(MISP) API 피드를 Malware Information Sharing Platform 사용하면 연결된 속성 및 객체와 함께 서버의 MISP 이벤트를 라이브러리로 임포트할 수 있습니다TISC.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
-
다음으로 이동 .
-
사용자 지정을 선택합니다.
주: 기본적으로 MISP 피드는 비활성 상태입니다. 피드를 사용하려면 구성을 편집해야 합니다.
와
-
MISP 피드 카드에서 편집 버튼을 선택합니다.
-
구성 상세 정보 섹션으로 이동합니다.
-
REST 엔드포인트 URL 필드를 업데이트합니다.
-
서버에 필요한 인증 세부 정보(있는 경우)를 MISP 추가합니다.
-
추가 설정으로 이동하여 데이터를 MISP가져올 필터를 구성합니다.
추가 설정 탭은 수집되는 이벤트를 결정 MISP 하는 필터를 설정하는 데 사용됩니다.
-
설정 편집을 선택합니다.
-
필요한 필터를 선택합니다.
주: 구성된 모든 필터는 이벤트를 수집하는 동안 함께 적용됩니다.
다음 섹션에서는 사용 가능한 각 옵션에 대해 설명합니다. 다음 테이블의 각 옵션을 검토하여 필터가 라이브러리에 수집되는 이벤트를 최적화
MISP 하는 방법을 이해합니다.
TISC -
다음과 같은 사용 가능한 필터에서 필요한 값을 선택합니다.
표 1. 추가 설정 편집
| 필드 |
설명 |
| 이벤트에 대한 필터 |
| 게시되지 않은 이벤트 포함 |
게시되지 않은 이벤트를 포함하려면 이 확인란을 선택합니다. |
| 작성자 조직 이름 또는 ID |
이벤트와 관련된 조직 이름 및/또는 ID의 쉼표로 구분된 목록을 입력합니다.주: 조직 이름에 선행 또는 후행 공백이 포함되어 있으면 이름을 큰따옴표로 묶어 적절한 처리를 확인합니다. |
| 태그 이름 또는 ID |
이벤트와 연결된 태그 이름 및/또는 태그 ID의 목록을 쉼표로 구분하여 입력합니다. |
| 위협 수준 |
수신 이벤트를 필터링할 위협 수준을 선택합니다. 이 필드를 비워두면 모든 위협 수준의 이벤트가 포함됩니다. |
| 배포 수준 |
이벤트를 제한하려면 배포 수준을 선택합니다. 이 필드를 비워두면 모든 배포 수준의 이벤트가 포함됩니다. |
주:
앞의 지침에 따라 추가 설정을 정의한 후에는 다른 피드를 만들 때 피드를 복제할 수 있습니다. 자세한 내용은 13단계를 참조하십시오.
-
추가 설정 대화 상자에서 업데이트를 선택하여 수정된 추가 설정을 저장합니다.
-
피드에 MISP 이벤트를 포함하려면 사용을 선택합니다.MISP
애플리케이션은 TISC 데이터를 가져오는 위치 필드에 구성된 날짜를 이벤트 및 관련 속성을 검색하기 위한 기준선으로 사용합니다.
데이터 가져오기 시작 날짜에 따라 검색되는 이벤트 및 관련 속성이 결정됩니다. TISC 이벤트 상태에 따라 이 날짜를 특정 타임스탬프와 비교합니다.
- 게시된 이벤트: 게시된 타임스탬프와 비교합니다.
- 게시되지 않은 이벤트: 마지막으로 업데이트된 타임스탬프와 비교합니다.
관련 타임스탬프가 구성된 데이터 가져오기 시작 날짜보다 나중인 경우에만 이벤트가 검색됩니다.
각 이벤트 상태에 적절한 타임스탬프를 사용하면 새로 게시된 이벤트와 최근에 업데이트된 게시되지 않은 이벤트 모두의 정확한 검색을 확인할 수 있습니다.
- 옵션:
피드를 복제하려면 복제 를 선택합니다.
자세한 내용은
중복 위협 인텔리전스 피드 문서를 참조하십시오.
주:
- 위협 보고서 또는 위협 이벤트로 라이브러리로 TISC 가져온 각 MISP 이벤트에는 연관된 외부 참조 기록이 포함됩니다.
- 이 기록은 관련 기록 탭을 통해 액세스할 수 있으며 서버의 해당 MISP 이벤트에 대한 직접 URL 링크를 제공합니다.MISP 또한 원본 이벤트 데이터에 빠르게 액세스할 수 있습니다.
- 이벤트와 연관된 속성 및 개체가 엔터티에 TISC 매핑되는 방법에 MISP 대한 자세한 내용은 KB2197697 문서를 참조하십시오.
- KB 문서에 설명된 매핑에 포함되지 않은 엔터티 유형은 라이브러리에 TISC 수집되지 않습니다.