Anomali ThreatStream

개요

다음을 사용하여 Anomali ThreatStream Panther에서 보강(enrichment) 소스로 사용됩니다. ThreatStream은 위협 데이터를 정규화하고 중복을 제거하며 오탐을 제거하고 데이터에 추가 정보를 제공한 다음 관련된 모든 위협 지표를 연관시켜 여러 위협 피드를 단일 고충실도 저장소로 통합합니다.

방법 알아보기 저장된 보강 데이터를 여는 방법은 여기에서볼 수 있으며, 또한 보강 데이터가 포함된 로그 이벤트를 보는 방법은 여기에서.

Panther에서 Anomali ThreatStream 보강 제공자가 작동하는 방식

기본적으로 Anomali ThreatStream은 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다(하지만 비활성화 가능, 원하면). Panther는 모든 로그 유형에 대해 들어오는 각 로그 이벤트를 탐지 엔진을 통과하기 전에 Anomali 보강 데이터와 대조하려고 시도합니다.

Panther가 일치 항목을 식별하면 들어오는 이벤트와 Anomali 항목 간에 일치가 있을 경우 Anomali 데이터는 최상위 p_enrichment 키 아래에 일치하는 로그 이벤트에 추가되며 탐지 로직과 검색에서 참조할 수 있습니다.

Anomali에 동일한 지표에 대해 여러 항목이 포함된 경우 활성 항목이 하나만 있으면 Panther는 해당 항목을 사용합니다. 여러 활성 항목이 있는 경우 Panther는 신뢰도 점수가 가장 높은 활성 항목을 사용합니다.

보강 소스를 사용하여 탐지를 작성하는 방법에 대한 자세한 내용은 보강 데이터를 사용하여 탐지 작성하기.

로그 이벤트와 Anomali 간의 일치가 이루어지는 방식

일치가 발견되면 로그 이벤트는 Anomali 보강 데이터(아래 p_enrichment)로 보강됩니다. 일치는 다음 항목들 간에 발생합니다:

• 각 관련 로그 유형에 대해 구성된 Selector 필드의 값들 중 어느 것이라도.

  • 각 로그 유형에 대해 기본 Selector는 해당 로그 유형의 지표 필드 (다음으로 표시됨 p_any_*), 그러나 셀렉터는 구성 가능합니다.

• 속성(attribute)의 일치 Panther의 Anomali 테이블 항목에서 키입니다.

  • 일치 는 Anomali 테이블의 기본 키이며 Panther에 의해 미리 설정됩니다.

  • 의 예를 보려면 일치 에서 아래 예시 Anomali 테이블 항목.

Anomali ThreatStream 보강 설정하기

1단계: Anomali에서 API 키 생성

• 다음을 따르세요 Anomali 문서 에서 읽기 전용 액세스를 가진 API 키를 생성하여 Panther에서 사용합니다.

2단계: Anomali에 Panther IP 주소를 허용 목록에 추가

2.1단계: Panther 게이트웨이 공용 IP 주소 찾기

1. Panther 콘솔의 오른쪽 상단에서 클릭합니다 > 일반.

2. 페이지 하단 푸터에서 다음을 찾습니다 게이트웨이 공용 IP.

   • 이 값을 안전한 위치에 저장하세요. 다음 단계에서 사용합니다.

2.2단계: Anomali에 IP를 허용 목록에 추가

• 다음을 따르세요 Anomali 문서 Panther 게이트웨이 IP 주소를 Anomali IP 허용 목록에 추가하려면

3단계: Panther에서 Anomali ThreatStream 보강 제공자 생성

Panther에서 Anomali ThreatStream 보강 제공자를 활성화하려면:

1. Panther 콘솔의 왼쪽 탐색 바에서 다음을 클릭합니다 구성 > 보강.

2. 알림 요약 보기 사용자 지정 보강(Custom Enrichment) 카드.

3. 오른쪽 상단에서 새로 만들기.

4. 클릭 Anomali.

5. 위의 보강 설정 양식에서 다음 필드에 대한 값을 입력하세요:

   • 이름(Name): 통합을 위한 설명 이름을 입력하세요.

   • Anomali 하위 도메인: Anomali 하위 도메인을 입력하세요.

   • :: Anomali 사용자 이름을 입력하세요.

   • API 토큰:에서 생성한 API 토큰을 입력하세요 1단계.

   • ThreatStream 지표 쿼리: Panther가 보강을 구성하는 데 사용할 지표 쿼리를 제공하세요.

     • 이 필드의 자리표시자 텍스트는 예시 쿼리를 보여줍니다: feed_id=42 and status="active"

     • Panther에 제공하기 전에 Anomali ThreatStream 인터페이스에서 쿼리를 테스트하는 것이 권장됩니다.

   • 갱신 주기(분): Panther가 Anomali ThreatStream 보강 제공자 데이터를 얼마나 자주 갱신할지 결정하는 갱신 주기를 설정하세요. 기본값이자 최소 갱신 주기는 60분입니다.

6. 클릭 설정(Setup).

7. 다음 페이지에서 클릭하세요 저장.

   • 새로운 Anomali ThreatStream 구성은 다음에서 확인할 수 있습니다 구성 > 보강 제공자 페이지였다면 이 페이지는 건너뜁니다.

로그 유형에 대한 Anomali ThreatStream 보강 활성화, 비활성화 또는 수정하기

Anomali ThreatStream은 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.

특정 로그 유형에 대해 Anomali를 비활성화(또는 나중에 활성화)하거나 Selector를 변경하려면:

1. Panther 콘솔의 왼쪽 탐색 바에서 구성 > 보강.

2. 내부의 보강 목록에서 수정하려는 Anomali ThreatStream 소스를 찾아 이름을 클릭하세요.

3. 제공자 세부 정보 페이지에서, 보강된 로그 유형 헤더 오른쪽에 있는 편집(Edit).

   • 이 보강을 새 로그 유형에 대해 활성화하려면 클릭하세요 로그 유형 추가.

     • 채워지는 새 행에서, 하나의 로그 유형 를 선택하고, LogType 필드에서 최소 하나의 이벤트 필드를 선택하세요.

   • 이 로그 유형에 대한 보강을 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하세요.

   • 로그 유형의 셀렉터를 변경하려면 LogType 필드로 들어가 이벤트 필드 선택을 추가하거나 제거하세요.

4. 오른쪽 상단의 보강된 로그 유형 타일, 클릭 저장.

Anomali ThreatStream 보강 테이블 항목 예시

아래는 쿼리 feed_id=336: