Ctrlk
Knowledge BaseRelease NotesRequest Demo

GreyNoise(Beta)

GreyNoise 위협 인텔리전스 데이터로 들어오는 이벤트를 강화하기

개요

GreyNoise 강화 기능은 Panther 버전 1.117부터 오픈 베타로 제공되며, 모든 고객에게 사용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원 팀과 공유해 주세요.

GreyNoise 인터넷 전반의 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대량 스캐닝을 수행하는 IP를 식별하고 레이블을 지정하여 백그라운드 노이즈를 걸러내도록 보안 팀을 지원하며, 더 빠르고 정확한 위협 디텍션을 가능하게 합니다.

방법 알아보기 저장된 보강 데이터를 여기에서 보기그리고 방법 강화 데이터가 포함된 로그 이벤트를 여기에서 보기.

Panther에서 GreyNoise 강화를 사용하려면 GreyNoise API 키가 필요합니다.

Panther에서 GreyNoise 강화가 작동하는 방식

기본적으로 GreyNoise는 Panther 환경의 모든 로그 소스(에 대해 실행되도록 구성되어 있습니다(원하는 경우 로그 유형별로 비활성화할 수 있지만). Panther는 디텍션 엔진을 통과하기 전에, 모든 로그 유형에 걸쳐 들어오는 각 로그 이벤트를 GreyNoise Panther 관리 강화와 일치시키려 시도합니다.

Panther가 일치 항목을 식별하면 들어오는 이벤트와 GreyNoise 항목 사이의 일치가 확인되면, GreyNoise 데이터는 최상위 p_enrichment 키 아래의 일치하는 로그 이벤트에 추가됩니다. 이후 이를 디텍션 로직과 검색에서 참조할 수 있습니다.

강화 소스를 사용한 디텍션 작성에 대한 자세한 내용은 다음을 참조하세요 사용자 지정 강화 데이터를 사용하여 디텍션 작성.

로그 이벤트와 GreyNoise 간 일치가 만들어지는 방식

다음 항목 사이에서 일치가 발견되면 로그 이벤트는 GreyNoise Panther 관리 강화 데이터( p_enrichment)로 강화됩니다:

아래에서 전체 GreyNoise.API.V3 스키마를 확인하세요.

GreyNoise 강화 설정

1단계: GreyNoise에서 API 키 만들기

  • 다음을 따르세요. GreyNoise 문서 를 사용하여 Panther에서 사용할 API 키를 생성하세요.

2단계: Panther에서 GreyNoise 강화 만들기

Panther에서 GreyNoise 강화를 구성하려면:

  1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. 구성 > Enrichments.

  2. 오른쪽 상단에서 다음을 클릭하세요. 새로 만들기.

  3. 다음을 클릭하세요. GreyNoise.

  4. 다음에서 강화 설정 양식에서 다음 필드의 값을 입력하세요:

    • 이름: 통합에 대한 설명적인 이름을 입력합니다.

    • API 키: 1단계에서 생성한 API 키를 입력합니다.

    • 새로 고침 주기(분): Panther가 GreyNoise 데이터를 얼마나 자주 새로 고칠지 구성합니다. 기본 새로 고침 주기는 360분이며 최소 새로 고침 주기는 60분입니다.

  5. 다음을 클릭하세요. 설정.

    • 새 GreyNoise 구성은 구성 > Enrichments 페이지.

GreyNoise 강화를 추가한 후, 들어오는 로그 데이터가 강화되기 시작하기까지 최대 45분의 지연이 있을 수 있습니다. 이는 초기 데이터 동기화가 완료될 시간을 확보하기 위한 것입니다.

로그 유형에 대한 GreyNoise 강화 활성화, 비활성화 또는 수정

GreyNoise 강화는 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.

