조사 캔버스 작업
조사 캔버스는 TI(위협 인텔리전스) 분석가에게 보다 귀중한 정보를 제공하는 중요한 핵심 기능입니다. 일대일 또는 일대다 관계를 매핑하고 옵저버블, 침해지표(IOC) 또는 엔터티와 관련된 정보를 시각화하여 구조화된 프레임워크를 제공합니다.
위협 분석가는 조사 캔버스를 사용하여 다음을 효과적으로 수행할 수 있습니다.
- 관계 매핑: 옵저버블, IOC(침해 표시기), 위협 행위자, 공격 패턴, 영향을 받는 자산 등과 같은 다양한 엔터티 간의 노드 연결을 시각화합니다. 조사 캔버스의 각 객체는 객체 유형, 노드 유형 및 상태와 함께 특정 색상으로 표시됩니다. 상태는 옵저버블 및 기타 객체 유형에 대해 의심스러움, 낮음 또는 중요 와 같은 객체의 평판을 반영합니다. 지표는 분석의 우선순위를 지정하는 데 도움이 되도록 관련 위협 심각도와 함께 표시됩니다.
- 케이스 또는 캔버스 연결: 케이스 또는 캔버스를 연결하여 분석을 개선하고 케이스 관리 내에서 위협 환경에 대한 보다 포괄적인 뷰를 제공합니다.
- 링크 기능을 사용하면 분석가가 노드를 동적으로 추가하거나 제거할 수 있습니다. 이렇게 하면 노드 간의 기존 관계도 캔버스에 채워집니다.
- 조사 캔버스의 컨텍스트 내에서 관계를 별도로 저장하여 임시 관계 그래프를 만듭니다.
- MITRE 기술 연결: 캔버스에서 직접 노드와 MITRE 기술을 연결하거나 제거하고 MITRE 킬 체인 카드에 대한 분석을 제공합니다.
조사 캔버스의 엔트리포인트
- 첫 번째 진입점: 새 빈 캔버스: 이 진입점을 통해 분석가는 노드나 링크 없이 새롭고 빈 캔버스를 열 수 있습니다.
- 두 번째 진입점: 케이스 조사에서 캔버스 열기:
- 이 엔트리포인트는 기존 조사 케이스를 열고 캔버스를 편집, 수정, 이름 변경할 수 있도록 합니다.
- 기존 아티팩트가 노드로 있는 새 캔버스입니다.