> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/enrichment/greynoise.md).
# GreyNoise
## 개요
[GreyNoise](https://www.greynoise.io) 인터넷 전반의 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대규모 스캔을 수행하는 IP를 식별하고 라벨링함으로써 보안 팀이 배경 노이즈를 걸러내도록 도와 더 빠르고 정확한 위협 디택션을 가능하게 합니다.
방법 알아보기 [저장된 enrichment 데이터를 여기에서 보기](/ko/enrichment.md#viewing-and-managing-enrichments), 그리고 방법 [보강 데이터가 포함된 로그 이벤트를 여기에서 확인하세요](https://docs.panther.com/enrichment#viewing-log-events-with-enrichment-data).
{% hint style="warning" %}
Panther의 GreyNoise 보강에는 GreyNoise API 키가 필요합니다.
{% endhint %}
## Panther에서 GreyNoise 보강이 작동하는 방식
기본적으로 GreyNoise는 Panther 환경의 모든 로그 소스([에 대해 실행되도록 구성되어 있지만, 원하는 경우 로그 유형별로 비활성화할 수 있습니다](#enabling-disabling-or-modifying-greynoise-enrichment-for-a-log-type)). Panther는 디택션 엔진을 통과하기 전에 모든 로그 유형에서 들어오는 각 로그 이벤트를 GreyNoise Panther 관리 보강과 일치시키려고 시도합니다.
Panther가 [일치 항목을 식별하면](#how-a-match-between-a-log-event-and-greynoise-is-made) 들어오는 이벤트와 GreyNoise 항목 간에 일치가 발견되면, GreyNoise 데이터는 일치하는 로그 이벤트의 최상위 수준의 `p_enrichment` 키에 추가됩니다. 그런 다음 디택션 로직과 검색에서 참조할 수 있습니다.
보강 소스를 사용한 디택션 작성에 대한 자세한 내용은 다음을 참조하세요: [사용자 지정 보강 데이터를 사용하여 디택션 작성](/ko/enrichment/custom.md#writing-a-detection-using-custom-enrichment-data).
### 로그 이벤트와 GreyNoise 간의 일치가 이루어지는 방식
로그 이벤트는 GreyNoise Panther 관리 보강 데이터(아래의 `p_enrichment`) 다음 항목 간에 일치가 발견되면 보강됩니다:
* 각 연관된 로그 유형에 대해 구성된 Selector 필드의 값 중 하나라도.
* 각 로그 유형에 대한 기본 Selector는 [지표 필드](/ko/search/panther-fields.md) (으로 표시되는 `p_any_*`)입니다. 이는 보강 테이블의 기본 키의 indicator 필드 지정과 연관되며(단, Selector는 구성할 수 있습니다). [이 자동 매핑에 대해 자세히 알아보려면 여기를 참조하세요](/ko/enrichment/custom.md#option-2-let-log-types-and-selectors-be-automatically-mapped-by-indicator-fields).
* 다음의 값은 `IP` Panther의 GreyNoise 테이블 항목의 키입니다.
* `IP` 는 GreyNoise 테이블의 기본 키이며 Panther에서 미리 설정됩니다.
* 다음의 예를 보세요 `IP` 다음의 [GreyNoise 보강 테이블 항목 예시](#example-greynoise-enrichment-table-entry) 아래.
아래에서 전체 GreyNoise.API.V3 스키마를 확인하세요.
## GreyNoise 보강 설정하기
### 1단계: GreyNoise에서 API 키 만들기
* 다음을 따르세요 [GreyNoise 문서](https://docs.greynoise.io/docs/using-the-greynoise-api) Panther에서 사용할 API 키를 생성합니다.
### 2단계: Panther에서 GreyNoise 보강 만들기
Panther에서 GreyNoise 보강을 구성하려면:
1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **보강**.
2. 오른쪽 상단에서 다음을 클릭합니다: **새로 만들기**.
