새 위협 인텔리전스 피드 구성
외부 위협 인텔리전스 소스를 사용자 TISC 환경에 추가합니다. 다양한 소스에서 위협 표시기를 자동으로 수집하도록 피드 매개변수, 인증, 일정 예약 및 데이터 처리를 구성합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
프로시저
- 다음으로 이동 모두 > 작업 공간 > 위협 인텔리전스 보안 센터.
- 통합 아이콘을 선택합니다.
- 선택 위협 인텔리전스 피드 > 모든 피드.
- 새 소스 구성을 선택합니다.
다양한 피드 유형이 표시됩니다.
- 필요한 피드 유형을 선택합니다.
-
양식에서 필드를 채웁니다.
표 1. 새 소스 구성 필드 설명 이름 피드의 이름입니다. 설명 피드에 대한 설명입니다. 피드 유형 피드 유형입니다. 예: MISP. 기본적으로 이 값은 카탈로그에서 선택한 피드 유형에 따라 표시됩니다.
로고 소스 피드의 로고입니다. 주:크기는 72px/72px여야 합니다.산업 항공우주 또는 농업과 같이 사료를 적용할 수 있는 산업 범주입니다. 소스 유형 소스의 유형입니다. 사용 가능한 소스 유형: - 정부
- ISAC
- 오픈 소스
- 프리미엄 소스
- 기타 소스
- 선택을 선택합니다.
-
구성 섹션의 필드에 적절한 정보를 입력합니다.
표 2. 구성 상세 정보 필드 설명 만료 기간(일) 수집된 피드 데이터가 만료되기 전까지의 일 수입니다. 예를 들면 180입니다. 주:소스에서 수집된 데이터는 수집 후 180일 후에 만료됩니다.소스 만료 재정의 선택하면 프로파일 구성이 수신 피드 기록의 만료 시간을 재정의합니다. REST 메시지 사용 선택되면 에서 제공하는 ServiceNow AI PlatformREST 메시지/REST 메서드 기능을 사용합니다. 선택을 취소하면 애플리케이션이 REST 엔드포인트 URL 에 제공된 엔드포인트를 사용하여 피드에서 데이터를 가져옵니다. 자세한 내용은 설명서에서 ServiceNow AI Platform아웃바운드 REST 웹 서비스를 참조하세요.
중요사항:REST 메시지를 선택할 때 REST 메시지 및 REST 메서드 필드는 필수입니다.REST 메시지 인스턴스에 구성된 REST 메시지 기록 목록의 REST 메시지 기록입니다. 자세한 내용은 설명서에서 ServiceNow AI Platform아웃바운드 REST 웹 서비스를 참조하십시오. 주:이 값을 사용하여 특정 헤더를 보고 REST 메시지 옵션을 사용하여 REST 관련 기록을 정의합니다.REST 메서드 선택한 REST 메시지에 대해 구성된 사용 가능한 REST 메서드 목록의 REST 메서드입니다. 자세한 내용은 설명서에서 ServiceNow AI Platform아웃바운드 REST 웹 서비스를 참조하십시오. REST 엔드포인트 URL 위협 인텔리전스 피드에서 데이터를 호스팅하는 REST 엔드포인트 URL입니다. 주:피드 유형의 경우 MISP/manifest.json로 끝나는 REST 엔드포인트 URL만 지원됩니다.신뢰도 이 특정 피드를 통해 수집된 모든 해당 기록에 대한 신뢰도입니다. 주:이 소스에 대해 신뢰도를 0-100 사이로 지정합니다.소스 신뢰도 재정의 이 옵션을 선택하면 프로파일 구성이 피드의 신뢰도 값을 재정의합니다. 데이터 구문 분석 메커니즘 데이터 구문 분석 메커니즘입니다. 사용 가능한 옵션: - 자동 IoC 추출: 이 옵션은 텍스트, CSV 또는 JSON 피드를 구성할 때 기본적으로 선택됩니다.
- 사용자 지정 필드 매핑: 이 옵션을 사용하여 피드 데이터의 특정 필드를 옵저버블 속성에 매핑하는 방법을 정의합니다.
