웹후크 트리거
웹후크 트리거는 생성, 업데이트 및 삭제와 같은 이벤트 변경 사항을 추적해야 하는 위협 인텔리전스 엔터티를 필터링하는 데 사용됩니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
- 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 관리.
-
선택 웹후크 구성 > 트리거.
웹후크 트리거 페이지가 표시됩니다.
-
새로 만들기를 클릭합니다.
필드 설명 이름 웹후크 트리거 이름을 입력합니다. 설명 웹후크 트리거에 대한 설명을 추가합니다. 테이블 웹후크 트리거에 대한 테이블을 선택합니다. 트리거 유형 구성된 웹후크 트리거가 지정된 테이블에서 이벤트를 작성/업데이트/삭제하는지 여부를 정의합니다. 트리거 필드: 트리거 유형: 업데이트를 선택하면 표시됩니다.
업데이트 이벤트를 추적해야 하는 기록의 필드 목록입니다. 이 필드가 비어 있으면 기록의 모든 필드 변경에 대해 이벤트가 고려됩니다. 예를 들어 트리거 필드가 옵저버블 테이블에 대한 신뢰도 및 평판인 경우 이 트리거는 신뢰도 또는 평판 필드가 업데이트될 때만 고려됩니다.주:제외 필드에서 선택한 필드는 트리거 필드 선택에서 사용할 수 없습니다.삭제: 트리거 유형: 삭제 인 경우 제외 필드가 표시되지 않습니다.
제외 필드 웹후크 트리거 페이로드에서 제외되는 필드 세트입니다. 필터 조건 이벤트 트리거에 대한 일치 기록을 필터링하는 데 적용할 수 있는 선택적 조건입니다. 예를 들어 위협 심각도가 높고 트리거 유형이 옵저버블 테이블에서 업데이트로 정의되면 변경되고 위협 심각성이 높은 옵저버블만 웹후크 URL로 전송됩니다. -
저장을 클릭합니다.
기본적으로 트리거는 비활성화된 상태로 생성됩니다.
-
활성화를 클릭하여 트리거를 활성화하면 이 트리거를 웹후크가 구독할 수 있게 됩니다.
주:활성화된 트리거를 비활성화하려면 비활성화 를 클릭하고, 비활성화하면 이 트리거에서 연결된 모든 웹후크가 구독 취소됩니다.
-
샘플 페이로드 보기를 클릭하여 기록을 선택합니다.
해당 특정 웹후크 트리거의 샘플 페이로드를 봅니다. 선택한 테이블에 따라 지정된 테이블의 해당 기록이 기록 선택 드롭다운 목록에 채워집니다. 샘플 페이로드를 보려면 기록을 선택합니다. 샘플 페이로드는 JSON 형식으로 표시됩니다. 페이로드의 필드는 다음과 같습니다.
-
드롭다운 목록에서 기록 유형을 선택합니다.
선택한 기록에 따라 페이로드가 자동으로 변경됩니다.