3. 다음을 클릭합니다: **GreyNoise**.
4. 다음의 **보강 설정** 양식에서 다음 필드의 값을 입력합니다:
* **이름**: 통합에 대한 설명적인 이름을 입력합니다.
* **API Key**: 1단계에서 생성한 API 키를 입력합니다.
* **새로 고침 주기(분)**: Panther가 GreyNoise 데이터를 얼마나 자주 새로 고칠지 구성합니다. 기본 새로 고침 주기는 360분이며 최소 새로 고침 주기는 60분입니다.
5. 다음을 클릭합니다: **설정**.
* 새 GreyNoise 구성은 다음에서 볼 수 있습니다. **구성** > **보강** 페이지를 참조하세요.
{% hint style="info" %}
GreyNoise 보강을 추가한 후, 들어오는 로그 데이터가 보강되기 시작하기까지 최대 45분의 지연이 있을 수 있습니다. 이는 초기 데이터 동기화가 완료될 시간을 확보하기 위한 것입니다.
{% endhint %}
## 로그 유형에 대한 GreyNoise 보강을 활성화, 비활성화 또는 수정하기
GreyNoise 보강은 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.
특정 로그 유형에 대한 GreyNoise 보강을 비활성화(또는 나중에 활성화)하거나 로그 유형의 Selector를 변경하려면:
1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭합니다 **구성** > **보강**.
2. 보강 목록에서 수정하려는 GreyNoise 소스를 찾아 이름을 클릭합니다.
3. 다음을 클릭합니다 **보강된 로그 유형** 탭.
4. 오른쪽에서 다음을 클릭합니다 **로그 유형 편집**.
* 이 보강을 새 로그 유형에 활성화하려면 다음을 클릭합니다 **로그 유형 추가**.
* 새로 표시되는 행에서 다음을 선택합니다 **로그 유형** 그리고 다음의 **Selectors** 필드에서 최소 하나의 이벤트 필드를 선택합니다.
* 로그 유형에 대해 이 보강을 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭합니다.
* 로그 유형이 목록에 보이지 않으면 다음 옆의 드롭다운 화살표를 클릭합니다 **자동 매핑된 로그 유형**. 로그 유형의 행을 찾아 편집 아이콘을 클릭합니다.
* 로그 유형의 Selector를 변경하려면 다음에 클릭합니다 **Selectors** 필드에서 이벤트 필드 선택을 추가하거나 제거합니다.
5. 오른쪽 상단에서 다음을 클릭합니다: **저장**.
## GreyNoise 분류 이해하기
GreyNoise는 IP 주소를 다음 범주로 분류합니다:
* **양성**: 악의적이지 않은 일반적인 인터넷 행동을 보이는 IP
* **악성**: 알려진 악의적 의도를 가진 IP
* **알 수 없음**: GreyNoise에 의해 관찰되었지만 아직 분류되지 않은 IP
## 디택션에서 GreyNoise 태그를 사용하는 예
GreyNoise는 스캔 동작에 대한 자세한 태그를 제공합니다. `recommend_block` 태그 내의 필드는 GreyNoise가 해당 IP 주소의 트래픽 차단을 권장하는지 여부를 나타냅니다. 이는 디택션 로직에서 특히 유용할 수 있습니다:
```python
def 룰(event):
enrichment = event.get('p_enrichment', {})
greynoise_data = enrichment.get('greynoise_your_integration_name', {})
if not greynoise_data:
return False
# 차단을 권장하는 태그가 있는지 확인
tags = greynoise_data.get('internet_scanner_intelligence', {}).get('tags', [])
for tag in tags:
if tag.get('recommend_block'):
return True
return False
```
## GreyNoise 보강 테이블 항목 예시
아래는 Panther에 의해 정규화된 GreyNoise API 응답의 예시로, 알려진 CDN 서비스의 일부로 식별된 IP 주소와 양성 스캔 동작을 보여줍니다:
```json
{
