search
Knowledge BaseRelease NotesRequest Demo

GreyNoise(베타)

들어오는 이벤트를 GreyNoise 위협 인텔리전스 데이터로 풍부화하기

hashtag
개요

circle-info

GreyNoise 인리치먼트는 Panther 버전 1.117부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원 팀과 공유해 주세요.

GreyNoisearrow-up-right 는 인터넷 전반에 걸친 스캔 및 공격 활동에 대한 실시간 인텔리전스를 제공합니다. GreyNoise는 대규모 스캐닝을 수행하는 IP를 식별하고 라벨링하여 보안 팀이 배경 소음을 필터링하도록 도와주어 더 빠르고 정확한 위협 탐지를 가능하게 합니다.

다음을 배우기 여기에 저장된 인리치먼트 데이터를 보는 방법및, 여기에 인리치먼트 데이터가 포함된 로그 이벤트를 보는 방법arrow-up-right.

circle-exclamation

Panther에서 GreyNoise 인리치먼트를 사용하려면 GreyNoise API 키가 필요합니다.

hashtag
Panther에서 GreyNoise 인리치먼트가 작동하는 방식

기본적으로 GreyNoise는 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다 (원하면 로그 유형에 대해 비활성화할 수 있습니다). Panther는 감지 엔진을 통과하기 전에 모든 로그 유형에 걸쳐 들어오는 각 로그 이벤트를 Panther에서 관리하는 GreyNoise 인리치먼트와 매칭하려고 시도합니다.

만약 Panther가 매칭을 식별하면 들어오는 이벤트와 GreyNoise 항목 간에 매칭이 이루어지면 GreyNoise 데이터는 최상위 p_enrichment 키 아래에 일치하는 로그 이벤트에 추가됩니다. 그런 다음 감지 로직 및 검색에서 참조할 수 있습니다.

인리치먼트 소스를 사용한 감지 작성에 대한 자세한 내용은 사용자 지정 인리치먼트 데이터를 사용한 감지 작성.

hashtag
로그 이벤트와 GreyNoise 간의 매칭이 이루어지는 방법

로그 이벤트는 매칭이 발견되면 Panther에서 관리하는 GreyNoise 인리치먼트 데이터(아래 p_enrichment)로 인리치됩니다. 매칭은 다음 간의 일치가 발견될 때 발생합니다:

  • 각 관련 로그 유형에 대해 구성된 Selector 필드의 값들 중 하나.

  • 의 값 ip Panther의 GreyNoise 테이블 항목에서의 키.

아래에서 GreyNoise.API.V3 전체 스키마를 참조하세요.

hashtag
GreyNoise 인리치먼트 설정

hashtag
1단계: GreyNoise에서 API 키 생성

hashtag
2단계: Panther에서 GreyNoise 인리치먼트 생성

Panther에서 GreyNoise 인리치먼트를 구성하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭 구성 > 인리치먼트.

  2. 오른쪽 상단에서 클릭 새로 만들기.

  3. 클릭 GreyNoise.

  4. 에서 인리치먼트 설정 폼에서 다음 필드에 대한 값을 입력하세요:

    • 이름: 통합에 대한 설명적인 이름을 입력하세요.

    • API 키: 1단계에서 생성한 API 키를 입력하세요.

    • 새로 고침 주기(분): Panther가 GreyNoise 데이터를 얼마나 자주 새로 고칠지 구성하세요. 기본 새로 고침 주기는 360분이며 최소 새로 고침 주기는 60분입니다.

  5. 클릭 설정.

    • 새로운 GreyNoise 구성은 구성 > 인리치먼트 페이지에 표시됩니다.

circle-info

GreyNoise 인리치먼트를 추가한 후 들어오는 로그 데이터가 인리치되기 시작하기까지 최대 45분의 지연이 있을 수 있습니다. 이는 초기 데이터 동기화가 완료될 시간을 허용하기 위함입니다.

hashtag
로그 유형에 대한 GreyNoise 인리치먼트 활성화, 비활성화 또는 수정

GreyNoise 인리치먼트는 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.

