표시기 정의

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 표시기를 정의합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.analyst

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 위협 인텔 라이브러리 > 표시기.
    2. 표시기를 선택합니다.
    3. 새로 만들기를 클릭합니다.
      주:
      옵저버블, 표시기, 엔터티 또는 객체에 대한 새 객체 기록을 생성할 때마다 소스 기록이 생성되고, 새 객체 기록이 생성된 다음 사용자가 집계된 기록으로 리디렉션된다는 프롬프트 메시지가 표시됩니다.
    4. 양식의 필드에 내용을 입력합니다.
      표 1. 상세 정보 섹션
      필드 설명
      ID 표시기의 고유 ID입니다.
      설명 표시기에 대한 설명입니다.
      이름 표시기 이름입니다.
      패턴 이 지표에 대한 검출 패턴은 STIX 패턴으로 표현될 수 있다.
      패턴 유형 이 표시기에 사용되는 패턴 언어입니다.
      패턴 버전

      패턴 속성의 데이터에 사용되는 패턴 언어의 버전으로, 패턴 속성에 포함된 패턴 데이터의 유형과 일치해야 합니다.
      유효 기간(시작) 이 표시기가 관련되거나 나타내는 동작의 유효한 표시기로 간주되는 시간입니다.
      유효 기간 이 표시기가 더 이상 관련되거나 나타내는 동작의 유효한 표시기로 간주되어서는 안 되는 시간입니다.
      IOC 분류 지표의 IOC 분류입니다.
      표시기 유형 표시기의 다양한 범주를 나타냅니다.
      상태 표시기의 상태를 나타냅니다.
      플랫폼 이 표시기를 적용할 수 있는 플랫폼을 정의합니다.
      TLP TLP별 데이터 민감도 설정을 나타내는 고유 값입니다.
      공격 단계 LM, MITRE ATT&CK와 같은 킬 체인의 공격 단계를 나타냅니다.
      신뢰도 이 표시기 기록에 대한 신뢰도를 입력합니다.

      confidence 속성은 작성자가 데이터의 정확성에 대해 가지고 있는 신뢰도를 식별합니다. 신뢰도 값은 0-100 범위의 숫자여야 합니다(MUST).
      위협 수준 표시기 기록의 위협 수준을 나타냅니다.
      만료 시간 표시기 기록의 만료 시간을 지정합니다.
      위협 심각성 표시기 기록의 위협 심각도를 나타냅니다.
      사용 범주 옵저버블이 속하는 범주(예: 봇넷 또는 피싱)입니다.
      처음으로 발견됨 이 표시기 기록이 악의적인 활동을 수행하는 것이 처음 목격된 시간입니다.
      마지막으로 발견됨 이 표시기 기록이 마지막으로 악의적인 활동을 수행하는 것이 목격된 시간입니다.
      소스 이 기록이 생성되는 위협 소스를 지정합니다.
      해지함 해지된 개체가 개체 작성자에 의해 더 이상 유효한 것으로 간주되지 않음을 나타냅니다.
      표 2. 인사이트
      필드 설명
      메모 표시기에 대한 추가 메모를 추가합니다.
      표 3. 추가 정보
      필드 설명
      추가 컨텍스트 이 표시기에 대한 추가 컨텍스트를 추가합니다.
      사양 버전 표시기를 나타내는 데 사용되는 STIX 사양의 버전입니다.

      이 특성에 대한 값은 이 사양에 따라 정의된 STIX 객체에 대해 2.1이어야 합니다.
      언어 이 속성은 이 객체의 텍스트 컨텐츠 언어를 식별합니다.
      작성됨 시스템에서 표시기가 만들어지는 시간을 지정합니다.
      업데이트됨 시스템에서 표시기가 업데이트되는 시간을 지정합니다.
      확장명 표시기의 확장을 나타냅니다.
      처리 상태 이 표시기의 처리 상태를 나타냅니다.
    5. 저장을 클릭합니다.
      저장하면 새 옵저버블 기록이 생성되었음을 나타내는 프롬프트 메시지가 표시됩니다. 기록을 편집하고 새 관계를 생성하려면 "계속 "을 클릭하십시오.
    6. 계속을 클릭합니다.
      중요사항:
      새 옵저버블 기록을 생성하면 시스템 업데이트 방지 확인란이 표시됩니다.