특정 로그 유형에 대한 GreyNoise 강화를 비활성화(또는 나중에 활성화)하거나 로그 유형의 Selector를 변경하려면:

  1. Panther Console의 왼쪽 탐색 표시줄에서 구성 > Enrichments.

  2. 강화 목록에서 수정하려는 GreyNoise 소스를 찾은 다음 이름을 클릭합니다.

  3. 다음을 클릭합니다 강화된 로그 유형 탭.

  4. 오른쪽에서 다음을 클릭합니다. 로그 유형 편집.

    • 새 로그 유형에 대해 이 강화를 활성화하려면 로그 유형 추가.

      • 새로 표시되는 행에서 로그 유형 를 선택하고, 셀렉터 필드에는 최소 하나의 이벤트 필드를 입력합니다.

    • 로그 유형에 대해 이 강화를 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭합니다.

      • 목록에 보이는 로그 유형이 없다면 다음 옆의 드롭다운 화살표를 클릭합니다 자동 매핑된 로그 유형. 로그 유형의 행을 찾아 편집 아이콘을 클릭합니다.

    • 로그 유형의 Selector를 변경하려면 셀렉터 필드를 클릭하고 이벤트 필드 선택을 추가하거나 제거합니다.

  5. 오른쪽 상단에서 다음을 클릭하세요. 저장.

GreyNoise 분류 이해하기

GreyNoise는 IP 주소를 다음 범주로 분류합니다:

  • 양호: 악의적이지 않은 일반적인 인터넷 동작을 보이는 IP

  • 악성: 악의적 의도가 알려진 IP

  • 알 수 없음: GreyNoise에 의해 관찰되었지만 아직 분류되지 않은 IP

디텍션에서 GreyNoise 태그 사용 예시

GreyNoise는 스캐닝 동작에 대한 상세 태그를 제공합니다. recommend_block 태그 내 필드는 GreyNoise가 해당 IP 주소의 트래픽 차단을 권장하는지 나타냅니다. 이는 디텍션 로직에서 특히 유용할 수 있습니다:

GreyNoise 강화 테이블 항목 예시

아래는 Panther가 정규화한 GreyNoise API 응답 예시로, 양호한 스캐닝 동작을 보이는 알려진 CDN 서비스의 일부로 식별된 IP 주소를 보여줍니다:

GreyNoise 데이터 구조

비즈니스 서비스 인텔리전스

비즈니스 서비스 인텔리전스는 IP 주소가 알려진 비즈니스 서비스(CDN, 클라우드 제공업체 또는 기타 상용 서비스 등)에 속하는지 식별하는 데 도움이 됩니다. 이 정보는 오탐지를 필터링하고 네트워크 트래픽의 맥락을 이해하는 데 매우 중요할 수 있습니다.

  • found: IP가 GreyNoise의 비즈니스 서비스 데이터베이스에서 발견되었는지 여부

  • category: 비즈니스 서비스 유형(예: CDN, 호스팅, 클라우드 제공업체)

  • name: 비즈니스 서비스 이름(예: Cloudflare, AWS, Google)

  • description: 비즈니스 서비스에 대한 설명

  • explanation: 이 IP가 서비스와 연결된 이유에 대한 추가 맥락

  • last_updated: 이 비즈니스 서비스 정보가 마지막으로 업데이트된 시각

  • reference: 서비스에 대한 추가 정보를 위한 URL 참조

  • trust_level: 서비스의 신뢰도를 나타내는 숫자 신뢰 수준(값이 높을수록 더 신뢰할 수 있는 서비스)

인터넷 스캐너 인텔리전스

인터넷 스캐너 인텔리전스는 인터넷 전반의 스캐닝 또는 공격 활동을 수행하는 것으로 관찰된 IP에 대한 상세 정보를 제공합니다. 이는 GreyNoise의 핵심 위협 인텔리전스 데이터입니다.

