에서 사이팅 검색 MISP

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기7분

    • 인스턴스의 옵저버 MISP 블에 대해 사이팅 검색을 수행하여 네트워크에서 피싱 공격 또는 악성 IP 또는 URL을 사용한 통신과 같은 특정 유형의 공격이 발생하는 빈도를 확인할 수 있습니다. 각 발생은 사이팅으로 간주됩니다.

    의 사이팅 MISP

    목격은 표시기, 물체 또는 속성이 보였고 그 유효성이 확인되었음을 나타냅니다. Sightings in MISP 은 이벤트의 속성에 응답할 수 있는 시스템입니다. 사용자가 주어진 속성을 보았는지 쉽게 확인할 수 있는 방법을 제공하여 신뢰성을 높이도록 설계되었습니다. 속성은 여러 번 볼 수 있습니다.
    주:
    옵저버블은 MISP에서 속성으로 알려져 있습니다.

    일부 속성은 가양성으로 간주되며, 이는 유효한 사이팅이 아님을 의미합니다. 1주일 동안만 실행되는 피싱 캠페인과 같은 다른 속성은 특정 기간 동안만 유효합니다. 특정 기간 동안 유효한 속성에 만료 날짜를 할당할 수 있지만 각 조직은 속성에 유효한 만료 날짜를 하나만 할당할 수 있습니다.

    해당 MISP 서버에서 로컬로 표시된 조직의 사용자가 만든 MISP 사이팅을 내부 사이팅이라고 합니다. 해당 MISP 서버에서 원격으로 표시된 조직의 사용자가 만든 MISP 사이팅을 외부 사이팅이라고 합니다.

    에서 사이팅 검색 SIR

    Security Operations Integration - 사이팅 검색 워크플로우는 사이팅 검색을 실행합니다. 이 플로우는 옵저버블 목록을 수락하고, 구현 역량을 찾고, 사이팅 검색 구성을 기반으로 쿼리를 생성하고, 구성된 플로우를 기반으로 검색을 실행합니다.

    사이팅 검색은 분석가가 시간 경과에 따른 위협의 확산을 확인하는 데 도움이 됩니다. 보안 인시던트에서 개별 또는 여러 옵저버블과 검색 날짜 범위를 선택할 수 있습니다. 결과는 보안 인시던트 사이팅, 사이팅 검색 결과사이팅 검색 정보 관련 목록에 포함됩니다.

    인시던트 분석을 시작할 때 사이 Now Platform팅 검색을 자동으로 수행 하거나 옵저버블 사이팅 검색을 수동으로 수행하여 동일한 피싱 공격의 영향을 받는 조직의 다른 사용자를 식별하도록 설정할 수 있습니다.

    에서 자동 사이팅 검색 사용 MISP

    새 옵저버블이 보안 인시던트와 연결될 때마다 보안 운영 통합 - 사이팅 검색 워크플로우가 트리거되도록 사이팅 검색을 MISP 자동으로 실행하도록 설정합니다.

    시작하기 전에

    Verify that the 에 대한 사이팅 검색 구성 프로파일 MISP 이(가) 활성 상태입니다.

    필요한 역할: sn_si.analyst

    이 태스크 정보

    사용하도록 설정하는 경우 다음에서 자동으로 실행되는 사이팅 검색 기능 MISP 통합 구성, 새 옵저버블이 보안 인시던트와 연결되면 의 MISP 사이팅 검색이 트리거됩니다. 기본적으로 새 옵저버블이 보안 인시던트와 연결된 경우 Sighting 검색 자동 실행 옵션이 활성화되어 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 사이팅 검색 데이터에서 보려는 옵저버블이 포함된 보안 인시던트를 MISP 선택합니다.
    3. 새 옵저버블이 보안 인시던트와 연결된 후 작업 메모를 검토합니다.
      작업 메모는 보안 운영 통합 - 사이팅 검색 워크플로우 가 트리거되면 게시됩니다.

      다음 예는 작업 메모 섹션을 보여줍니다.