      옵저버블, 표시기 또는 STIX 객체 기록이 생성된 후 시스템에서 업데이트를 방지하려면 이 확인란을 선택합니다.

      표 4. 태그&분류
      필드 설명
      태그
      태그 선택 표시기와 연결된 태그를 선택합니다.
      태그 추가 새 태그를 추가합니다.
      분류
      분류 선택 표시기와 연관된 분류를 선택합니다.
      분류 값 추가 표시기와 연결된 분류 값을 추가합니다.
      표 5. 소스 기록
      필드 설명
      표시기에 대한 소스 기록 상세 정보가 표시됩니다(있는 경우).

    다음에 수행할 작업

    이제 다음 관련 목록 중 하나를 클릭하여 표시기와 연관된 객체에 대한 추가 정보를 볼 수 있습니다.
    표 6. 관련 기록
    관련 목록 설명
    표시기 참조 이 표시기를 설명하는 외부 참조 목록입니다.
    옵저버블 이 표시기와 관련된 관련 옵저버블 기록을 나열합니다.
    표시기 이 표시기와 관련된 표시기를 나열합니다.
    주:
    이 섹션에는 두 표시기 간의 잠재적 관계도 포함되어 있습니다. 자세한 내용은 두 옵저버블 간의 확인된 관계를 참조하십시오표시기-표시기 잠재성 관계 확인표시기-표시기 관계 정의.
    구성 항목 이 표시기와 관련된 구성 항목을 나열합니다.
    공격 패턴 악의적 사용자가 이 표시기와 관련된 대상을 손상시키려고 시도하는 방법을 설명하는 공격 패턴 소스를 나열합니다.
    캠페인 이 표시기와 관련된 특정 대상 집합에 대해 시간 경과에 따라 발생하는 일련의 악의적인 활동 또는 공격을 설명하는 캠페인 소스를 나열합니다.
    탐지 및 완화 이 표시기와 관련된 탐지 및 완화 기능을 나열합니다.
    ID 이 표시기와 관련된 ID를 나열합니다.
    인프라 이 표시기와 관련된 공격의 특정 목적을 지원하기 위한 시스템, 소프트웨어 서비스 및 관련된 물리적 또는 가상 자원을 설명하는 인프라 소스를 나열합니다.
    침입 세트 이 표시기와 관련된 공통 속성이 있는 일련의 적대적 행동 및 자원을 나열합니다.
    위치 객체와 연결된 지리적 위치를 나열합니다.
    맬웨어 이 표시기와 관련된 맬웨어 소스 기록을 나열합니다.
    표시 정의 이 객체와 연결된 표시 정의를 나열합니다.
    사이팅 이 객체와 연결된 사이팅 소스 기록을 나열합니다.
    위협 액터 옵저버블과 연결된 변경 내용을 나열합니다.
    위협 이벤트 위협 소스에서 식별한 관련 옵저버블을 나열합니다.
    도구 이 개체와 연결된 도구를 나열합니다.
    취약성 옵저버블이 IP 주소인 경우 이 목록에는 일치하는 IP 주소가 있는 모든 리소스(구성 항목)가 표시됩니다.
    주:
    1. 이 객체와 연결된 관련 기록을 연결하거나 연결 해제할 수 있습니다. 자세한 내용은 위협 인텔리전스 관련 기록 연결 문서를 참조하십시오.
    2. 또한 관련 기록 섹션에서 표시기 양식 뷰에 사용할 수 있는 잠재성 관계 섹션을 사용하여 두 옵저버블 간의 관계를 확인할 수 있습니다. 에 대한 자세한 내용은 관련 기록에서 잠재성 관계 확인를 참조하십시오.
    3. 케이스에 표시기를 추가할 수 있습니다. 자세한 내용은 케이스에 추가 문서를 참조하십시오.