  • found: 해당 IP에 대한 인터넷 스캐너 인텔리전스 데이터가 발견되었는지 여부

  • first_seen: GreyNoise가 이 IP를 처음 관찰한 날짜

  • last_seen: GreyNoise가 이 IP를 마지막으로 관찰한 날짜

  • last_seen_timestamp: 마지막 관찰의 상세 타임스탬프

  • 행위자: 스캐닝 활동과 연결된 위협 행위자 또는 엔터티

  • spoofable: 관찰된 트래픽이 쉽게 스푸핑 가능한지 여부

  • classification: IP의 분류(양호, 악성, 또는 알 수 없음)

  • cves: 이 IP의 스캐닝 활동과 관련된 CVE 식별자 배열

  • bot: IP가 봇으로 식별되었는지 여부

  • vpn: IP가 VPN 서비스와 연결되어 있는지 여부

  • vpn_service: 식별된 경우 VPN 서비스 이름

  • tor: IP가 알려진 Tor 출구 노드인지 여부

  • tags: 스캐닝 활동을 설명하는 행동 태그 배열(GreyNoise 태그를 디텍션에서 사용하기 참조)

  • metadata: ASN, 지리 정보, 조직, 스캐닝 패턴을 포함한 IP에 대한 상세 메타데이터

메타데이터

Internet Scanner Intelligence 내의 metadata 객체는 스캐닝 IP에 대한 상세 맥락을 제공합니다:

  • asn: 자율 시스템 번호

  • carrier: 해당되는 경우 모바일 통신사

  • category: IP 범주(예: 호스팅, 비즈니스, ISP)

  • datacenter: 해당되는 경우 데이터센터 제공업체

  • destination_asns: 이 IP가 스캐닝 대상으로 삼은 ASN 배열

  • destination_cities: 이 IP가 스캐닝 대상으로 삼은 도시 배열

  • destination_countries: 이 IP가 스캐닝 대상으로 삼은 국가 배열

  • destination_country_codes: 이 IP가 스캐닝 대상으로 삼은 국가 코드 배열

  • 도메인: IP와 연결된 도메인

  • latitude / longitude: 지리 좌표

  • mobile: IP가 모바일 네트워크와 연결되어 있는지 여부

  • organization: IP를 소유한 조직

  • os: 감지된 운영 체제

  • rdns: 역방향 DNS 조회 결과

  • rdns_parent: 역방향 DNS의 상위 도메인

  • rdns_validated: 역방향 DNS가 검증되었는지 여부

  • 리전: 지리적 지역

  • sensor_count: 이 IP를 관찰한 GreyNoise 센서 수

  • sensor_hits: 모든 센서에서 이 IP가 관찰된 총 횟수

  • single_destination: IP가 단일 대상만 겨냥하는지 여부

  • source_city / source_country / source_country_code: 소스 위치 정보

Tags

Internet Scanner Intelligence의 태그는 GreyNoise가 식별한 특정 행동 패턴을 나타냅니다:

  • id: 태그의 고유 식별자

  • name: 태그의 표시 이름

  • slug: URL 친화적인 식별자

  • category: 태그 범주(예: 활동, 도구, 웜)

  • description: 이 태그가 의미하는 바에 대한 상세 설명

  • intention: 의도 분류(양호, 악성, 또는 알 수 없음)

  • recommend_block: GreyNoise가 이 태그가 있는 IP의 트래픽 차단을 권장하는지 여부

  • created: 이 태그가 생성된 날짜

  • updated_at: 이 태그의 마지막 업데이트 시각

  • cves: 이 태그와 관련된 CVE 식별자 배열

  • references: 이 태그와 관련된 외부 참조 또는 인용

GreyNoise.API.V3 스키마에서 살펴보겠습니다

다음은 Panther가 관리하는 GreyNoise.API.V3 스키마로, GreyNoise 인텔리전스 데이터가 Panther에 저장되는 방식을 나타냅니다. 위에서 이 스키마로 파싱된 이벤트를 확인하세요.

이전Google 위협 인텔리전스(Beta)다음IPinfo

마지막 업데이트

도움이 되었나요?