필터링 규칙 정의

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 모든 유형의 데이터 또는 모든 종류의 수신 소스 기록 데이터를 필터링하려면 필터링 규칙을 생성합니다. 데이터 소스 관리자를 사용하여 STIX 데이터, RSS 피드와 같은 여러 피드가 구성되고 구성된 피드에서 데이터를 필터링하려면 특정 필터링 규칙을 정의해야 합니다.

    시작하기 전에

    필터링 규칙을 정의할 때 해당 규칙은 데이터 수집 및 데이터 임포트 중에 기록을 필터링하기 위해 규칙이 적용되는 소스 데이터 세트에만 적용됩니다.

    필요한 역할: sn_sec_tisc.admin

    이 태스크 정보

    필터링 규칙이 생성되고 소스 기록에 적용되어 추가 단계를 처리합니다. 기본 시스템은 수집된 옵저버블, 표시기 데이터 또는 엔터티/객체를 필터링하는 미리 정의된 규칙을 사용하여 사용자에게 샘플 필터링 규칙을 제공합니다.

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 관리.
    2. 까지 드릴다운 규칙 엔진 > 인바운드 필터링 규칙.
    3. 새로 만들기를 클릭하여 필터링 규칙을 정의합니다.
      새 인바운드 필터 규칙 생성 페이지가 표시됩니다.
    4. 양식의 필드에 내용을 입력합니다.
      표 1. 필터링 규칙 정의
      필드 설명
      이름 새 필터링 규칙의 이름입니다.
      설명 필터링 규칙에 대한 간단한 설명입니다.
      순서 필터링 규칙 우선 순위입니다. 이 필드는 둘 이상의 규칙이 트리거 조건을 공유할 때 필터링 규칙이 실행되는 순서를 나타냅니다. 가장 낮은 수의 필터링 규칙이 가장 높은 우선순위를 갖습니다.

      작업 순서를 설정하려면 값을 입력합니다. 예를 들어 100, 200, 300 등의 값을 입력합니다.

      기본 시스템 필터링 규칙의 기본값은 100입니다.
      데이터 소스 목록 조회에서 데이터 소스 유형을 선택합니다.
      테이블 필터를 적용할 테이블 유형을 선택합니다. 예를 들어 옵저버블 소스, 표시기 소스 및 객체 소스가 있습니다.
      필터 유형(선택한 테이블이 옵저버블 소스인 경우에만) 필터 유형에는 필터를 적용할 수 있는 두 가지 옵션이 있습니다.
      • 조건을 기준으로 필터링
      • 목록을 기준으로 필터링
      필터 유형(조건에 따른 필터) 조건 작성기의 필터 조건. 이러한 조건은 소스 테이블을 기반으로 합니다. 예를 들어 표시기 소스와 객체 소스에는 필터 유형(조건에 따른 필터)만 있습니다.

      조건을 더 추가하려면 AND 또는 OR을 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건을 일치시킬 수 있습니다. 두 번째 필터 조건을 설정하려면 새 조건 집합을 클릭합니다.
      필터 유형(목록을 기준으로 한 필터) 인바운드 옵저버블이 목록의 항목과 일치하는 경우 선택한 항목이 필터링됩니다.
      주:
      이러한 필터링 규칙은 인텔리전스 임포트를 사용하는 데이터 임포트에는 적용되지 않으며 사용 가능한 옵션은 허용 목록, 거부 목록 및 감시 목록입니다.
      수집된 데이터에 필터링 규칙이 활성화되면 다음 탭에서 결과를 다른 필터링된 기록으로 볼 수 있습니다.
      1. 필터링된 옵저버블 기록: 옵저버블 기록을 필터링하고 나열합니다.
      2. 필터링된 표시기 기록: 표시기 기록을 필터링하고 나열합니다.
      3. 필터링된 객체 기록: 객체 기록을 필터링하고 나열합니다.
      주:
      소스 기록에 추가된 태그를 기반으로 필터링 규칙을 적용하려면 필터 조건 작성기에서 TISC 태그 옵션을 선택합니다.