{ "record": "Observable", "record_fields": { "additional_context": "This could be a potential malicious IP. ", "attack_phases": "Lockheed Martin: Command and Control", "author": "Anomali", "confidence": "50", "description": "This could be a potential malicious IP. ", "expiration_time": "2024-12-01T00:00:00.000Z", "first_observed": "2024-01-01T00:00:00.000Z", "first_seen": "2024-01-01T00:00:00.000Z", "id": "ipv4-addr--70526b0a436a02102164e0ea78b8f210", "is_defanged": "false", "is_false_positive": "false", "last_observed": "2024-01-01T00:00:00.000Z", "last_seen": "2024-01-01T00:00:00.000Z", "reputation": "suspicious", "source_count": "1", "status": "active", "sys_created_by": "SecCommon.System", "sys_created_on": "2024-06-04T00:00:00.000Z", "sys_id": "30526b0a436a02102164e0ea78b8f210", "sys_updated_by": "system", "sys_updated_on": "2024-06-15T00:00:00.000Z", "tags": "critical", "taxonomies": "MITRE: T121", "threat_level": "medium", "threat_score": "24", "threat_severity": "medium", "tlp": "CLEAR", "type": "ip_v4_address", "usage_categories": "APT", "value": "116.98.170.70" }, "trigger": { "name": "Observable Update", "type": "UPDATE", "trigger_time": "2024-07-26T07:27:29.000Z", "trigger_fields": [ { "field_name": "confidence", "previous_value": "30", "current_value": "50" } ] } }표 1. 트리거 페이로드의 매개변수 목록 트리거 페이로드의 매개변수 유형 설명 기록 문자열 옵저버블 또는 표시기와 같은 기록 유형을 지정합니다. record_fields 객체 이벤트가 생성될 때 기록 필드 스냅샷을 지정합니다. 지원되는 필드 목록은 아래 섹션의 테이블을 참조하십시오. 트리거 객체 일치하는 트리거 정보를 지정합니다. trigger.name 문자열 트리거의 이름을 지정합니다. trigger.type 문자열 트리거의 유형을 지정합니다. 유효한 값은 CREATE, UPDATE, DELETE입니다. trigger.trigger_time 날짜(UTC 시간대의 ISO 형식) 기록에서 이벤트가 발생한 시간을 지정합니다. trigger_fields 객체 배열 UPDATE 트리거 유형에만 사용할 수 있습니다. 발생한 이벤트의 일부로 변경된 트리거 필드 목록을 지정합니다. trigger_fields 내부의 매개변수는 다음과 같습니다. - field_name: 변경된 필드 이름 제공
- previous_value: 필드의 이전 값을 제공합니다.
- current_value: 필드의 현재 값을 제공합니다.
표 2. 트리거 생성 및 업데이트에 대해 지원되는 필드 목록 테이블 열 이름 열 레이블 캠페인 별칭 별칭 캠페인 설명 설명 캠페인 first_seen 처음으로 발견됨 캠페인 last_seen 마지막으로 발견됨 캠페인 이름 이름 캠페인 목표 목표 표시기 additional_context 추가 컨텍스트 표시기 attack_phases 공격 단계 표시기 저자 작성자 표시기 신뢰도 신뢰도 표시기 설명 설명 표시기 expiration_time 만료 시간 표시기 first_detected 처음 탐지됨 표시기 first_observed 처음으로 관찰됨 표시기 first_seen 처음으로 발견됨 표시기 ID ID 표시기 indicator_types 표시기 유형 표시기 ioc_classification IOC 분류 표시기 last_observed 마지막으로 관찰됨 표시기 last_seen 마지막으로 발견됨 표시기 이름 이름 표시기 pattern 패턴 표시기 pattern_type 패턴 유형 표시기 pattern_version 패턴 버전 표시기 플랫폼 플랫폼 표시기 해지됨 해지함 