"business_service_intelligence": {
"category": "CDN",
"description": "콘텐츠 전송 네트워크 서비스",
"explanation": "이 IP는 알려진 CDN 인프라의 일부입니다",
"found": true,
"last_updated": "2023-09-15T10:30:00Z",
"name": "Cloudflare",
"reference": "https://www.cloudflare.com",
"trust_level": 3
},
"internet_scanner_intelligence": {
"actor": "unknown",
"bot": true,
"classification": "benign",
"cves": [],
"first_seen": "2023-01-15",
"found": true,
"last_seen": "2023-09-20",
"last_seen_timestamp": "2023-09-20 14:25:30",
"metadata": {
"asn": "AS13335",
"category": "hosting",
"datacenter": "Cloudflare",
"destination_countries": ["US", "GB", "DE"],
"domain": "cloudflare.com",
"latitude": 37.7749,
"longitude": -122.4194,
"mobile": false,
"organization": "Cloudflare, Inc.",
"os": "Linux 3.11+",
"rdns": "one.one.one.one",
"rdns_validated": true,
"region": "California",
"sensor_count": 150,
"sensor_hits": 2500,
"single_destination": false,
"source_city": "San Francisco",
"source_country": "United States",
"source_country_code": "US"
},
"spoofable": false,
"tags": [
{
"category": "tool",
"created": "2023-01-15",
"cves": [],
"description": "HTTP 스캐너 동작이 감지됨",
"id": "web_scanner_http",
"intention": "benign",
"name": "Web Scanner (HTTP)",
"recommend_block": false,
"references": [],
"slug": "web-scanner-http",
"updated_at": "2023-09-01T12:00:00Z"
}
],
"tor": false,
"vpn": false,
"vpn_service": ""
},
"ip": "198.51.100.42"
}
```
## GreyNoise 데이터 구조
비즈니스 서비스 인텔리전스
비즈니스 서비스 인텔리전스는 IP 주소가 알려진 비즈니스 서비스(CDN, 클라우드 제공업체 또는 기타 상용 서비스 등)에 속하는지 식별하는 데 도움이 됩니다. 이 정보는 오탐을 걸러내고 네트워크 트래픽의 맥락을 이해하는 데 매우 중요할 수 있습니다.
* `found`: 해당 IP가 GreyNoise의 비즈니스 서비스 데이터베이스에서 발견되었는지 여부
* `category`: 비즈니스 서비스 유형(예: CDN, 호스팅, 클라우드 제공업체)
* `이름`: 비즈니스 서비스 이름(예: Cloudflare, AWS, Google)
* `설명`: 비즈니스 서비스에 대한 설명
* `explanation`: 이 IP가 해당 서비스와 연관된 이유에 대한 추가 맥락
* `last_updated`: 이 비즈니스 서비스 정보가 마지막으로 업데이트된 시점의 타임스탬프
* `reference`: 서비스에 대한 자세한 정보를 위한 URL 참조
* `trust_level`: 서비스의 신뢰성을 나타내는 숫자 신뢰 수준(값이 높을수록 더 신뢰할 수 있는 서비스)
인터넷 스캐너 인텔리전스
인터넷 스캐너 인텔리전스는 인터넷 전반의 스캐닝 또는 공격 활동을 수행하는 것으로 관찰된 IP에 대한 자세한 정보를 제공합니다. 이는 GreyNoise의 핵심 위협 인텔리전스 데이터입니다.
