수동 및 자동 공유 방법
이 섹션에서는 GUI를 통한 수동 공유와 인스턴스 간 TISC 자동화된 인텔리전스 공유를 구성하는 방법에 대해 설명합니다. 소스 및 대상 인스턴스 모두에서 인바운드 및 아웃바운드 인텔리전스 프로파일, 필요한 역할, 인증 구성, 제외 규칙 설정에 대해 간략하게 설명합니다.
대상 TISC 인스턴스 구성
필요한 역할: sn_sec_tisc.admin
필수 조건: 시작하기 전에 적절한 역할이 할당되어 있는지 확인하십시오.
역할 요구 사항
| 단계 | 작업 | 필요한 역할 |
|---|---|---|
| API 수집 사용자 생성 | 전담 사용자를 생성하고 필요한 역할을 할당합니다. | admin(시스템 관리자) |
| TISC 설정 구성 및 관리 | 나머지 구성 단계 수행 | sn_sec_tisc.admin |
| API를 통한 게시 인텔리전스 | 인텔리전스 데이터 인증 및 제출 | sn_sec_tisc.api_post_intel(통합 사용자에게 할당됨) |
sn_sec_tisc.api_post_intel역할을 가진 사용자를 생성합니다.대상 TISC 인스턴스에 전담 사용자를 생성하고
sn_sec_tisc.api_post_intel역할을 할당합니다. 이 전담 사용자는 인스턴스에 제출된 수신 인텔리전스 데이터를 인증하는 데 사용됩니다.- 인바운드 인텔리전스 프로파일을 설정합니다.
- 다음으로 이동 .
- 인바운드 인텔 공유 프로파일을 선택합니다.
- 새 프로파일을 생성합니다. 자세한 내용은 인바운드 인텔 공유 프로파일 구성 문서를 참조하십시오.
- 인증용 사용자 필드에서 이전 단계에서 만든 사용자를 선택합니다.
- 데이터 형식을STIX 2.1로 설정합니다.
- 대상 TISC 인스턴스가 인텔리전스를 수신할 수 있도록 프로파일을 저장하고 활성화합니다.
- 프로파일 ID를 복사하려면 프로파일 ID 복사를 선택합니다.주:소스 TISC 인스턴스에서 아웃바운드 인텔리전스 프로파일을 구성할 때 프로파일 ID가 필요합니다. 자세한 내용은 인바운드 인텔 공유 프로파일 구성 문서를 참조하십시오.
소스 TISC 인스턴스 구성
- 전역 공유 규칙 구성: 요구 사항에 따라 다음이 구성되고 게시되어야 합니다.
- 아웃바운드 인텔 데이터 제외 규칙입니다. 자세한 절차는 다음 문서를 참조하십시오 아웃바운드 인텔 데이터 제외 규칙 구성.
- 아웃바운드 인텔 공유 통제. 자세한 절차는 다음 문서를 참조하십시오 아웃바운드 인텔 공유 통제 구성.
- 아웃바운드 인텔리전스 프로필을 생성합니다.
- 새 아웃바운드 프로파일을 생성하여 데이터 공유 프로세스를 관리합니다. 자세한 내용은 아웃바운드 인텔 공유 프로파일 구성 문서를 참조하십시오.
- API 엔드포인트 URL을 다음과 같이 지정합니다.
.https://{instance name} /api/sn_sec_tisc/v1/tisc_intel_sharing_api/post_intel - 필요한 인증을 예로 설정합니다.
- 사용자 이름 및 암호에 대해 대상 TISC 인스턴스(대상 설정의 첫 번째 단계 참조)에서 만든 사용자의 자격 증명을 입력합니다.
- 요청 헤더 구성: 요청과 함께 전달할 헤더 필드에 다음을 포함합니다.
Profile-GUID: {Profile ID from the target TISC instance}Shared-Intel-Format: STIX 2.1 - 프로파일 ID를 얻는 방법: 헤더에 필요한 프로파일 ID는 대상 TISC 인스턴스의 인바운드 인텔리전스 프로파일에서 찾을 수 있습니다. Copy Profile ID(프로파일 ID 복사) 버튼을 사용하여 프로파일 ID를 검색합니다. 자세한 내용은 인바운드 인텔 공유 프로파일 구성 문서를 참조하십시오.
- 아웃바운드 프로파일을 저장하고 활성화합니다.
구성 후:
- 프로파일을 저장합니다.
- 연결을 확인하여 제대로 작동하는지 확인합니다.
- 프로파일을 활성화하여 인텔리전스 데이터 공유를 활성화합니다.