자동 IOC 보강

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • IOC가 특정 기준과 일치할 때 플로우를 사용하여 IOC의 보강을 자동화하는 방법을 알아봅니다.

    시작하기 전에

    필요한 역할:
    • 시스템 관리자(보기, 생성 또는 편집)
    • sn_sec_tisc.admin(보기)

    이 태스크 정보

    다음과 같은 경우에만 IOC 트리거 보강을 자동화합니다.
    • 옵저버블의 유형은 도메인 이름, IPv4 주소 또는 IPv6 주소입니다.
    • 옵저버블이 처리된 상태입니다.
    • 옵저버블에 보강됨 또는 보강 건너뛰기 태그가 없습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 관리.
    2. 선택 자동화된 플로우.
    3. 자동 IOC 보강 작업 링크를 선택하여 플로우 디자이너에서 해당 규칙 상세 정보를 봅니다.
    4. 다음 트리거에 대한 플로우 디자이너 작업을 봅니다. 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. 옵저버블이 IPv4 또는 IPv6 주소이고 허용되는 CIDR 범위 내에 속하는 경우 다음을 수행합니다.
      1. 허용 목록에 옵저버블을 추가합니다.
      2. 옵저버블 태그를 보강 건너뛰기로 업데이트합니다.
      3. 이 옵저버블에 대한 플로우를 종료합니다.
    6. 그렇지 않으면 다음과 같은 사용 가능한 역량을 사용하여 옵저버블 데이터를 보강합니다.
      1. 위협 조회 및 사이팅 검색을 수행하여 옵저버블에 대한 추가 정보를 수집합니다.
      2. 보강된 데이터로 옵저버블을 업데이트합니다.
      3. 태그 추가 IOC가 처리되었음을 나타내기 위해 보강됨 .
    7. 또한 옵저버블의 평판이 깨끗하면 다음을 수행합니다.
      1. 옵저버블을 긍정 오류로 표시하고 비활성화합니다.
    8. 그 외(옵저버블 평판을 알 수 없는 경우)
      1. 잠재적 위협이 아님 및 보강됨 태그를 추가하여 위협이 아님을 나타냅니다.
      TISC의 자동화된 IOC 보강.