특정 로그 유형에 대해 GreyNoise 인리치먼트를 비활성화(또는 나중에 활성화)하거나 로그 유형의 Selector를 변경하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭 구성 > 인리치먼트.

  2. 인리치먼트 목록에서 수정하려는 GreyNoise 소스를 찾아 해당 이름을 클릭하세요.

  3. 를 클릭하세요 인리치된 로그 유형 탭.

  4. 오른쪽에서 클릭 로그 유형 편집.

    • 이 인리치먼트를 새 로그 유형에 대해 활성화하려면 클릭 로그 유형 추가.

      • 채워진 새 행에서 선택하세요 로그 유형 및, Selectors 필드에 최소 한 개의 이벤트 필드를 선택하세요.

    • 이 인리치먼트를 로그 유형에 대해 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하세요.

      • 로그 유형이 목록에 보이지 않으면 다음 옆의 드롭다운 화살표를 클릭하세요 자동 매핑된 로그 유형. 로그 유형의 행을 찾아 편집 아이콘을 클릭하세요.

    • 로그 유형의 Selector를 변경하려면 Selectors 필드로 들어가 이벤트 필드 선택을 추가하거나 제거하세요.

  5. 오른쪽 상단에서 클릭 저장.

hashtag
GreyNoise 분류 이해하기

GreyNoise는 IP 주소를 다음 카테고리로 분류합니다:

  • 정상(벤ign): 악의적이지 않은 일반적인 인터넷 동작을 보이는 IP

  • 악의적: 알려진 악의적 의도를 가진 IP

  • 알 수 없음: GreyNoise에 의해 관찰되었으나 아직 분류되지 않은 IP

hashtag
감지에서 GreyNoise 태그 사용 예

GreyNoise는 스캐닝 동작에 대한 상세한 태그를 제공합니다. 태그 내의 recommend_block 필드는 GreyNoise가 해당 IP 주소의 트래픽을 차단할 것을 권장하는지 여부를 나타냅니다. 이는 감지 로직에서 특히 유용할 수 있습니다:

hashtag
예시 GreyNoise 인리치먼트 테이블 항목

아래는 Panther가 정규화한 GreyNoise API 응답의 예로, 악의적이 아닌 스캐닝 동작을 보이는 알려진 CDN 서비스의 일부로 식별된 IP 주소를 보여줍니다:

hashtag
GreyNoise 데이터 구조

chevron-right비즈니스 서비스 인텔리전스hashtag

비즈니스 서비스 인텔리전스는 IP 주소가 CDN, 클라우드 제공업체 또는 기타 상업적 서비스와 같은 알려진 비즈니스 서비스에 속하는지 여부를 식별하는 데 도움을 줍니다. 이 정보는 오탐을 필터링하고 네트워크 트래픽의 컨텍스트를 이해하는 데 중요할 수 있습니다.

  • found: 해당 IP가 GreyNoise의 비즈니스 서비스 데이터베이스에서 발견되었는지 여부

  • category: 비즈니스 서비스의 유형(예: CDN, 호스팅, 클라우드 제공업체)

  • name: 비즈니스 서비스의 이름(예: Cloudflare, AWS, Google)

  • description: 비즈니스 서비스에 대한 설명

  • explanation: 이 IP가 해당 서비스와 연관된 이유에 대한 추가 컨텍스트

  • last_updated: 이 비즈니스 서비스 정보가 마지막으로 업데이트된 타임스탬프

  • reference: 서비스에 대한 추가 정보를 위한 URL 참조

  • trust_level: 서비스의 신뢰성 수준을 나타내는 숫자(값이 클수록 더 신뢰할 수 있는 서비스)

chevron-right인터넷 스캐너 인텔리전스hashtag

인터넷 스캐너 인텔리전스는 인터넷 전반에 걸친 스캐닝 또는 공격 활동을 수행하는 것으로 관찰된 IP에 대한 상세 정보를 제공합니다. 이것이 GreyNoise의 핵심 위협 인텔리전스 데이터입니다.