선택한 후에는 필드 매핑 섹션에서 매핑을 구성할 수 있습니다. 사용자 지정 필드 매핑에 대한 자세한 내용은 다음 문서를 참조하십시오 사용자 지정 필드 매핑 구성.
인증 필요 이 옵션을 선택하면 새 위협 인텔리전스 피드에 인증이 필요합니다. 주:이는 REST 엔드포인트 URL을 사용하여 데이터를 검색하는 경우에만 적용할 수 있습니다.인증 유형 소스 피드의 인증 유형입니다. 사용 가능한 인증 유형: - API ID / API 키
- API ID / API 시크릿
- API 키
- API 키/API 비밀
- API 사용자 이름 / API 암호 / API 키
- 기본 인증
요청과 함께 전달할 헤더 요청과 함께 전달될 모든 헤더는 요청 헤더 매핑에서 제공될 수 있습니다. - 헤더는 콜론(":")으로 구분된 키-값 쌍으로 제공되어야 합니다.
- 각 헤더 키 값 쌍은 새 줄에 제공되어야 합니다.
- 인증 매개변수를 헤더 값으로 제공하려면 필수 인증 레이블을 '${' 및 '}$'로 묶으십시오. 예: x-api-key:${API Key}$.
고급 이 옵션을 선택하면 사용자 지정 통합 스크립트와 보고서 프로세서 스크립트를 정의할 수 있습니다. 주:이 확인란을 선택하면 사용자 지정 스크립트를 선택할 수 있는 통합 스크립트 및 보고서 프로세서 필드 가 표시됩니다.통합 스크립트 통합 스크립트는 피드에 구성된 인증 매개변수와 헤더를 사용하여 REST 엔드포인트 URL에 대한 호출을 호출한 다음 스크립트는 특정 피드에서 사용할 수 있는 데이터를 가져옵니다. 통합 스크립트에 사용 가능한 사용자 지정 스크립트 포함:- MITRESourceIntegration: MITRE 피드에서 데이터를 가져오 는 데 사용됩니다.
- RSSFeedDatasourceIntegration: RSS 피드에서 데이터를 가져오는 데 사용됩니다.
- SimpleFeedDatasourceIntegration: 인증 또는 기본 인증 없이 단순 피드에서 데이터를 가져오는 데 사용됩니다.
- SimpleMISPFeedDatasourceIntegration: 호스팅된 MISP 피드에서 데이터를 가져오는 데 사용됩니다.
기본 통합 스크립트는 선택한 피드 유형을 기반으로 합니다. 예를 들어 데이터를 처리하고 가져올 표준 형식인 피드 유형을 선택하는 MISP 경우 통합 스크립트는 SimpleMISPFeedDatasourceIntegration입니다.
주:사용자 지정 통합 스크립트의 경우 FeedDatasourceIntegrationBase 를 확장하여 스크립트 포함을 생성하고 필요한 메서드를 재정의할 수 있습니다.
보고서 프로세서 보고서 프로세서 스크립트는 통합 스크립트를 사용하여 피드에서 가져온 데이터를 처리합니다.
보고서 프로세서에 사용할 수 있는 사용자 지정 스크립트:- AtomFeedDatasourceResponseProcessor: Atom 형식의 RSS 피드를 처리하는 데 사용됩니다.
- MITRECollectionDataProcessor: MITRE 피드를 처리하는 데 사용됩니다.
- RSSFeedDatasourceResponseProcessor: RSS 피드를 처리하는 데 사용됩니다.
- SimpleDataplaneFeedResponseProcessor: 데이터 평면 피드를 처리하는 데 사용됩니다.
- SimpleFeedDatasourceResponseProcessor: 옵저버블의 정규 표현식 추출을 사용하여 단순 피드를 처리하는 데 사용됩니다.
- SimpleFeodotrackerFeedResponseProcessor: Feodotracker 피드를 처리하는 데 사용됩니다.
- SimpleMISPFeedDatasourceResponseProcessor: 호스팅된 MISP 피드를 처리하는 데 사용됩니다.
- TAXIIV2CollectionDataProcessor: 컬렉션 데이터를 처리 TAXII 하는 데 사용됩니다.
