자동 이벤트 생성 방법 구성

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기8분

에서 MISP이벤트를 자동으로 작성하도록 구성합니다Now Platform.

시작하기 전에

다음 항목 검토: MISP 사용자 역할 및 권한 양방향 기능을 사용하는 MISP 데 필요합니다.
필요한 역할: sn_si.admin, sn_ti.admin

프로시저

다음으로 이동 모두 > MISP 통합 > 자동 이벤트 작성 프로파일.
새로 만들기를 클릭합니다.

양식의 필드에 내용을 입력합니다.

표 1. 이름 양식
필드	설명
이름	자동 이벤트 생성 프로파일의 이름입니다.
설명	프로파일에 대한 간략한 설명입니다. 더 자세한 설명은 이벤트 생성의 다음 단계에서 속성을 통해 공유됩니다.
순서	트리거 조건이 충족될 때 프로파일의 순서입니다. 기본값은 100입니다. 이 설정을 기본값으로 둡니다. 여러 프로필을 만드는 경우 둘 이상의 프로필이 트리거 조건을 공유할 때 이 값은 런타임 실행 우선 순위를 제공합니다. 가장 낮은 번호의 프로파일이 가장 높은 우선순위를 갖습니다.
소스	MISP 이벤트 생성 소스입니다.
활성	프로파일의 활성 또는 비활성 여부를 나타내는 옵션입니다. 이 옵션은 기본적으로 선택이 취소되어 프로파일이 꺼져 있음을 나타냅니다. 이 프로파일은 모든 프로파일 구성 단계를 완료하고 마침을 클릭할 때까지 활성화되지 않습니다.

계속을 클릭합니다.

이벤트 트리거 조건 구성

조건이 충족될 때 이벤트를 MISP 자동으로 트리거할 수 있도록 에서 Now Platform 이벤트 트리거 조건을 구성합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

트리거 조건 양식에서 이벤트를 트리거할 수 있는 세부 정보를 입력합니다.

보안 인시던트 필드 또는 옵저버블 필드를 기반으로 하는 트리거 조건을 제공하여 복합 논리를 빌드할 수 있습니다. 옵저버블에 해당하는 이벤트가 MISP없는 경우 에서 MISP 이벤트를 생성할 수도 있습니다. 세 가지 트리거 조건(보안 인시던트 필드를 기반으로 트리거, 옵저버블 필드를 기반으로 트리거, 옵저버블에 MISP에 해당 이벤트가 없는 경우)을 조합하여 복합 논리를 빌드하도록 선택할 수 있습니다. 트리거를 여러 개 선택하는 경우 AND 조건을 사용하여 조인할 수 있습니다. OR 조건을 사용해야 하는 경우 새 조건으로 프로파일을 만드는 것이 좋습니다.

표 2. 이벤트 트리거 조건 양식
필드	설명
보안 인시던트 필드를 기반으로 트리거	MISP 모든 보안 인시던트 트리거 조건이 충족될 경우 생성할 수 있는 이벤트입니다.
보안 인시던트 트리거 조건	조건 작성기의 목록과 필드를 사용하여 설정할 수 있는 첫 번째 행의 필터입니다. 조건을 더 추가하려면 AND 또는 OR을 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건을 일치시킬 수 있습니다. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.
옵저버블 필드를 기반으로 트리거	MISP 모든 옵저버블 트리거 조건이 충족될 경우 생성할 수 있는 이벤트입니다.
옵저버블 트리거 조건	조건 작성기의 목록과 필드를 사용하여 설정할 수 있는 첫 번째 행의 필터입니다. 조건을 더 추가하려면 AND 또는 OR을 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건을 일치시킬 수 있습니다. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.
옵저버블에 MISP 상의 해당 이벤트가 없는 경우 MISP 이벤트 작성	MISP 옵저버블에 해당하는 이벤트가 MISP없는 경우 생성할 수 있는 이벤트입니다.

MISP에서 작성된 이벤트를 기반으로 조건을 구성합니다. — 그림 1. 이벤트 트리거 조건

계속을 클릭합니다.

MISP 이벤트 필드 매핑

MISP 이벤트가 생성될 때 MISP 보안 인시던트 정보를 사용할 수 있도록 의 Now Platform 이벤트 필드를 매핑합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

양식의 필드에 내용을 입력합니다.

