자동 이벤트 생성 방법 구성

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 8분

에서 MISP이벤트를 자동으로 생성하도록 구성합니다ServiceNow AI Platform.

시작하기 전에

다음 항목 검토: MISP 사용자 역할 및 권한 양방향 기능을 사용하는 MISP 데 필요합니다.
필요한 역할: sn_si.admin, sn_ti.admin

프로시저

다음으로 이동 모두 > MISP 통합 > 자동 이벤트 작성 프로파일.
새로 만들기를 클릭합니다.

양식에서 필드를 채웁니다.

표 1. 이름 양식
필드	설명
이름	자동 이벤트 작성 프로파일의 이름입니다.
설명	프로파일에 대한 간략한 설명입니다. 이벤트 생성의 다음 단계에서 속성을 통해 더 자세한 설명이 공유됩니다.
순서	트리거 조건이 충족될 때 프로파일의 순서입니다. 기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로필을 만드는 경우 둘 이상의 프로필이 트리거 조건을 공유할 때 이 값은 런타임 실행 우선순위를 제공합니다. 가장 낮은 번호의 프로파일이 가장 높은 우선순위를 갖습니다.
소스	MISP 이벤트 생성의 소스입니다.
활성	프로파일이 활성인지 비활성인지를 나타내는 옵션입니다. 이 옵션은 프로파일이 꺼져 있음을 나타내기 위해 기본적으로 선택이 취소되어 있습니다. 이 프로파일은 모든 프로파일 구성 단계를 완료하고 마침을 클릭할 때까지 활성화되지 않습니다.

계속을 클릭합니다.

이벤트 트리거 조건 구성

조건이 충족될 때 이벤트를 MISP 자동으로 트리거할 수 있도록 이벤트 트리거 조건을 구성합니다.ServiceNow AI Platform

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

트리거 조건 양식에서 이벤트를 트리거할 수 있는 상세 정보를 입력합니다.

보안 인시던트 필드 또는 옵저버블 필드를 기반으로 하는 트리거 조건을 제공하여 복합 논리를 빌드할 수 있습니다. 옵저버블에 에 해당하는 이벤트가 없는 경우 에서 MISP 이벤트를 생성할 수도 있습니다.MISP 옵저버블에 MISP 상의 해당 이벤트가 없는 경우 보안 인시던트 필드를 기반으로 트리거, 옵저버블 필드를 기반으로 트리거 및 MISP 이벤트 작성의 세 가지 트리거 조건을 조합하여 복합 논리를 빌드하도록 선택할 수 있습니다. 여러 트리거를 선택하는 경우 AND 조건을 사용하여 결합할 수 있습니다. OR 조건을 사용해야 하는 경우 새 조건으로 프로파일을 만드는 것이 좋습니다.

표 2. 이벤트 트리거 조건 양식
필드	설명
보안 인시던트 필드를 기반으로 트리거	MISP 모든 보안 인시던트 트리거 조건이 충족되는 경우 만들 수 있는 이벤트입니다.
보안 인시던트 트리거 조건	조건 작성기의 목록과 필드를 사용하여 설정할 수 있는 첫 번째 행의 필터입니다. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 조건을 일치시킬 수 있습니다. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.
옵저버블 필드를 기반으로 트리거	MISP 모든 옵저버블 트리거 조건이 충족될 경우 생성할 수 있는 이벤트입니다.
옵저버블 트리거 조건	조건 작성기의 목록과 필드를 사용하여 설정할 수 있는 첫 번째 행의 필터입니다. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 조건을 일치시킬 수 있습니다. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.
옵저버블에 MISP 상의 해당 이벤트가 없는 경우 MISP 이벤트 작성	MISP옵저버블에 해당 이벤트가 없는 경우 생성할 수 있는 이벤트입니다.MISP

MISP에서 작성된 이벤트를 기반으로 조건을 구성합니다. — 그림 1. 이벤트 트리거 조건

계속을 클릭합니다.

이벤트 필드 매핑 MISP

이벤트가 생성될 때 MISP 보안 인시던트 정보를 사용할 수 있도록 이벤트 필드를 매핑 MISP 합니다.ServiceNow AI Platform

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

양식에서 필드를 채웁니다.

