Google Threat Intelligence(베타)
Google Threat Intelligence IoC Stream으로 수신 이벤트 보강
개요
Google Threat Intelligence enrichment는 Panther 버전 1.123부터 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 리포트와 기능 요청 사항은 Panther 지원 팀에 공유해 주세요.
Google Threat Intelligence 는 포괄적인 위협 인텔리전스 데이터를 제공합니다. 이 통합은 Google Threat Intelligence IoC Stream API 를 사용하여 사용자가 팔로우하는 Google Threat Intelligence 컬렉션에서 Indicators of Compromise(IoC)의 거의 실시간 피드를 수집하고, 이를 Panther에 수집된 로그 이벤트와 매칭하여 높은 정확도의 알림을 생성합니다.
Panther에서 Google Threat Intelligence enrichment를 사용하려면 Premium API key 와 Google Threat Intelligence 계정에서 활성화된 IoC 스트림 구독이 필요합니다.
IoC 스트림은 Google Threat Intelligence 사용자에 연결됩니다. 즉, API 키를 소유한 사용자가 팔로우하는 컬렉션의 IoC만 받을 수 있습니다. Panther에 제공하는 API 키가 수집하려는 컬렉션을 구독한 동일한 Google Threat Intelligence 사용자에게 속해 있는지 확인하세요.
Panther에서 Google Threat Intelligence enrichment가 작동하는 방식
기본적으로 Google Threat Intelligence는 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다(원하는 경우 로그 유형에 대해 비활성화할 수도 있습니다). Panther는 각 수신 로그 이벤트가 디택션 엔진을 통과하기 전에, 모든 로그 유형 전반에서 Google Threat Intelligence의 Panther 관리형 enrichment와 일치하는지 확인하려고 시도합니다.
Panther가 일치를 식별하면 수신 이벤트와 Google Threat Intelligence 항목 사이에서 일치가 발견된 경우, Google Threat Intelligence 데이터는 최상위 p_enrichment 키 아래에 일치하는 로그 이벤트에 추가됩니다. 이후 디택션 로직과 검색에서 이를 참조할 수 있습니다.
Panther는 구독한 Google Threat Intelligence 컬렉션에서 매시간 새 IoC를 가져옵니다. 각 가져오기는 마지막 성공 실행 이후 스트림에 추가된 IoC만 가져오며, 이전에 가져온 IoC는 조회 테이블에 유지됩니다(IoC id)를 기준으로 중복 제거). 구성된 최대 보관 기간보다 오래된 IoC는 각 새로 고침 시 자동으로 필터링됩니다.
enrichment 소스를 사용한 디택션 작성에 대한 자세한 내용은 사용자 지정 enrichment 데이터를 사용하여 디택션 작성하기.
로그 이벤트와 Google Threat Intelligence 간 일치가 이루어지는 방식
로그 이벤트는 Google Threat Intelligence의 Panther 관리형 enrichment 데이터로 enrichment됩니다( p_enrichment) 아래) 다음 사이에서 일치가 발견되는 경우:
각 관련 로그 유형에 대해 구성된 Selector 필드의 값 중 하나.
각 로그 유형에 대해 기본 Selectors는 Indicator Fields 이며(
p_any_*) enrichment 테이블 기본 키의 indicator field 지정과 연결됩니다(Selectors는 구성 가능함). 이 자동 매핑에 대해 여기에서 자세히 알아보세요.
의 값
match키는 Panther의 Google Threat Intelligence 테이블 항목에 있습니다.match는 Google Threat Intelligence 테이블의 기본 키이며 indicator 값(IP 주소, 도메인, 파일 해시, URL 등)을 포함합니다.의 예시는
match에서 확인하세요 Google Threat Intelligence 테이블 항목 예시 아래.
Google Threat Intelligence enrichment 설정
1단계: Google Threat Intelligence IoC 컬렉션 구성
Panther에서 Google Threat Intelligence enrichment를 설정하기 전에, Panther가 위협 인텔리전스 데이터를 가져올 수 있도록 Google Threat Intelligence 계정에서 IoC 스트림 구독을 구성해야 합니다.
에 로그인하세요 Google Threat Intelligence.
로 이동하세요 IoC Collections 섹션으로 대시보드에서 이동하세요.
관심 있는 컬렉션을 찾아 클릭하세요.
모니터링하려는 각 컬렉션에 대해:
클릭하세요 Follow.
스트림에서 새 IoC를 받도록 토글을 활성화하세요.
클릭하세요 기본 설정 저장.
구독하려는 모든 컬렉션에 대해 반복하세요.
IoC 스트림에 대한 자세한 안내는 Google Threat Intelligence IoC Stream Guide.
2단계: Panther에서 Google Threat Intelligence enrichment 생성
Panther에서 Google Threat Intelligence enrichment를 구성하려면:
Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요 Configure > Enrichments.