* `found`: 해당 IP에 대한 인터넷 스캐너 인텔리전스 데이터가 발견되었는지 여부
* `first_seen`: 이 IP가 GreyNoise에 의해 처음 관찰된 날짜
* `last_seen`: 이 IP가 GreyNoise에 의해 마지막으로 관찰된 날짜
* `last_seen_timestamp`: 마지막 관찰의 상세 타임스탬프
* `행위자`: 스캐닝 활동과 관련된 위협 행위자 또는 개체
* `spoofable`: 관찰된 트래픽이 쉽게 스푸핑될 수 있는지 여부
* `classification`: IP의 분류(양성, 악성 또는 알 수 없음)
* `cves`: 이 IP의 스캐닝 활동과 관련된 CVE 식별자 배열
* `bot`: 해당 IP가 봇으로 식별되었는지 여부
* `vpn`: 해당 IP가 VPN 서비스와 연관되어 있는지 여부
* `vpn_service`: 식별된 경우 VPN 서비스의 이름
* `tor`: 해당 IP가 알려진 Tor 종료 노드인지 여부
* `태그`: 스캐닝 활동을 설명하는 행동 태그 배열(디택션에서 GreyNoise 태그 사용 참조)
* `metadata`: ASN, 지리적 위치, 조직 및 스캐닝 패턴을 포함한 IP에 대한 상세 메타데이터
메타데이터
인터넷 스캐너 인텔리전스 내의 metadata 객체는 스캐닝 IP에 대한 상세 맥락을 제공합니다:
* `asn`: 자율 시스템 번호
* `carrier`: 해당되는 경우 이동통신사
* `category`: IP 범주(예: 호스팅, 비즈니스, ISP)
* `datacenter`: 해당되는 경우 데이터센터 제공업체
* `destination_asns`: 이 IP로부터의 스캐닝 대상이 된 ASN 배열
* `destination_cities`: 이 IP로부터의 스캐닝 대상이 된 도시 배열
* `destination_countries`: 이 IP로부터의 스캐닝 대상이 된 국가 배열
* `destination_country_codes`: 이 IP로부터의 스캐닝 대상이 된 국가 코드 배열
* `도메인`: IP와 연관된 도메인
* `latitude` / `longitude`: 지리적 좌표
* `mobile`: 해당 IP가 이동통신 네트워크와 연관되어 있는지 여부
* `organization`: 해당 IP를 소유한 조직
* `os`: 감지된 운영체제
* `rdns`: 역방향 DNS 조회 결과
* `rdns_parent`: 역방향 DNS의 상위 도메인
* `rdns_validated`: 역방향 DNS가 검증되었는지 여부
* `리전`: 지리적 지역
* `sensor_count`: 이 IP를 관찰한 GreyNoise 센서 수
* `sensor_hits`: 모든 센서에서 이 IP가 관찰된 총 횟수
* `single_destination`: 해당 IP가 단일 대상만 노리는지 여부
* `source_city` / `source_country` / `source_country_code`: 소스 위치 정보
Tags
인터넷 스캐너 인텔리전스 내의 태그는 GreyNoise가 식별한 특정 행동 패턴을 나타냅니다:
* `id`: 태그의 고유 식별자
* `이름`: 태그의 표시 이름
* `slug`: URL 친화적인 식별자
* `category`: 태그 범주(예: 활동, 도구, 웜)
* `설명`: 이 태그가 나타내는 내용에 대한 자세한 설명
* `intention`: 의도 분류(양성, 악성 또는 알 수 없음)
* `recommend_block`: GreyNoise가 이 태그가 있는 IP의 트래픽 차단을 권장하는지 여부
* `created`: 이 태그가 생성된 날짜
* `updated_at`: 이 태그의 마지막 업데이트 타임스탬프
* `cves`: 이 태그와 연관된 CVE 식별자 배열
* `references`: 이 태그와 관련된 외부 참조 또는 인용
### `GreyNoise.API.V3` 스키마
다음은 Panther가 관리하는 `GreyNoise.API.V3` 스키마로, GreyNoise 인텔리전스 데이터가 Panther에 저장되는 방식을 나타냅니다. 위에서 이 스키마로 파싱된 이벤트를 확인하세요.