표시기 source_count 소스 수 표시기 spec_version 사양 버전 표시기 상태 상태 표시기 태그 TISC 태그 표시기 분류 분류 표시기 threat_level 위협 수준 표시기 threat_severity 위협 심각성 표시기 TLP TLP 표시기 usage_categories 사용 범주 표시기 valid_from 유효 기간(시작) 표시기 valid_until 유효 기간 맬웨어 별칭 별칭 맬웨어 attack_phases 공격 단계 맬웨어 설명 설명 맬웨어 executable_process_architectures 프로세스 아키텍처 맬웨어 first_seen 처음으로 발견됨 맬웨어 implementation_languages 구현 언어 맬웨어 is_family 제품군임 맬웨어 last_seen 마지막으로 발견됨 맬웨어 malware_capabilities 맬웨어 역량 맬웨어 malware_types 맬웨어 유형 맬웨어 이름 이름 객체(공통 객체 필드) additional_context 추가 컨텍스트 객체(공통 객체 필드) 신뢰도 신뢰도 객체(공통 객체 필드) expiration_time 만료 시간 객체(공통 객체 필드) ID ID 객체(공통 객체 필드) 해지됨 해지함 객체(공통 객체 필드) source_count 소스 수 객체(공통 객체 필드) spec_version 사양 버전 객체(공통 객체 필드) 상태 상태 객체(공통 객체 필드) 태그 TISC 태그 객체(공통 객체 필드) 분류 분류 객체(공통 객체 필드) threat_level 위협 수준 객체(공통 객체 필드) threat_severity 위협 심각성 객체(공통 객체 필드) TLP TLP 옵저버블 additional_context 추가 컨텍스트 옵저버블 attack_phases 공격 단계 옵저버블 저자 작성자 옵저버블 신뢰도 신뢰도 옵저버블 설명 설명 옵저버블 expiration_time 만료 시간 옵저버블 first_observed 처음으로 관찰됨 옵저버블 first_seen 처음으로 발견됨 옵저버블 ID ID 옵저버블 is_defanged 제거됨 여부 옵저버블 is_false_positive 긍정 오류 여부 옵저버블 last_observed 마지막으로 관찰됨 옵저버블 last_seen 마지막으로 발견됨 옵저버블 평판 평판 옵저버블 source_count 소스 수 옵저버블 상태 상태 옵저버블 태그 TISC 태그 옵저버블 분류 분류 옵저버블 threat_level 위협 수준 옵저버블 threat_score 위협 점수 옵저버블 threat_severity 위협 심각성 옵저버블 TLP TLP 옵저버블 유형 유형 옵저버블 usage_categories 사용 범주 옵저버블 값 값 위협 액터 별칭 별칭 위협 액터 설명 설명 위협 액터 first_seen 처음으로 발견됨 위협 액터 목표 목표 위협 액터 last_seen 마지막으로 발견됨 위협 액터 이름 이름 위협 액터 personal_motivations 개인적인 동기 위협 액터 primary_motivation 기본 동기 위협 액터 resource_level 자원 수준 위협 액터 secondary_motivations 보조 동기 위협 액터 세련 전문성 위협 액터 threat_actor_roles 위협 액터 역할 위협 액터 threat_actor_types 위협 액터 유형 위협 보고서 설명 설명 위협 보고서 이름 이름 위협 보고서 게시됨 게시 날짜: 위협 보고서 report_types 보고서 유형 취약성 affected_software 영향을 받는 소프트웨어 취약성 설명 설명 취약성 exploitation_status 취약점 공격 상태 취약성 exploit_exists 악용 존재 취약성 이름 이름 취약성 게시됨 게시 날짜: 취약성 record_last_modified 마지막으로 수정된 기록 취약성 severity 심각도 다음은 모든 엔터티에 공통적으로 적용되는 적용 가능한 시스템 필드 목록이며, 이는 생성 및 업데이트 트리거에 대한 웹후크 트리거 페이로드에서 지원됩니다.- sys_id(시스템 ID)
- sys_created_on(생성됨)
- sys_created_by(작성자)
- sys_updated_on(업데이트됨)
- sys_updated_by(업데이트한 사람)
주:삭제의 경우 sys_id(시스템 ID)만 페이로드의 일부로 웹후크 엔드포인트 URL로 전송되며 다른 시스템 필드는 지원되지 않습니다.표 3. 트리거 삭제에 대해 지원되는 필드 목록 테이블 열 이름 열 레이블 옵저버블 유형 유형 옵저버블 값 값 표시기 이름 이름 표시기 pattern 패턴 표시기 pattern_type 패턴 유형 표시기 valid_from 유효 기간(시작) 캠페인 이름 이름 맬웨어 is_family 제품군임 맬웨어 이름 이름 위협 액터 이름 이름 위협 보고서 이름 이름 위협 보고서 게시됨 게시 날짜: 취약성 이름 이름 취약성 severity 심각도