search
Knowledge BaseRelease NotesRequest Demo

GreyNoise(베타)

들어오는 이벤트를 GreyNoise 위협 인텔리전스 데이터로 보강하기

hashtag
개요

circle-info

GreyNoise 보강은 Panther 버전 1.117부터 오픈 베타로 제공되며 모든 고객이 이용할 수 있습니다. 버그 리포트나 기능 요청이 있으면 Panther 지원 팀에 공유해 주세요.

GreyNoisearrow-up-right 인터넷 전체의 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대규모 스캔을 수행하는 IP를 식별하고 라벨링하여 백그라운드 노이즈를 걸러내 보안팀이 더 빠르고 정확하게 위협을 탐지할 수 있도록 도와줍니다.

다음 방법을 알아보세요 여기에 저장된 보강 데이터를 보는 방법, 및 방법 여기에서 보강 데이터가 포함된 로그 이벤트 보기arrow-up-right.

circle-exclamation

Panther에서 GreyNoise 보강을 사용하려면 GreyNoise API 키가 필요합니다.

hashtag
Panther에서 GreyNoise 보강이 작동하는 방식

기본적으로 GreyNoise는 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성됩니다 (원한다면 로그 유형에 대해 비활성화하는 것도 가능합니다). Panther는 수신되는 각 로그 이벤트를 모든 로그 유형에서 Panther가 관리하는 GreyNoise 보강과 매칭하려 시도한 다음 탐지 엔진을 통과시킵니다.

Panther가 일치 항목을 식별하면 수신 이벤트와 GreyNoise 항목 간에 일치 항목이 발견되면 GreyNoise 데이터가 최상위 p_enrichment 키 아래의 일치하는 로그 이벤트에 추가됩니다. 그런 다음 탐지 로직 및 검색에서 참조할 수 있습니다.

보강 소스를 사용하여 탐지를 작성하는 방법에 대한 자세한 내용은 사용자 지정 보강 데이터를 사용하여 탐지 작성하기.

hashtag
로그 이벤트와 GreyNoise 간의 일치가 이루어지는 방법

다음 항목 사이에 일치가 발견되면 로그 이벤트는 Panther가 관리하는 GreyNoise 보강 데이터(아래 p_enrichment)로 보강됩니다:

  • 각 연관된 로그 유형에 대해 구성된 Selector 필드의 값 중 어느 것이라도.

  • . AWS에서 발행된 토큰의 속성을 변환하거나 결합하기 위해 cidr Panther의 GreyNoise 테이블 항목에 있는 키.

아래에서 GreyNoise.API.V3 전체 스키마를 확인하세요.

hashtag
GreyNoise 보강 설정

hashtag
1단계: GreyNoise에서 API 키 생성

hashtag
2단계: Panther에서 GreyNoise 보강 생성

Panther에서 GreyNoise 보강을 구성하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 엔리치먼트.

  2. 오른쪽 상단에서 클릭하십시오 새로 만들기.

  3. 클릭 GreyNoise.

  4. 다음 보강 설정 양식에 다음 필드에 대한 값을 제공하세요:

    • 이름: 통합에 대한 설명 이름을 입력하세요.

    • API 키: 1단계에서 생성한 API 키를 입력하세요.

    • 갱신 주기(분): Panther가 GreyNoise 데이터를 얼마나 자주 갱신할지 구성합니다. 기본 갱신 주기는 360분이며 최소 갱신 주기는 60분입니다.

  5. 클릭 설정.

    • 새 GreyNoise 구성은 다음에서 확인할 수 있습니다 구성 > 엔리치먼트 페이지를 참조하세요.

circle-info

GreyNoise 보강을 추가한 후에는 수신되는 로그 데이터가 보강되기까지 최대 45분의 지연이 있을 수 있습니다. 이는 초기 데이터 동기화가 완료되는 시간을 허용하기 위함입니다.

hashtag
로그 유형에 대한 GreyNoise 보강 활성화, 비활성화 또는 수정

GreyNoise 보강은 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.

특정 로그 유형에 대해 GreyNoise 보강을 비활성화(또는 나중에 다시 활성화)하거나 로그 유형의 Selector를 변경하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 구성 > 엔리치먼트.