피드의 MISP 기본 보고서 프로세서는
SimpleMISPFeedDatasourceResponseProcessor입니다. 이 프로세서는 응용 프로그램에 의해 미리 구성되어 있으며 수정하거나 교체할 수 없습니다. -
일정 섹션의 필드에 적절히 입력합니다.
표 3. 예약 필드 설명 실행 기록을 수집하는 빈도입니다. 피드 수집은 예약된 작업 간격에 따라 작업을 실행하고 실행합니다. 사용 가능한 작업 간격은 다음과 같습니다. - 매일
- 주별
- 매월
- 주기적으로
- 한 번
- 요청 시
- 비즈니스 달력: 입력 시작
- 비즈니스 달력: 입력 종료
주:자세한 내용은 예약된 작업 및 선택한 스크립트를 자동으로 실행하는 방법을 참조하십시오.기본적으로 빈도는 요청 시로 설정됩니다.데이터를 가져오는 위치 데이터를 가져올 시작 날짜입니다. 이 필드를 해당 소스에서 데이터를 수집해야 하는 시간으로 설정합니다. 이 값이 설정되면 다음 수집 실행은 구성된 시간에서 데이터를 가져오고 연속 수집 실행은 실행 빈도에 따라 증분 데이터를 가져옵니다. 예를 들어 소스는 매시간 데이터를 수집하도록 예약되어 있습니다. 사용자가 데이터 가져오기 를 1월 12일 오전 9:30으로 설정하면 1월 12일 오전 10:00에 트리거되는 수집은 1월 12일 오전 6:00부터 1월 12일 오전 10:00까지 데이터를 가져옵니다. 오전 11:00에 트리거되는 다음 수집은 1월 12일 오전 10:00부터 1월 12일 오전 11:00까지의 증분 데이터만 가져옵니다.
주:즉, 예약된 실행이 지정된 날짜부터 증분 방식으로 데이터를 가져옵니다.중요사항:데이터를 가져오는 위치 필드는 텍스트, CSV 또는 JSON 피드에 적용되지 않습니다.표 4. 추가 정보 필드 설명 미디어 URL 위협 인텔리전스 피드 데이터를 검색하는 데 사용되는 미디어 소스의 URL입니다. 피드 설명 URL RSS 소스에서 제공하는 설명 링크입니다. 표 5. TISC 태그 필드 설명 태그 선택 TISC 이 소스에서 시스템으로 수집된 기록에 주석을 달거나 식별하는 태그입니다. 검색 창에 태그 이름을 입력하여 사용 가능한 태그를 선택하거나 새 태그 이름을 입력하고 추가를 선택하여 소스에 할당합니다. -
저장 작업을 선택하여 피드를 저장하고 만듭니다.
시스템은 제공된 상세 정보의 유효성을 검사하며 기본적으로 피드 상태는 비활성입니다.
- 옵션:
피드 구성을 초안으로만 저장하려면 초안으로 저장 작업을 선택합니다.
피드가 초안으로 저장되면 피드를 활성화할 수 없습니다. 구성 상세 정보가 확실하지 않은 경우 이 옵션을 사용합니다.
-
기록을 활성화하려면 사용을 선택합니다.
위협 인텔리전스 피드 기록이 활성화된 후에는 기록을 실행하여 통합을 실행할 수 있습니다.주:
- 위협 인텔리전스 피드 기록에 레이블이 지정되고 활성화됨으로 표시됩니다. 마찬가지로 사용 안 함 버튼을 선택하여 위협 인텔리전스 피드를 사용하지 않도록 설정할 수 있습니다.
- 카탈로그 또는 위협 인텔리전스 피드 페이지에서 필요한 피드 타일의 작업 메뉴를 사용하여 특정 피드를 활성화, 비활성화 또는 삭제할 수도 있습니다.
- 옵션: 삭제를 선택하여 위협 인텔리전스 피드 기록을 삭제합니다.
-
통합 실행 섹션을 선택하여 실행 상세 정보를 확인합니다.
주:이 구성 절차는 을 제외한 STIX TAXII모든 위협 인텔리전스 피드 유형에 적용됩니다. 구성 방법에 STIX TAXII 대한 자세한 내용은 다음 문서를 참조하십시오 새 TAXII 피드 구성.