택됩니다.
- 사용자 지정 필드 매핑: 피드 데이터의 특정 필드를 옵저버블 속성에 매핑하는 방법을 정의하려면 이 옵션을 선택합니다.
선택한 후에는 필드 매핑 섹션에서 매핑을 구성할 수 있습니다. 사용자 지정 필드 매핑에 대한 자세한 내용은 다음 문서를 참조하십시오 사용자 지정 필드 매핑 구성.
주:데이터 구문 분석 메커니즘 옵션은 피드 보고서 프로세서 가SimpleFeedDatasourceResponseProcessor로 설정된 텍스트, CSV 및 JSON 피드에만 사용할 수 있습니다.REST 엔드포인트 URL 위협 인텔리전스 피드에서 데이터를 호스팅하는 REST 엔드포인트 URL을 입력합니다. 주:MISP 피드 유형의 경우/manifest.json로 끝나는 REST 엔드포인트 URL이 지원됩니다.인증 필요 새 위협 인텔리전스 피드에 인증이 필요한 경우 이 확인란을 선택합니다. 주:이는 REST 엔드포인트 URL을 사용하여 데이터를 검색하는 경우에만 적용할 수 있습니다.인증 유형 소스 피드에 대한 인증 유형입니다. 다음은 사용자에 대해 기본 시스템 내에서 구성되고 프로비저닝되는 인증 유형입니다. - API ID / API 키
- API ID / API 비밀
- API 키
- API 키 / API 비밀
- API 사용자 이름 / API 암호 / API 키
- 기본 인증
요청과 함께 전달할 헤더 요청과 함께 전달될 모든 헤더는 요청 헤더 매핑에서 제공될 수 있습니다. - 헤더는 콜론(":")으로 구분된 키-값 쌍으로 제공되어야 합니다.
- 각 헤더 키 값 쌍은 새 줄에 제공되어야 합니다.
- 인증 매개변수를 헤더 값으로 제공하려면 필수 인증 레이블을 "${" 및 "}$"로 묶습니다. 예: x-api-key:${API Key}$.
고급 사용자 지정 통합 스크립트와 보고서 프로세서 스크립트를 정의하려면 이 확인란을 선택합니다. 주:이 확인란을 선택하면 사용자 지정 스크립트를 선택할 수 있는 통합 스크립트 및 보고서 프로세서 필드가 표시됩니다.통합 스크립트 통합 스크립트는 피드에 구성된 인증 매개변수와 헤더를 사용하여 REST 엔드포인트 URL에 대한 호출을 호출한 다음 스크립트는 특정 피드에서 사용할 수 있는 데이터를 가져옵니다. 기본 시스템 내에서 사용 가능한 사용자 지정 스크립트 포함은 다음과 같으며, 이는 통합 스크립트에 대한 애플리케이션 내에서 프로비저닝됩니다.- MITRESourceIntegration: MITRE 피드에서 데이터를 가져오는 데 사용됩니다.
- RSSFeedDatasourceIntegration: RSS 피드에서 데이터를 가져오는 데 사용됩니다.
- SimpleFeedDatasourceIntegration: 인증 또는 기본 인증 없이 단순 피드에서 데이터를 가져오는 데 사용됩니다.
- SimpleMISPFeedDatasourceIntegration: 호스팅된 MISP 피드에서 데이터를 가져오는 데 사용됩니다.
기본 통합 스크립트는 선택한 피드 유형을 기반으로 합니다. 예를 들어 데이터를 처리하고 가져올 표준 형식인 MISP 피드 유형을 선택하면 통합 스크립트는 SimpleMISPFeedDatasourceIntegration입니다.
주:사용자 지정 통합 스크립트의 경우 FeedDatasourceIntegrationBase 를 확장하여 스크립트 포함을 생성하고 필요한 메서드를 재정의할 수 있습니다.
보고서 프로세서 보고서 프로세서 스크립트는 통합 스크립트를 사용하여 피드에서 가져온 데이터를 처리합니다.
기본 시스템에는 보고서 프로세서 스크립트를 지원하기 위해 애플리케이션 내에서 프로비저닝되는 다음과 같은 사용자 지정 스크립트가 포함됩니다.- AtomFeedDatasourceResponseProcessor: Atom 형식의 RSS 피드를 처리하는 데 사용됩니다.
- MITRECollectionDataProcessor: MITRE 피드를 처리하는 데 사용됩니다.
- RSSFeedDatasourceResponseProcessor: RSS 피드를 처리하는 데 사용됩니다.
- SimpleDataplaneFeedResponseProcessor: 데이터플레인 피드를 처리하는 데 사용됩니다.