```yaml
스키마: GreyNoise.API.V3
설명: GreyNoise Intelligence는 대규모 스캐닝을 수행하는 IP를 식별하고 라벨링함으로써 보안 팀이 인터넷 전반의 스캔 및 공격 노이즈를 걸러내도록 돕고, 더 빠르고 정확한 위협 디택션을 가능하게 합니다. 우리는 가장 크고 정교한 인터넷 센서 네트워크로 구동되는 실시간 검증 가능한 위협 인텔리전스를 제공합니다.
참조 URL: https://docs.greynoise.io/docs/api-v3-response
fields:
- 이름: business_service_intelligence
설명: IP에 대한 비즈니스 서비스 인텔리전스 데이터로, IP 주소와 연관된 비즈니스 서비스의 범주, 설명, 해석, 신뢰 수준 및 메타데이터를 포함합니다
type: object
fields:
- name: category
설명: 비즈니스 서비스의 범주 분류
type: string
- 이름: description
설명: 비즈니스 서비스 설명
type: string
- 이름: explanation
설명: 비즈니스 서비스 인텔리전스에 대한 자세한 설명
type: string
- 이름: found
설명: IP에 대한 비즈니스 서비스 인텔리전스 데이터가 발견되었는지 여부를 나타냅니다
유형: boolean
- 이름: last_updated
설명: 비즈니스 서비스 인텔리전스 데이터가 마지막으로 업데이트된 타임스탬프
type: timestamp
timeFormats:
- rfc3339
- 이름: name
설명: 비즈니스 서비스 이름
type: string
- 이름: reference
설명: 비즈니스 서비스의 참조 URL 또는 식별자
type: string
- 이름: trust_level
설명: 비즈니스 서비스의 신뢰 수준 점수
type: bigint
- 이름: internet_scanner_intelligence
설명: IP에 대한 인터넷 스캐너 인텔리전스 데이터로, 행위자 정보, 봇 감지, 분류, CVE, 태그, VPN/Tor 상태, 그리고 IP의 스캐닝 동작 및 특성에 대한 메타데이터를 포함합니다
type: object
fields:
- 이름: actor
설명: 스캐닝 활동과 관련된 행위자 또는 조직
type: string
- 이름: bot
설명: 해당 IP가 봇으로 식별되었는지 여부를 나타냅니다
유형: boolean
- 이름: classification
설명: IP의 스캐닝 동작 분류
type: string
- 이름: cves
설명: IP와 관련된 Common Vulnerabilities and Exposures(CVE) 목록
type: array
element:
type: string
표시자:
- cve
- 이름: first_seen
설명: IP가 GreyNoise 센서에 처음 관찰된 날짜
type: timestamp
timeFormats:
- '%Y-%m-%d'
- 이름: found
설명: IP에 대한 인터넷 스캐너 인텔리전스 데이터가 발견되었는지 여부를 나타냅니다
유형: boolean
- 이름: last_seen
설명: IP가 GreyNoise 센서에 마지막으로 관찰된 날짜
type: timestamp
timeFormats:
- '%Y-%m-%d'
- 이름: last_seen_timestamp
설명: IP가 GreyNoise 센서에 마지막으로 관찰된 타임스탬프
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S'
isEventTime: true
- 이름: metadata
설명: IP 주소에 대한 지리 및 네트워크 메타데이터
type: object
fields:
- 이름: asn
설명: IP와 연관된 자율 시스템 번호(ASN)
type: string
- 이름: carrier
설명: IP와 연관된 이동통신사 또는 ISP 이름
type: string
- name: category
설명: IP의 범주 분류
type: string
- 이름: datacenter
설명: IP가 데이터센터에 호스팅된 경우 데이터센터 이름
type: string
- 이름: destination_asns
설명: 이 IP가 스캐닝한 것으로 관찰된 대상 ASN 목록
type: array
element:
type: string
- 이름: destination_cities
설명: 이 IP가 스캐닝한 것으로 관찰된 대상 도시 목록
type: array
element:
type: string
- 이름: destination_countries
설명: 이 IP가 스캐닝한 것으로 관찰된 대상 국가 목록