표 3. 기본 MISP 이벤트 필드 매핑 양식
필드	설명
이벤트 정보	에서 자동으로 생성되는 이벤트 정보입니다 Now Platform 보안 인시던트 응답. 이벤트 정보 필드는 ${SIR FIELD LABEL}$을 사용하여 대체 변수를 지원합니다. 이벤트를 생성하는 동안 이러한 변수는 실제 보안 인시던트 필드 값으로 대체됩니다. ${URL}$ 대체 변수는 보안 인시던트의 URL로 대체됩니다.
배포	이벤트가 게시된 후 이 이벤트를 볼 수 있는 사용자를 제어하는 옵션입니다. 이 옵션은 이벤트를 다른 서버와 동기화할지 여부도 제어합니다. 분포는 속성에 상속되며 가장 제한적인 설정이 우선합니다. 배포 옵션은 다음과 같습니다. 내 조직만: 조직의 구성원만 이 이벤트를 볼 수 있습니다. 조직 구성원 중 한 명이 이벤트를 다른 인스턴스로 끌어올 수 있으며, 해당 인스턴스에서는 조직만 해당 이벤트를 볼 수 있는 접근 권한이 있습니다. 이 설정의 이벤트는 동기화되지 않습니다. 이 커뮤니티만: 자신의 조직, 이 MISP 서버의 조직 및 이 서버와 동기화되는 서버를 실행하는 MISP 조직을 포함하여 커뮤니티에 MISP 속한 사용자가 이벤트를 볼 수 있도록 합니다. 연결된 서버에 연결하는 다른 조직에서는 이벤트를 볼 수 없습니다. 연결된 커뮤니티: 커뮤니티의 일부인 MISP 사용자가 이 MISP 서버의 모든 조직, 이 서버와 동기화되는 서버의 모든 조직 MISP 및 두 홉 떨어져 있는 모든 서버에 연결하는 서버의 호스팅 조직을 포함하여 이벤트를 볼 수 있도록 합니다. 2홉 떨어져 있는 연결된 서버에 연결된 다른 조직은 이벤트를 볼 수 없도록 제한됩니다. 모든 커뮤니티: 이벤트를 모든 MISP 커뮤니티와 공유합니다.
위협 수준	이벤트의 위험 수준을 나타내는 필드입니다. 인시던트를 세 가지 위협 범주(낮음, 중간, 높음)로 분류할 수 있습니다. 이 필드는 정의되지 않은 상태로 둘 수도 있습니다. 옵션은 다음과 같습니다. 낮음: 일반 대량 맬웨어 중간: 지능형 지속 위협(APT) 높음: 정교한 APT 및 0일 공격
분석 상태	다음과 같은 가능한 옵션이 있는 이벤트 분석의 현재 스테이지입니다. 초기: 분석이 이제 막 시작되었습니다. 진행 중: 분석이 진행 중입니다. 완료됨: 분석이 완료되었습니다.

다음 예는 MISP에서 이벤트를 작성하는 데 사용할 수 있는 양식을 보여줍니다.

그림 2. 기본 MISP 이벤트 필드 매핑

계속을 클릭합니다.

옵저버블을 이벤트에 대한 속성 MISP 으로 매핑 또는 연결 SIR

보안 인시던트 응답 속성 유형과 SIR 옵저버블이 MISP 다를 수 있으므로 옵저버블 유형을 MISP 속성 유형에 매핑합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

이 태스크 정보

는 MISP Integration for Security Operations 옵저버블을 이벤트에 속성 MISP 으로 추가할 SIR 때 사용하는 기본 시스템 매핑을 제공합니다.

사용자 환경에 맞게 기본 시스템 매핑을 수정하도록 선택할 수 있습니다. 예를 들어 여러 SIR 옵저버블을 하나의 MISP 속성 유형에만 매핑할 수 있습니다. 옵저버블 유형이 매핑되지 않은 경우 기본적으로 다른 MISP 속성 유형이 선택됩니다.

프로시저

추가 옵션 양식에서 옵저버블 및 MISP 속성 유형을 매핑합니다SIR.

보안 인시던트 응답 다음 표에 설명된 대로 옵저버블 유형을 MISP 속성 유형에 매핑합니다.