      작업 메모를 보고 사이팅 검색 워크플로우가 트리거되었는지 확인합니다.
    4. 모든 이벤트(전역)에서 표시되고 워크플로우 실행이 완료된 후 내부 또는 외부 사이팅으로 분류된 옵저버블의 집계 정보를 봅니다.
      사이팅, 사이팅 검색 결과사이팅 검색 정보 관련 목록에서 정보를 확인합니다. 다음 예는 사이팅 관련 목록에 생성된 사이팅 검색 기록을 보여줍니다.
      사이팅 탭에서 생성된 사이팅 검색 기록을 봅니다.
      표 1. 사이팅 검색 기록
      필드 설명
      작성됨 사이팅 검색 기록이 생성된 날짜 및 시간입니다.
      옵저버블 쿼리로 검색되는 옵저버블입니다.
      관찰 카운트 내부 및 외부 사이팅의 수입니다.
      소스 옵저버블의 소스입니다. 옵저버블이 조직의 옵 MISP 저버블인 경우 기록 앞에 MISP라는 단어가 붙습니다.
      로컬임 내부 사용자가 사이팅을 보고했는지 여부의 상태입니다.
      사이팅 검색 링크 인스턴스의 사이팅 검색 링크입니다 MISP .
      요약 기록과 연결된 사이팅의 유형입니다. Sighting의 세 가지 유형은 Sighting, False-positive 및 Expiration입니다.

      요약 열은 가 MISP Integration for Security Operations 설치된 경우에만 나타납니다. 이외의 MISP 소스가 나타나면 해당 기록에 대한 요약 열 항목이 비어 있습니다.

    에서 수동 사이팅 검색 수행 MISP

    옵저버블을 하나 또는 여러 개 선택하고 애플리케이션에서 수동 사이팅 검색을 Now Platform MISP Integration for Security Operations 수행하여 시간 경과에 따른 위협의 확산을 확인합니다.

    시작하기 전에

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 사이팅 검색을 실행할 옵저버블이 포함된 보안 인시던트를 MISP 선택합니다.
    3. 모든 관련 목록 표시연결된 옵저버블 탭을 클릭합니다.
    4. 옵저버블을 선택하고 작업 메뉴에서 사이팅 검색 실행을 클릭합니다.
      사이팅 검색을 위해 여러 옵저버블을 선택할 수 있습니다.
      사이팅 검색 실행 대화 상자가 열립니다.
    5. 사이팅 검색 데이터를 검색할 날짜 범위를 지정합니다.
      표 2. 사이팅 검색 실행 대화 상자
      필드 설명
      마지막 검색할 인시던트가 생성되기 전의 시간 또는 일 수입니다.

      기본값은 7일입니다. 한도는 99시간 또는 일입니다.
      다음 날짜 사이 검색할 날짜 범위입니다. 기본 날짜는 다음과 같습니다.
      • 인시던트가 생성된 날짜 및 시간입니다.
      • 인시던트가 열리기 7일 전의 날짜 및 시간입니다.
    6. 검색을 클릭합니다.
      다음 예는 작업 메모의 수동 사이팅 검색 결과를 보여줍니다.
      작업 메모의 수동 사이팅 검색 결과.

    결과

    사이팅 검색 기록이 생성됩니다. 워크플로우 실행이 완료되면 모든 이벤트(전역)에서 표시되고 내부 또는 외부 사이팅으로 분류된 옵저버블의 집계 정보를 볼 수 있습니다. 집계 및 연관된 사이팅 데이터는 사이팅, 사이팅 검색 결과사이팅 검색 상세 정보 관련 목록 아래의 보안 인시던트에 표시됩니다.

    사이팅을 에 보고 MISP

    위협 데이터 목격을 보고하여 데이터의 가양성에 대응하고 진정한 긍정 위협이 발생할 때 인식을 높일 수 있습니다. 특정 옵저버블 또는 속성에 대한 만료 날짜를 추가할 수도 있습니다.

