MISP에서 사이팅 검색

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 7분

    • 인스턴스의 옵저버블 MISP 에 대해 사이팅 검색을 수행하여 피싱 공격이나 악성 IP 또는 URL과의 통신과 같은 특정 유형의 공격이 네트워크에서 발생하는 빈도를 확인할 수 있습니다. 각 발생은 사이팅으로 간주됩니다.

    MISP의 사이팅

    사이팅은 표시기, 객체 또는 속성이 표시되었고 그 유효성이 확인되었음을 나타냅니다. 사이팅은 MISP 이벤트의 속성에 응답할 수 있는 시스템입니다. 사용자가 지정된 속성을 보았는지 쉽게 확인할 수 있는 방법을 제공하여 신뢰성을 높일 수 있도록 설계되었습니다. 속성은 여러 번 볼 수 있습니다.
    주:
    옵저버블은 MISP에서 속성이라고 합니다.

    일부 속성은 가양성으로 간주되며, 이는 유효한 사이팅이 아님을 의미합니다. 일주일 동안만 실행되는 피싱 캠페인과 같이 다른 속성은 특정 기간 동안만 유효합니다. 특정 기간 동안 유효한 속성에 만료 날짜를 할당할 수 있지만 각 조직은 속성에 유효한 만료 날짜를 하나만 할당할 수 있습니다.

    해당 MISP 서버에서 로컬로 표시된 조직의 사용자가 작성 MISP 한 사이팅을 내부 사이팅이라고 합니다. 해당 MISP 서버에서 원격으로 표시된 조직의 사용자가 생성 MISP 한 사이팅을 외부 사이팅이라고 합니다.

    SIR에서 사이팅 검색

    보안 운영 통합 - 사이팅 검색 워크플로우는 사이팅 검색을 실행합니다. 이 플로우는 옵저버블 목록을 수락하고, 구현 역량을 찾고, 사이팅 검색 구성을 기반으로 하는 쿼리를 만들고, 구성된 플로우를 기반으로 검색을 실행합니다.

    사이팅 검색은 분석가가 시간 경과에 따른 위협의 확산을 확인하는 데 도움이 됩니다. 보안 인시던트에서 검색할 개별 또는 여러 옵저버블 및 날짜 범위를 선택할 수 있습니다. 결과는 보안 인시던트 사이팅, 사이팅 검색 결과사이팅 검색 상세 정보 관련 목록에 포함됩니다.

    인시던트 분석을 시작할 때 사이팅 검색을 자동으로 수행하거나 옵저버블 사이팅 검색을 수동으로 수행하여 동일한 피싱 공격의 영향을 받는 조직의 다른 사용자를 식별하도록 설정할 ServiceNow AI Platform 수 있습니다.

    MISP에서 자동 사이팅 검색 활성화

    새 옵저버블이 보안 인시던트와 연결될 때마다 보안 운영 통합 - 사이팅 검색 워크플로우가 트리거되도록 사이팅 검색이 MISP 자동으로 실행되도록 합니다.

    시작하기 전에

    다음 확인 MISP에 대한 사이팅 검색 구성 프로파일 이(가) 활성 상태입니다.

    필요한 역할: sn_si.analyst

    이 태스크 정보

    다음을 활성화하는 경우 에서 자동으로 실행되는 사이팅 검색 역량 MISP 통합 구성, 사이팅 검색은 MISP 새 옵저버블이 보안 인시던트와 연결될 때 트리거됩니다. 기본적으로 새 옵저버블이 보안 인시던트와 연결된 경우 자동으로 사이팅 검색 실행 옵션이 활성화되어 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 사이팅 검색 데이터에서 MISP 보려는 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 새 옵저버블이 보안 인시던트와 연결되면 작업 메모를 검토합니다.
      보안 운영 통합 - 사이팅 검색 워크플로우가 트리거되면 작업 메모가 게시됩니다.

      다음 예는 작업 메모 섹션을 보여줍니다.