표 4. SIR 옵저버블 및 MISP 속성 유형 매핑
필드	설명
연결된 모든 옵저버블을 속성으로 추가	보안 인시던트 MISP 에서 사용 가능한 옵저버블을 이벤트에 속성으로 추가하기 위해 활성화하는 옵션입니다. 이 옵션은 옵저버블 유형-속성 유형 매핑 섹션에서 매핑을 활성화합니다.
옵저버블 유형-속성 유형 매핑	옵저버블 유형을 속성 유형에 매핑 SIR 하는 MISP 옵션입니다. 예를 들어 의 SIR CVE 번호를 의 MISP취약성 속성에 매핑할 수 있습니다. 옵저버블 유형은 하나의 MISP 속성 유형에만 추가할 SIR 수 있습니다. 기본 시스템은 옵저버블 유형을 속성 유형에 매핑 SIRMISP 하는 기능을 제공합니다. SIR 옵저버블 유형이 속성 유형에 매핑 MISP 되지 않은 경우 옵저버블은 의 다른 속성 유형에 MISP매핑됩니다. 새 매핑을 추가하려면 옵저버블 유형 추가를 클릭하고 옵저버블 유형을 검색 SIR 한 다음 해당 MISP 속성 유형에 매핑합니다. 매핑 제거 아이콘을 클릭합니다 AND MISP 속성 매핑 연결을 제거합니다SIR. 주: 속성 유형에 대한 MISP 자세한 내용은 MISP 설명서를 참조하십시오.
보안 태그를 기준으로 옵저버블 필터링	선택한 보안 태그를 기준으로 옵저버블을 필터링하는 옵션입니다. 보안 태그: 옵저버블을 필터링하는 태그를 추가합니다. 예를 들어 "공유 차단" 또는 "TLP: 흰색"이라는 태그를 추가하는 경우 옵저버블 중 하나에 이러한 태그가 연결되어 있으면 MISP 이벤트 작성 중에 이러한 옵저버블이 MISP 이벤트에 속성으로 추가되지 않습니다.
옵저버블 찾기가 악성일 때 속성 IDS 플래그 설정	에서 옵저버블이 악성 SIR으로 표시된 경우 의 MISP 해당 속성에 IDS 플래그가 활성화되어 있음을 알 수 있는 옵션입니다. IDS 플래그가 설정되지 않은 경우, 속성은 상황별 정보로 간주되며 자동 침입 탐지에 사용되지 않습니다.

다음 예시에서는 추가 옵션 페이지로 이동하는 방법을 보여줍니다. 이 페이지에서 SIR 옵저버블 및 MISP 속성 유형 매핑을 활성화하고, IPV6 네트워크 및 IPV4 네트워크와 같은 새 SIR 옵저버블 유형을 추가하고, 속성 유형 도메인 IP 주소에 매핑 MISP 할 수 있습니다.

그림 3. 옵저버블 및 MISP 속성 유형 매핑 SIR

정보를 이벤트와 MISP 동기화 MITRE-ATT&CK

더 나은 보안 인시던트 및 위협 분석을 위해 정보를 속성과 MISP 동기화 MITRE-ATT&CK 합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

추가 옵션 양식에서 정보를 속성과 MISP 동기화 MITRE-ATT&CK 하는 옵션을 검토합니다.

표 5. 고급 옵션 양식
필드	설명
보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트에 로컬 갤럭시 MISP 로 동기화	보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트의 로컬 갤럭시로 동기화 Now Platform SIR 하는 MISP 옵션입니다. 주: 로컬 갤럭시를 추가하려면 통합을 구성한 사용자가 해당 MISP 서버의 호스트 조직에 속해야 합니다.
보안 인시던트 MITRE-ATT&CK™ 기술을 글로벌 갤럭시 MISP 로 이벤트에 동기화	보안 인시던트 MITRE-ATT&CK™ 기술을 이벤트의 전역 갤럭시로 동기화 Now Platform SIR 하는 MISP 옵션입니다.

결과

에서 이벤트를 MISPNow Platform자동으로 만들 수 있는 프로파일을 만들었습니다. 이제 연결된 MISP 이벤트 관련 목록에서 이벤트를 볼 수 있습니다.

이벤트에 MISP 태그 추가

작성된 MISP 이벤트에 MISP 태그를 추가합니다.

시작하기 전에

필요한 역할: sn_sec_misp.write

프로시저

추가 옵션 양식에서 양식 뷰의 이벤트 섹션에 추가할 MISP 태그 선택 으로 이동합니다.

생성된 이벤트에 태그를 추가하는 옵션을 검토합니다.

표 6. 고급 옵션 양식
필드	설명
작성된 MISP 이벤트에 태그 추가	ServiceNow에서 작성된 이벤트에 MISP 태그를 자동으로 추가할 수 있는 옵션입니다.
태그(로컬)	선택한 태그가 MISP 이벤트에 로컬 태그로 추가됩니다.
태그(전역)	선택한 태그가 MISP 이벤트에 전역 태그로 추가됩니다.

저장을 클릭합니다.

결과

MISP 태그를 추가하면 이벤트를 분류하는 데 도움이 됩니다.