자동 IOC 보강

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 특정 기준과 일치할 때 플로우를 사용하여 IOC 보강을 자동화하는 방법을 알아봅니다.

    시작하기 전에

    필요한 역할:
    • 시스템 관리자(보기, 생성 또는 편집)
    • sn_sec_tisc.admin(보기)

    이 태스크 정보

    다음과 같은 경우에만 IOC 트리거 강화를 자동화합니다.
    • 옵저버블 유형은 도메인 이름, IPv4 주소 또는 IPv6 주소입니다.
    • 옵저버블이 처리됨 상태입니다.
    • 옵저버블에 보강 또는 보강 건너뛰기 태그가 없습니다.

    프로시저

    1. 다음으로 이동 모두 > Threat Intelligence Security Center > 관리.
    2. 선택 자동화된 플로우.
    3. 플로우 디자이너에서 해당 규칙 세부 정보를 보려면 자동화된 IOC 보강 작업 링크를 선택합니다.
    4. 다음 트리거에 대한 플로우 디자이너 작업을 봅니다. 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. 옵저버블이 IPv4 또는 IPv6 주소이고 허용되는 CIDR 범위 내에 있는 경우 다음을 수행합니다.
      1. 허용 목록에 옵저버블을 추가합니다.
      2. 옵저버블 태그를 업데이트하여 보강 건너뛰기(Skip Enrichment)
      3. 이 옵저버블의 플로우를 종료합니다.
    6. 그 외에는 사용 가능한 기능으로 옵저버블 데이터를 보강합니다.
      1. 위협 조회 및 관찰 검색을 수행하여 옵저버블에 대한 추가 정보를 수집합니다.
      2. 보강된 데이터로 옵저버블을 업데이트합니다.
      3. IOC가 처리되었음을 나타내기 위해 보강된 태그를 추가합니다.
    7. 또한 옵저버블의 평판이 깨끗한 경우 다음을 수행합니다.
      1. 옵저버블을 긍정 오류 및 비활성화로 표시합니다.
    8. 그 외에는 옵저버블 평판을 알 수 없는 경우
      1. Not Potential Threat & Enriched 태그를 추가하여 위협이 아님을 나타냅니다.
      TISC의 자동 IOC 보강.