      작업 메모를 보고 사이팅 검색 워크플로우가 트리거되었는지 확인합니다.
    4. 워크플로우 실행이 완료된 후 모든 이벤트(전역)에서 볼 수 있고 내부 또는 외부 사이팅으로 분류된 옵저버블의 집계 정보를 봅니다.
      사이팅, 사이팅 검색 결과사이팅 검색 상세 정보 관련 목록에서 정보를 봅니다. 다음 예는 사이팅 관련 목록에서 생성된 사이팅 검색 기록을 보여줍니다.
      사이팅 탭에서 생성된 사이팅 검색 기록을 봅니다.
      표 1. 사이팅 검색 기록
      필드 설명
      작성됨 사이팅 검색 기록이 생성된 날짜 및 시간입니다.
      옵저버블 쿼리로 검색되는 옵저버블입니다.
      관찰 카운트 내부 및 외부 사이팅 수입니다.
      소스 옵저버블의 소스입니다. 옵저버블이 조직에서 온 MISP 경우 기록 앞에는 MISP라는 단어가 나타납니다.
      로컬 여부 내부 사용자가 사이팅을 보고했는지 여부의 상태입니다.
      사이팅 검색 링크 인스턴스의 사이팅 검색 링크입니다.MISP
      요약 기록과 연결된 사이팅의 유형입니다. 세 가지 유형의 사이팅은 사이팅, 긍정 오류 및 만료입니다.

      요약 열은 설치된 경우에만 나타납니다.MISP Integration for Security Operations 이외의 MISP 소스가 나타나면 해당 기록의 요약 열 항목이 비어 있습니다.

    MISP에서 수동 사이팅 검색 수행

    개별 또는 여러 옵저버블을 선택하고 애플리케이션에서 ServiceNow AI Platform MISP Integration for Security Operations 수동 사이팅 검색을 수행하여 시간 경과에 따른 위협의 확산을 확인합니다.

    시작하기 전에

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 사이팅 검색을 실행할 MISP 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 모든 관련 목록관련 옵저버블 탭 표시를 클릭합니다.
    4. 옵저버블을 선택한 다음 작업 메뉴에서 사이팅 검색 실행을 클릭합니다.
      사이팅 검색에 대해 여러 옵저버블을 선택할 수 있습니다.
      사이팅 검색 실행 대화 상자가 열립니다.
    5. 사이팅 검색 데이터를 검색할 날짜 범위를 지정합니다.
      표 2. 사이팅 검색 실행 대화 상자
      필드 설명
      마지막 검색할 인시던트를 생성하기 전의 시간 또는 일 수입니다.

      기본값은 7일입니다. 제한은 99시간 또는 일입니다.
      다음 날짜 사이 검색할 날짜의 범위입니다. 기본 날짜는 다음과 같습니다.
      • 인시던트가 생성된 날짜 및 시간입니다.
      • 인시던트가 시작되기 7일 전의 날짜 및 시간입니다.
    6. 검색을 클릭합니다.
      다음 예는 작업 메모의 수동 사이팅 검색 결과를 보여줍니다.
      작업 메모의 수동 사이팅 검색 결과.

    결과

    사이팅 검색 기록이 생성됩니다. 워크플로우 실행이 완료되면 모든 이벤트(전역)에서 볼 수 있고 내부 또는 외부 사이팅으로 분류된 옵저버블의 집계 정보를 볼 수 있습니다. 집계 및 연결된 사이팅 데이터는 사이팅, 사이팅 검색 결과사이팅 검색 상세 정보 관련 목록 아래의 보안 인시던트에 표시됩니다.

    다음에 사이팅 보고 MISP

    데이터의 가양성에 대응하고 진양성 위협이 발생할 때 인식을 높일 수 있도록 위협 데이터 사이팅을 보고합니다. 특정 옵저버블 또는 속성에 대한 만료 날짜를 추가할 수도 있습니다.