- SimpleFeedDatasourceResponseProcessor: 옵저버블의 정규 표현식 추출을 사용하여 단순 피드를 처리하는 데 사용됩니다.
- SimpleFeodotrackerFeedResponseProcessor: Feodotracker 피드를 처리하는 데 사용됩니다.
- SimpleMISPFeedDatasourceResponseProcessor: 호스팅된 MISP 피드를 처리하는 데 사용됩니다.
- TAXIIV2CollectionDataProcessor: TAXII 컬렉션 데이터 처리에 사용됩니다.
MISP 피드에 대한 기본 보고서 프로세서는
SimpleMISPFeedDatasourceResponseProcessor입니다. 이 프로세서는 응용 프로그램에 의해 미리 구성되어 있으며 수정하거나 교체할 수 없습니다. -
스케줄링 섹션의 필드에 적절히 입력합니다.
표 3. 예약 필드 설명 실행 레코드를 수집할 빈도를 설정합니다. 피드는 예약 작업 간격에 따라 실행되고 실행됩니다. 사용 가능한 작업 간격은 다음과 같습니다. - 매일
- 주별
- 월별
- 주기적으로
- 한 번
- 요청 시
- 비즈니스 달력: 입력 시작
- 비즈니스 달력: 입력 종료
주:자세한 내용은 예약된 작업 및 선택한 스크립트를 자동으로 실행하는 방법을 참조하십시오.기본적으로 빈도는 요청 시로 설정됩니다.데이터를 가져오는 위치 데이터를 가져와야 하는 시작 날짜입니다. 이 필드는 해당 소스에서 데이터를 수집해야 하는 시간으로 설정해야 합니다. 이 필드가 설정되면 다음 수집 실행은 구성된 시간에서 데이터를 가져오고 연속 수집 실행은 증분 데이터를 가져옵니다. 예를 들어 소스는 매시간 데이터를 수집하도록 예약되어 있습니다. 사용자는 1월 12일 오전 9:30에 1월 12일 오전 6:00까지 데이터 가져오기 를 설정하고, 1월 12일 오전 10:00에 트리거되는 수집 트리거는 1월 12일 오전 6:00부터 1월 12일 오전 10:00까지 데이터를 가져옵니다. 오전 11:00에 트리거되는 다음 수집은 1월 12일 오전 10:00부터 1월 12일 오전 11:00까지 증분 데이터만 가져옵니다.
주:즉, 예약된 실행이 지정된 날짜부터 증분 방식으로 데이터를 가져옵니다.중요사항:또한 텍스트, CSV 및 JSON 피드에는 적용되지 않습니다.표 4. 태그 필드 설명 태그 선택 태그를 사용하여 이 소스에서 시스템으로 수집된 기록에 주석을 달거나 이어마크합니다. 검색 창에 태그 이름을 입력하여 애플리케이션에서 사용 가능한 태그를 선택하거나, 새 태그 이름을 입력하고 추가를 클릭하여 소스에 할당합니다. -
저장 작업을 클릭하여 피드를 저장하고 생성합니다.
제공된 상세 정보가 확인되고 기본적으로 피드 상태는 사용 안 함입니다.
- 옵션:
피드 구성을 초안으로만 저장하려면 초안으로 저장 작업을 클릭합니다.
피드가 초안 상태로 저장되면 사용자가 피드를 활성화할 수 없습니다. 구성 상세 정보가 확실하지 않은 경우 초안으로 저장 옵션을 사용할 수 있습니다. 구성 상세 정보를 얻은 후 초안 버전에 나머지 정보를 채우고 생성할 수 있습니다.
-
기록을 활성화하려면 활성화를 클릭하십시오.
위협 인텔리전스 피드 기록이 활성화되면 기록을 실행하여 통합을 실행할 수 있습니다.주:
- 위협 인텔리전스 피드 기록에 레이블이 지정되고 활성화됨으로 표시됩니다. 마찬가지로 비활성화 버튼을 클릭하여 위협 인텔리전스 피드를 비활성화할 수 있습니다.
- 카탈로그 또는 위협 인텔리전스 피드 페이지에서 필요한 피드 타일의 작업 메뉴를 사용하여 특정 피드를 활성화, 비활성화 또는 삭제할 수도 있습니다.
- 삭제를 클릭하여 위협 인텔리전스 피드 기록을 삭제합니다.
-
통합 실행 섹션을 선택하여 실행 상세 정보를 확인합니다.
주:위의 위협 인텔리전스 피드 구성 절차는 STIX TAXII를 제외한 다른 모든 위협 인텔리전스 피드 유형에 대해 동일합니다. STIX TAXII가 구성되는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 새 TAXII 피드 구성.