표 3. 기본 MISP 이벤트 필드 매핑 양식
필드	설명
이벤트 정보	에서 자동으로 작성되는 이벤트 정보입니다 ServiceNow AI Platform 보안 인시던트 응답. 이벤트 정보 필드는 ${SIR FIELD LABEL}$를 사용하여 대체 변수를 지원합니다. 이벤트를 생성하는 동안 이러한 변수는 실제 보안 인시던트 필드 값으로 대체됩니다. ${URL}$ 대체 변수가 보안 인시던트의 URL로 바뀝니다.
배포	이벤트가 게시된 후 이 이벤트를 볼 수 있는 사용자를 제어하는 옵션입니다. 이 옵션은 이벤트를 다른 서버와 동기화할지 여부도 제어합니다. 분포는 속성에 의해 상속되며 가장 제한적인 설정이 우선합니다. 배포 옵션은 다음과 같습니다. 내 조직만: 조직의 구성원만 이 이벤트를 볼 수 있습니다. 조직 구성원 중 한 명이 이벤트를 다른 인스턴스로 끌어올 수 있으며, 조직에서만 해당 이벤트에 액세스할 수 있습니다. 이 설정의 이벤트는 동기화되지 않습니다. 이 커뮤니티만: 사용자의 조직, 이 MISP 서버의 조직, 이 서버와 동기화되는 서버를 실행하는 MISP 조직 등 커뮤니티에 MISP 속한 사용자가 이벤트를 볼 수 있습니다. 연결된 서버에 연결하는 다른 조직은 이벤트 보기가 제한됩니다. 연결된 커뮤니티: 이 MISP 서버의 모든 조직, 이 서버와 동기화되는 서버의 MISP 모든 조직 및 두 홉 떨어진 서버에 연결하는 서버의 호스팅 조직을 포함하여 커뮤니티에 MISP 속한 사용자가 이벤트를 볼 수 있습니다. 연결된 서버에 연결되어 있고 2홉 떨어져 있는 다른 조직은 이벤트 보기가 제한됩니다. 모든 커뮤니티: 이벤트를 모든 MISP 커뮤니티와 공유합니다.
위협 수준	이벤트의 위험 수준을 나타내는 필드입니다. 인시던트를 세 가지 위협 범주(낮음, 중간, 높음)로 분류할 수 있습니다. 이 필드는 정의되지 않은 상태로 둘 수도 있습니다. 옵션은 다음과 같습니다. 낮음: 일반 대량 맬웨어 중간: 지능형 지속 위협(APT) 높음: 정교한 APT 및 0일 공격
분석 상태	이벤트 분석의 현재 스테이지로, 다음과 같은 가능한 옵션이 있습니다. 초기: 분석이 이제 막 시작됨 진행 중: 분석 진행 중 완료됨: 분석이 완료되었습니다.

다음 예는 MISP에서 이벤트를 작성하는 데 사용할 수 있는 양식을 보여줍니다.

그림 2. 기본 MISP 이벤트 필드 매핑

계속을 클릭합니다.

옵저버블을 이벤트에 MISP 대한 속성으로 매핑 또는 연결 SIR

속성 유형과 SIR 옵저버블은 다를 수 있으므로 MISP 옵저버블 유형을 속성 유형에 MISP 매핑 보안 인시던트 응답 합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

이 태스크 정보

MISP Integration for Security Operations 는 옵저버블을 이벤트에 속성으로 추가할 SIR 때 사용하는 기본 시스템 매핑을 MISP 제공합니다.

환경에 맞게 기본 시스템 매핑을 수정하도록 선택할 수 있습니다. 예를 들어 여러 SIR 옵저버블을 하나의 MISP 속성 유형에만 매핑할 수 있습니다. 매핑되지 않은 옵저버블 유형이 있으면 기본적으로 다른 MISP 속성 유형이 선택됩니다.

프로시저

추가 옵션 양식에서 옵저버블 및 MISP 속성 유형을 매핑합니다SIR.

다음 표에 설명된 대로 옵저버블 유형을 속성 유형에 MISP 매핑 보안 인시던트 응답 합니다.