  2. 보강 목록에서 수정하려는 GreyNoise 소스를 찾아 이름을 클릭하세요.

  3. 클릭하세요 보강된 로그 유형 탭을 클릭하십시오.

  4. 오른쪽에서 클릭하세요 로그 유형 편집.

    • 이 보강을 새 로그 유형에 대해 활성화하려면 클릭하세요 로그 유형 추가.

      • 새로 채워지는 행에서, 를 선택하고 로그 유형 필드에 적어도 하나의 이벤트 필드를 선택하세요. 선택기 필드에서 적어도 하나의 이벤트 필드를 선택하세요.

    • 이 보강을 특정 로그 유형에 대해 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하세요.

      • 로그 유형이 목록에 보이지 않으면 옆의 드롭다운 화살표를 클릭하세요 자동 매핑된 로그 유형. 해당 로그 유형의 행을 찾아 편집 아이콘을 클릭하세요.

    • 로그 유형의 Selector를 변경하려면, 필드에 클릭하여 이벤트 필드 선택을 추가하거나 제거하세요. 선택기 필드에 클릭하여 이벤트 필드 선택을 추가하거나 제거하세요.

  5. 오른쪽 상단에서 클릭하십시오 저장.

hashtag
GreyNoise 분류 이해하기

GreyNoise는 IP 주소를 다음 카테고리로 분류합니다:

  • 양성(Benign): 악의적이지 않은 일반적인 인터넷 활동을 보이는 IP

  • 악성(Malicious): 알려진 악의적 의도를 가진 IP

  • 알 수 없음(Unknown): GreyNoise에 의해 관찰되었으나 아직 분류되지 않은 IP

hashtag
탐지에서 GreyNoise 태그 사용 예시

GreyNoise는 스캔 행동에 대한 자세한 태그를 제공합니다. recommend_block 태그 내의 필드는 GreyNoise가 해당 IP 주소로부터의 트래픽 차단을 권장하는지 여부를 나타냅니다. 이는 탐지 로직에서 특히 유용할 수 있습니다:

hashtag
GreyNoise 보강 테이블 항목 예시

아래는 Panther가 정규화한 GreyNoise API 응답의 예로, 양성 스캔 동작을 보이는 알려진 CDN 서비스의 일부로 식별된 IP 주소를 보여줍니다:

hashtag
GreyNoise 데이터 구조

chevron-right비즈니스 서비스 인텔리전스hashtag

비즈니스 서비스 인텔리전스는 IP 주소가 CDN, 클라우드 제공업체 또는 기타 상업적 서비스와 같은 알려진 비즈니스 서비스에 속하는지 식별하는 데 도움을 줍니다. 이 정보는 오탐을 필터링하고 네트워크 트래픽의 맥락을 이해하는 데 중요할 수 있습니다.

  • found: 해당 IP가 GreyNoise의 비즈니스 서비스 데이터베이스에서 발견되었는지 여부

  • category: 비즈니스 서비스의 유형(예: CDN, 호스팅, 클라우드 제공업체)

  • 이름: 비즈니스 서비스의 이름(예: Cloudflare, AWS, Google)

  • 설명: 비즈니스 서비스에 대한 설명

  • explanation: 이 IP가 해당 서비스와 연관된 이유에 대한 추가 맥락

  • last_updated: 이 비즈니스 서비스 정보가 마지막으로 업데이트된 시각

  • reference: 서비스에 대한 추가 정보를 위한 URL 참조

  • trust_level: 서비스의 신뢰도(숫자형) (값이 높을수록 더 신뢰할 수 있는 서비스임을 나타냄)

chevron-right인터넷 스캐너 인텔리전스hashtag

인터넷 스캐너 인텔리전스는 인터넷 전체를 대상으로 스캔하거나 공격 활동을 수행하는 것으로 관찰된 IP에 대한 자세한 정보를 제공합니다. 이는 GreyNoise의 핵심 위협 인텔리전스 데이터입니다.