    시작하기 전에

    이 태스크 정보

    이를 통해 MISP Integration for Security Operations 모든 이벤트에 걸쳐 사이팅을 전역적으로 MISP 보고할 수 있습니다. 특정 이벤트에 사이팅을 보고하려면 인스턴스를 MISP 사용하고 사이팅을 로컬에서 보고해야 합니다.

    에 사이팅 MISP을 보고하려면 인스턴스에서 MISP 옵저버블 또는 속성을 사용할 수 있어야 합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 사이팅을 보고할 옵저버블이 포함된 보안 인시던트를 선택합니다.MISP
    3. 모든 관련 목록 및 사이팅 관련 목록 표시를 클릭합니다.
    4. 옵저버블을 선택하고 작업 메뉴에서 다음 옵션 중 하나를 선택합니다.
      옵션설명
      MISP: 옵저버블 사이팅 보고 옵저버블을 목격된 것으로 보고합니다.MISP 옵저버블이 여러 이벤트와 연결된 경우 모든 이벤트에서 업데이트됩니다.
      MISP: 옵저버블을 긍정 오류로 보고 옵저버블을 긍정 오류로 보고합니다.MISP
      MISP: 옵저버블을 만료로 보고 옵저버블을 만료된 것으로 보고합니다.MISP
      소스와 MISP 관련되지 않은 옵저버블을 선택하면 작업 메뉴에 관련 MISP 소스 수가 표시됩니다. 다음 예제에서는 과 관련된 옵저버블 8개 중 4개를 보여줍니다. MISP 다음 예는 제출할 작업 메뉴와 관련 옵저버블을 보여줍니다.
      그림 1. 제출할 관련 옵저버블을 표시하는 작업 메뉴
      작업 메뉴에 MISP에 대한 관련 옵저버블이 표시됩니다.
    5. 옵션: MISP: 옵저버블 사이팅 보고 옵션을 선택한 경우 MISP에 옵저버블 사이팅 보고 대화 상자의 필드를 채워야 합니다.
      표 3. 옵저버블 사이팅을 대화 상자에 MISP 보고
      필드 설명
      소스 사이팅의 소스에 해당 MISP 하는 소스 필드입니다.
      날짜 옵저버블이 관찰된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워집니다 MISP.

      다음 예는 보안 인시던트에서 사이팅 관련 목록으로 이동하는 방법을 보여줍니다. 해당 목록에서 옵저버블을 선택하고 옵저버블 사이팅을 보고할 수 있습니다.MISP 성공 메시지는 사이팅이 성공적으로 제출되었음을 보여줍니다.MISP

      그림 2. 옵저버블 사이팅을 MISP에 보고
      옵저버블 사이팅을 MISP에 보고
      1. 사이팅 보고를 클릭합니다.
    6. 옵션: MISP: 옵저버블을 긍정 오류로 보고 옵션을 선택한 경우 옵저버블을 긍정 MISP 오류로 보고 대화 상자의 필드를 채워야 합니다.
      표 4. 옵저버블을 긍정 MISP 오류로 보고 대화 상자
      필드 설명
      소스(선택 사항) 소스에 해당하는 소스 필드입니다.MISP 이 필드를 사용하여 옵저버블을 긍정 오류로 선언합니다.
      날짜 옵저버블이 긍정 오류로 발견된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워집니다 MISP.
      1. 탐지 보고를 클릭합니다.
    7. 옵션: MISP: 옵저버블을 만료로 보고 옵션을 선택한 경우 옵저버블 만료 보고 MISP 대상 대화 상자의 필드를 채워야 합니다.
      표 5. 옵저버블 만료를 MISP에 보고 대화 상자
      필드 설명
      소스 소스에 해당하는 소스 필드입니다.MISP 이 필드를 사용하여 옵저버블을 만료됨으로 설정합니다.
      날짜 옵저버블이 만료된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워집니다 MISP.
      1. 만료 보고를 클릭합니다.

    결과

    사이팅이 서버에 성공적으로 업데이트됩니다 MISP .