표 4. SIR 옵저버블 및 MISP 속성 유형 매핑
필드	설명
연결된 모든 옵저버블을 속성으로 추가	보안 인시던트에서 사용 가능한 옵저버블을 이벤트에 속성으로 추가하기 위해 활성화하는 옵션입니다 MISP . 이 옵션은 옵저버블 유형에서 속성 유형 매핑 섹션으로의 매핑을 활성화합니다.
옵저버블 유형-속성 유형 매핑	옵저버블 유형을 속성 유형에 매핑 SIR 하는 옵션입니다.MISP 예를 들어 의 CVE 번호 SIR 를 의 취약성 속성 MISP에 매핑할 수 있습니다. 옵저버블 유형은 하나의 MISP 속성 유형에만 추가할 SIR 수 있습니다. 기본 시스템은 옵저버블 유형을 속성 유형에 매핑 SIR 합니다 MISP . 옵저버블 유형이 SIR 속성 유형에 MISP 매핑되지 않은 경우 옵저버블은 의 MISP다른 속성 유형에 매핑됩니다. 새 매핑을 추가하려면 옵저버블 유형 추가를 클릭하고 옵저버블 유형을 검색 SIR 한 다음 해당 MISP 속성 유형에 매핑합니다. 매핑 제거 아이콘 를 클릭합니다. AND MISP 속성 매핑 연결을 제거합니다SIR. 주: 속성 유형에 대한 MISP 자세한 내용은 MISP 설명서를 참조하십시오.
보안 태그를 기준으로 옵저버블 필터링	선택한 보안 태그를 기반으로 옵저버블을 필터링하는 옵션입니다. 보안 태그: 태그를 추가하여 옵저버블을 필터링합니다. 예를 들어 '공유 차단' 또는 'TLP: 흰색'이라는 태그를 추가하는 경우 옵저버블 중 하나에 이러한 태그가 연결되어 있으면 이러한 옵저버블은 MISP 이벤트 작성 중에 MISP 이벤트에 속성으로 추가되지 않습니다.
옵저버블 찾기가 악성일 때 속성 IDS 플래그 설정	옵저버블이 에서 악성 SIR으로 표시된 경우 의 해당 속성 MISP 에 IDS 플래그가 활성화되어 있음을 알려주는 옵션입니다. IDS 플래그가 설정되지 않은 경우 속성은 상황별 정보로 간주되며 자동 침입 탐지에 사용되지 않습니다.

다음 예시에서는 추가 옵션 페이지를 탐색하는 방법을 보여줍니다. 이 페이지에서 SIR 옵저버블 및 MISP 속성 유형 매핑을 사용하도록 설정하고, IPV6 네트워크 및 IPV4 네트워크와 같은 새 SIR 옵저버블 유형을 추가하여 속성 유형 도메인 IP 주소에 MISP 매핑할 수 있습니다.

그림 3. 옵저버블 및 MISP 속성 유형 매핑 SIR

이벤트에 MISP 정보 동기화 MITRE-ATT&CK

더 나은 보안 인시던트 및 위협 분석을 위해 정보를 속성과 MISP 동기화 MITRE-ATT&CK 합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

추가 옵션 양식에서 정보를 속성과 동기화하는 MITRE-ATT&CK 옵션을 검토합니다 MISP .

표 5. 고급 옵션 양식
필드	설명
보안 인시던트 MITRE-ATT&CK™ 기술을 로컬 갤럭시를 이벤트에 MISP 동기화	보안 인시던 MITRE-ATT&CK™ 트 기술을 이벤트의 로컬 갤럭시로 동기화 ServiceNow AI Platform SIR 하는 옵션입니다.MISP 주: 로컬 갤럭시를 추가하려면 통합을 구성한 사용자가 해당 MISP 서버의 호스트 조직에 속해야 합니다.
보안 인시던트 MITRE-ATT&CK™ 기술을 전역 갤럭시로 이벤트에 MISP 동기화	이벤트에서 보안 인시던 MITRE-ATT&CK™ 트 기술을 글로벌 갤럭시로 동기화 ServiceNow AI Platform SIR 하는 옵션입니다.MISP

결과

에서 이벤트를 MISP 자동으로 생성할 수 있는 프로파일을 만들었습니다.ServiceNow AI Platform 이제 연결된 MISP 이벤트 관련 목록에서 이벤트를 볼 수 있습니다.

이벤트에 MISP 태그 추가

작성된 MISP 이벤트에 MISP 태그를 추가합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

추가 옵션 양식에서 MISP 태그 선택 으로 이동하여 양식 뷰의 이벤트 섹션에 추가합니다.

생성된 이벤트에 태그를 추가하는 옵션을 검토합니다.

표 6. 고급 옵션 양식
필드	설명
작성된 MISP 이벤트에 태그 추가	ServiceNow에서 작성된 이벤트에 MISP 태그를 자동으로 추가할 수 있는 옵션입니다.
태그(로컬)	선택한 태그가 MISP 이벤트에 로컬 태그로 추가됩니다.
태그(전역)	선택한 태그가 MISP 이벤트에 전역 태그로 추가됩니다.

저장을 클릭합니다.

결과

MISP 태그를 추가하면 이벤트를 분류하는 데 도움이 됩니다.