  • found: 해당 IP에 대해 인터넷 스캐너 인텔리전스 데이터가 발견되었는지 여부

  • first_seen: GreyNoise가 이 IP를 처음 관찰한 날짜

  • last_seen: GreyNoise가 이 IP를 마지막으로 관찰한 날짜

  • last_seen_timestamp: 마지막 관찰의 상세 타임스탬프

  • 행위자(actor): 스캔 활동과 연관된 위협 행위자 또는 엔터티

  • spoofable: 관찰된 트래픽이 쉽게 스푸핑될 수 있는지 여부

  • classification: IP의 분류(양성, 악성 또는 알 수 없음)

  • cves: 이 IP의 스캔 활동과 관련된 CVE 식별자의 배열

  • bot: 해당 IP가 봇으로 식별되었는지 여부

  • vpn: 해당 IP가 VPN 서비스와 연관되어 있는지 여부

  • vpn_service: 식별된 경우 VPN 서비스의 이름

  • tor: 해당 IP가 알려진 Tor 익스핏 노드인지 여부

  • tags: 스캔 활동을 설명하는 행동 태그의 배열(탐지에서 GreyNoise 태그 사용 참조)

  • metadata: ASN, 지리 위치, 조직 및 스캔 패턴을 포함한 IP에 대한 상세 메타데이터

chevron-right메타데이터hashtag

인터넷 스캐너 인텔리전스 내의 metadata 객체는 스캔하는 IP에 대한 상세한 컨텍스트를 제공합니다:

  • asn: 자율 시스템 번호(ASN)

  • carrier: 해당되는 경우 모바일 통신사

  • category: IP 카테고리(예: 호스팅, 비즈니스, ISP)

  • datacenter: 해당되는 경우 데이터센터 제공업체

  • destination_asns: 이 IP가 스캔 대상으로 삼은 대상 ASN들의 배열

  • destination_cities: 이 IP가 스캔 대상으로 삼은 대상 도시들의 배열

  • destination_countries: 이 IP가 스캔 대상으로 삼은 대상 국가들의 배열

  • destination_country_codes: 이 IP가 스캔 대상으로 삼은 대상 국가 코드들의 배열

  • domain: 해당 IP와 연관된 도메인

  • latitude / longitude: 지리 좌표

  • mobile: 해당 IP가 모바일 네트워크와 연관되어 있는지 여부

  • organization: 해당 IP를 소유한 조직

  • : 다음 중 하나를 사용하세요:: 해당 IP에서 감지된 운영 체제

  • rdns: 역방향 DNS 조회 결과

  • rdns_parent: 역방향 DNS의 상위 도메인

  • rdns_validated: 역방향 DNS가 검증되었는지 여부

  • 리전: 지리적 지역

  • sensor_count: 이 IP를 관찰한 GreyNoise 센서 수

  • sensor_hits: 모든 센서에서 이 IP가 관찰된 총 횟수

  • single_destination: 해당 IP가 단일 대상만을 겨냥하는지 여부

  • source_city / source_country / source_country_code: 소스 위치 정보

chevron-right태그hashtag

인터넷 스캐너 인텔리전스 내의 태그는 GreyNoise가 식별한 특정 행동 패턴을 나타냅니다:

  • id: 태그의 고유 식별자

  • 이름: 태그의 표시 이름

  • slug: URL 친화적인 식별자

  • category: 태그 카테고리(예: activity, tool, worm)

  • 설명: 이 태그가 무엇을 나타내는지에 대한 자세한 설명

  • intention: 의도 분류(양성, 악성 또는 알 수 없음)

  • recommend_block: GreyNoise가 이 태그를 가진 IP의 트래픽 차단을 권장하는지 여부

  • created: 이 태그가 생성된 날짜

  • updated_at: 이 태그의 마지막 업데이트 시각

  • cves: 이 태그와 연관된 CVE 식별자의 배열

  • references: 이 태그와 관련된 외부 참조 또는 인용

hashtag
GreyNoise.API.V3 업로더는 기존 스키마가 있는지 확인하고 업데이트를 진행하거나 일치하는 스키마 이름이 없으면 새로 생성합니다.

다음은 Panther가 관리하는 GreyNoise.API.V3 스키마로, GreyNoise 인텔리전스 데이터가 Panther에 어떻게 저장되는지를 나타냅니다. 위에서 이 스키마로 파싱된 이벤트를 확인하세요.

PreviousGoogle Workspace 프로필NextIPinfo

Last updated

Was this helpful?