오른쪽 상단에서 다음을 클릭하세요 Create New.
클릭하세요 Google Threat Intelligence.
의 Configuration 탭에서 Settings 양식에 다음 필드의 값을 입력하세요:
Enrichment Name: 통합을 설명하는 이름을 입력하세요.
API Token: Google Threat Intelligence API 키를 입력하세요.
Indicator TTL (Days): enrichment 테이블에 보관할 IoC의 최대 일수를 설정하세요. 이 기준보다 오래된 IoC는 각 새로 고침 중 자동으로 필터링되며 영구적으로 제거됩니다.
클릭하세요 Setup.
의 Verification 탭에서 통합이 성공적으로 생성되었는지 확인한 다음 View Enrichments.
새 Google Threat Intelligence 구성이 Configure > Enrichments 페이지에 표시됩니다.
Google Threat Intelligence enrichment를 추가한 후 수신 로그 데이터가 enrichment되기 시작하기까지 몇 분 정도 지연이 있을 수 있습니다. 이는 초기 데이터 동기화가 완료될 시간을 확보하기 위한 것입니다.
로그 유형에 대해 Google Threat Intelligence enrichment 활성화, 비활성화 또는 수정
Google Threat Intelligence enrichment는 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.
특정 로그 유형에 대해 Google Threat Intelligence enrichment를 비활성화(또는 나중에 활성화)하거나 로그 유형의 selector를 변경하려면:
Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요 Configure > Enrichments.
Enrichments 목록에서 수정하려는 Google Threat Intelligence 소스를 찾아 해당 이름을 클릭하세요.
다음을 클릭하세요 Enriched Log Types 탭.
오른쪽에서 다음을 클릭하세요 Edit Log Types.
이 enrichment를 새 로그 유형에 대해 활성화하려면 다음을 클릭하세요 Add Log Type.
새로 생성된 행에서 Log Type 을 선택하고 Selectors 필드에서 하나 이상의 이벤트 필드를 선택하세요.
로그 유형에 대해 이 enrichment를 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하세요.
로그 유형이 목록에 보이지 않으면 Auto-mapped Log Types옆의 드롭다운 화살표를 클릭하세요. 해당 로그 유형의 행을 찾아 편집 아이콘을 클릭하세요.
로그 유형의 selector를 변경하려면 Selectors 필드를 클릭하여 이벤트 필드 선택을 추가하거나 제거하세요.
오른쪽 상단에서 다음을 클릭하세요 저장.
Google Threat Intelligence enrichment 테이블 항목 예시
아래는 Panther에 의해 정규화된 Google Threat Intelligence IoC 항목의 예시입니다. 구독한 컬렉션의 각 IoC는 고유한 행을 생성하며, indicator 값은 match 필드에 저장됩니다.
GTI.IoCStream 스키마
GTI.IoCStream 스키마다음은 Panther 관리형 GTI.IoCStream 스키마로, Google Threat Intelligence IoC 데이터가 Panther에 저장되는 방식을 나타냅니다. 구독한 컬렉션의 각 indicator는 개별 행이 됩니다.
디택션에서 Google Threat Intelligence 데이터를 사용하는 예시
Google Threat Intelligence enrichment 데이터는 알려진 위협을 식별하기 위한 디택션 로직에 사용할 수 있습니다. 다음 예시는 이벤트가 Google Threat Intelligence indicator와 일치했는지, 그리고 악성으로 표시되었는지 확인합니다:
Google Threat Intelligence enrichment 문제 해결
일반적인 문제
데이터가 가져와지지 않음: Google Threat Intelligence 계정에 활성화된 IoC 컬렉션 구독이 있는지 확인하세요. Panther가 데이터를 수신하려면 최소 하나의 컬렉션을 팔로우하고 활성화해야 합니다. 또한 Panther에 구성된 API 키가 해당 컬렉션을 구독한 동일한 Google Threat Intelligence 사용자에게 속하는지도 확인하세요. IoC 스트림은 사용자별 범위로 지정되므로, 다른 사용자의 키를 사용하면 빈 스트림이 반환됩니다.
API 키 문제: Google Threat Intelligence API 키가 유효한지, Premium API key, 그리고 IoC 스트림 액세스에 적절한 권한이 있는지 확인하세요.
데이터 최신성: 사용 사례에 적합한지 확인하기 위해 Indicator TTL (Days) 설정을 점검하세요. 이 임계값보다 오래된 IoC는 자동으로 필터링됩니다.
추가 문제 해결을 위해 Panther Knowledge Base를 방문하여 enrichment에 관한 문서 보기 를 통해 자주 묻는 질문에 대한 답변을 확인하고 일반적인 오류와 문제를 해결하세요.
마지막 업데이트
도움이 되었나요?