  • found: 해당 IP에 대해 인터넷 스캐너 인텔리전스 데이터가 발견되었는지 여부

  • first_seen: GreyNoise가 이 IP를 처음 관찰한 날짜

  • last_seen: GreyNoise가 이 IP를 마지막으로 관찰한 날짜

  • last_seen_timestamp: 마지막 관찰의 상세 타임스탬프

  • actor: 스캐닝 활동과 연관된 위협 행위자 또는 엔티티

  • spoofable: 관찰된 트래픽이 쉽게 스푸핑 가능한지 여부

  • classification: IP의 분류(정상, 악의적 또는 알 수 없음)

  • cves: 이 IP의 스캐닝 활동과 연관된 CVE 식별자 배열

  • bot: 해당 IP가 봇으로 식별되었는지 여부

  • vpn: 해당 IP가 VPN 서비스와 연관되어 있는지 여부

  • vpn_service: 식별된 경우 VPN 서비스의 이름

  • tor: 해당 IP가 알려진 Tor 출구 노드인지 여부

  • tags: 스캐닝 활동을 설명하는 행동 태그 배열(감지에서 GreyNoise 태그 사용 참조)

  • metadata: ASN, 지리 정보, 조직 및 스캐닝 패턴을 포함한 IP에 대한 상세 메타데이터

chevron-right메타데이터hashtag

인터넷 스캐너 인텔리전스 내의 메타데이터 객체는 스캐닝 IP에 대한 상세 컨텍스트를 제공합니다:

  • asn: 자율 시스템 번호(ASN)

  • carrier: 해당되는 경우 모바일 통신사

  • category: IP 카테고리(예: 호스팅, 비즈니스, ISP)

  • datacenter: 해당되는 경우 데이터센터 제공업체

  • destination_asns: 이 IP가 스캔 대상으로 삼은 대상 ASN의 배열

  • destination_cities: 이 IP가 스캔 대상으로 삼은 대상 도시의 배열

  • destination_countries: 이 IP가 스캔 대상으로 삼은 대상 국가의 배열

  • destination_country_codes: 이 IP가 스캔 대상으로 삼은 대상 국가 코드의 배열

  • domain: IP와 연관된 도메인

  • latitude / longitude: 지리적 좌표

  • mobile: 해당 IP가 모바일 네트워크와 연관되어 있는지 여부

  • organization: IP를 소유한 조직

  • os: 감지된 운영 체제

  • rdns: 역방향 DNS 조회 결과

  • rdns_parent: 역방향 DNS의 상위 도메인

  • rdns_validated: 역방향 DNS가 검증되었는지 여부

  • region: 지리적 지역

  • sensor_count: 이 IP를 관찰한 GreyNoise 센서 수

  • sensor_hits: 모든 센서에 걸쳐 이 IP가 관찰된 총 횟수

  • single_destination: 해당 IP가 단일 목적지에만 타깃을 두는지 여부

  • source_city / source_country / source_country_code: 출발지 위치 정보

chevron-right태그hashtag

인터넷 스캐너 인텔리전스 내의 태그는 GreyNoise가 식별한 특정 행동 패턴을 나타냅니다:

  • id: 태그의 고유 식별자

  • name: 태그의 표시 이름

  • slug: URL 친화적인 식별자

  • category: 태그 카테고리(예: activity, tool, worm)

  • description: 이 태그가 무엇을 나타내는지에 대한 상세 설명

  • intention: 의도 분류(정상, 악의적 또는 알 수 없음)

  • recommend_block: GreyNoise가 이 태그를 가진 IP의 트래픽 차단을 권장하는지 여부

  • created: 이 태그가 생성된 날짜

  • updated_at: 이 태그에 대한 마지막 업데이트의 타임스탬프

  • cves: 이 태그와 연관된 CVE 식별자 배열

  • references: 이 태그와 관련된 외부 참조 또는 인용

hashtag
GreyNoise.API.V3 스키마

다음은 Panther에서 관리하는 GreyNoise.API.V3 스키마로, GreyNoise 인텔리전스 데이터가 Panther에 어떻게 저장되는지를 나타냅니다. 이 스키마로 파싱된 이벤트 예를 위에서 확인하세요.

이전Google Workspace 프로필다음IPinfo

마지막 업데이트

도움이 되었나요?