type: array
element:
type: string
- 이름: destination_country_codes
설명: 이 IP가 스캐닝한 것으로 관찰된 대상 국가 코드 목록
type: array
element:
type: string
- 이름: domain
설명: IP와 연관된 도메인 이름
type: string
표시자:
- domain
- 이름: latitude
설명: IP 주소의 지리적 위도
type: float
- 이름: longitude
설명: IP 주소의 지리적 경도
type: float
- 이름: mobile
설명: IP가 이동통신사와 연관되어 있는지 여부를 나타냅니다
유형: boolean
- 이름: organization
설명: IP와 연관된 조직 이름
type: string
- 이름: os
설명: IP에 대해 감지된 운영체제
type: string
- 이름: rdns
설명: IP 주소에 대한 역방향 DNS(PTR) 레코드
type: string
- 이름: rdns_parent
설명: 역방향 DNS 레코드의 상위 도메인
type: string
- 이름: rdns_validated
설명: 역방향 DNS 레코드가 검증되었는지 여부를 나타냄
유형: boolean
- 이름: region
설명: IP 주소의 지리적 지역
type: string
- 이름: sensor_count
설명: 해당 IP를 관측한 GreyNoise 센서 수
type: bigint
- 이름: sensor_hits
설명: GreyNoise 센서가 해당 IP를 관측한 총 횟수
type: bigint
- 이름: single_destination
설명: 해당 IP가 단일 대상지를 겨냥하는지 여부를 나타냄
유형: boolean
- 이름: source_city
설명: IP가 위치한 도시
type: string
- 이름: source_country
설명: IP가 위치한 국가
type: string
- 이름: source_country_code
설명: IP가 위치한 국가의 ISO 국가 코드
type: string
- 이름: spoofable
설명: 해당 IP 주소를 스푸핑할 수 있는지 여부를 나타냄
유형: boolean
- name: tags
설명: IP의 동작과 특성을 설명하는 태그 목록
type: array
element:
type: object
fields:
- name: category
설명: 태그의 범주 분류
type: string
- 이름: created
설명: 태그가 생성된 날짜
type: timestamp
timeFormats:
- '%Y-%m-%d'
- 이름: cves
설명: 태그와 연관된 Common Vulnerabilities and Exposures(CVE) 목록
type: array
element:
type: string
표시자:
- cve
- 이름: description
설명: 태그 설명
type: string
- 이름: id
설명: 태그의 고유 식별자
type: string
- 이름: intention
설명: 태그의 의도 분류(예: 악성, 의심스러움, 알 수 없음)
type: string
- 이름: name
설명: 태그 이름
type: string
- 이름: recommend_block
설명: 이 태그가 있는 IP에 대해 차단이 권장되는지 여부를 나타냄
유형: boolean
- 이름: references
설명: 태그와 관련된 참조 URL 또는 호스트명 목록
type: array
element:
type: string
표시자:
- 호스트 이름
- 이름: slug
설명: 태그의 URL 친화적 식별자(슬러그)
type: string
- 이름: updated_at
설명: 태그가 마지막으로 업데이트된 시각
type: timestamp
timeFormats:
- rfc3339
- 이름: tor
설명: 해당 IP가 Tor 네트워크와 연관되어 있는지 여부를 나타냄
유형: boolean
- 이름: vpn
설명: 해당 IP가 VPN 서비스와 연관되어 있는지 여부를 나타냄
유형: boolean
- 이름: vpn_service
설명: IP가 VPN과 연관되어 있다면 VPN 서비스 이름
type: string
- 이름: ip
required: true
설명: GreyNoise가 분석 중인 IP 주소
type: string
표시자:
- ip
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.panther.com/ko/enrichment/greynoise.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.