    시작하기 전에

    이 태스크 정보

    이를 MISP Integration for Security Operations 통해 모든 이벤트에서 사이팅을 전역에 보고할 MISP 수 있습니다. 사이팅을 특정 이벤트에 보고하려면 인스턴스를 사용하고 로컬에서 MISP 사이팅을 보고해야 합니다.

    사이팅 MISP을 에 보고하려면 인스턴스에서 옵저버블 또는 속성을 사용할 수 MISP 있어야 합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 사이팅 MISP 을 보고할 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 모든 관련 목록 표시 및 사이팅 관련 목록을 클릭합니다.
    4. 옵저버블을 선택하고 작업 메뉴에서 다음 옵션 중 하나를 선택합니다.
      옵션설명
      MISP: 옵저버블 사이팅 보고 옵저버블을 관찰된 MISP것으로 보고합니다. 옵저버블이 여러 이벤트와 연결된 경우 모든 이벤트에서 업데이트됩니다.
      MISP: 옵저버블을 긍정 오류로 보고 옵저버블을 긍정 MISP오류로 에 보고합니다.
      MISP: 옵저버블을 만료됨으로 보고 옵저버블이 만료됨으로 보고 .MISP
      소스와 관련되지 않은 옵저버블을 MISP 선택하면 작업 메뉴에 관련 MISP 소스의 개수가 표시됩니다. 다음 예는 8개의 옵저버블 중 4개를 와 관련된 MISP것으로 보여줍니다. 다음 예에서는 작업 메뉴와 제출할 관련 옵저버블을 보여줍니다.
      그림 1. 제출할 관련 옵저버블을 보여주는 작업 메뉴
      작업 메뉴에 MISP에 대한 관련 옵저버블이 표시됩니다.
    5. 옵션: MISP: 옵저버블 사이팅 보고 옵션을 선택한 경우 옵저버블 사이팅을 MISP에 보고 대화 상자의 필드를 채워야 합니다.
      표 3. 옵저버블 사이팅을 MISP 대화 상자에 보고
      필드 설명
      소스 사이팅의 소스에 MISP 해당하는 소스 필드입니다.
      날짜 옵저버블이 관찰된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워 MISP집니다.

      다음 예시에서는 보안 인시던트의 사이팅 관련 목록으로 이동하는 방법을 보여줍니다. 해당 목록에서 옵저버블을 선택하고 옵저버블 사이팅을 에 보고할 수 있습니다 MISP. 성공 메시지는 사이팅이 에 성공적으로 제출 MISP되었음을 보여줍니다.

      그림 2. 옵저버블 사이팅을 MISP에 보고합니다.
      옵저버블 사이팅을 MISP에 보고합니다.
      1. 사이팅 보고를 클릭합니다.
    6. 옵션: MISP: 옵저버블을 긍정 오류로 보고 옵션을 선택한 경우 옵저버블을 긍정 MISP 오류로 보고 대화 상자의 필드를 채워야 합니다.
      표 4. 옵저버블을 긍정 MISP 오류로 보고 대화 상자에
      필드 설명
      소스(선택 사항) 소스에 해당하는 소스 필드입니다 MISP . 이 필드를 사용하여 옵저버블을 긍정 오류로 선언합니다.
      날짜 옵저버블이 긍정 오류로 발견된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워 MISP집니다.
      1. 오탐지 보고를 클릭합니다.
    7. 옵션: MISP: 옵저버블을 만료됨으로 보고 옵션을 선택한 경우 옵저버블 만료 보고 MISP 대화 상자의 필드를 채워야 합니다.
      표 5. 옵저버블 만료를 MISP에 보고 대화 상자
      필드 설명
      소스 소스에 해당하는 소스 필드입니다 MISP . 이 필드를 사용하여 옵저버블을 만료됨으로 설정합니다.
      날짜 옵저버블이 만료된 날짜에 해당하는 날짜 필드입니다. 날짜가 비어 있으면 현재 날짜와 시간이 에 채워 MISP집니다.
      1. Report Expiry(만료 보고)를 클릭합니다.

    결과

    사이팅이 MISP 서버에 성공적으로 업데이트됩니다.