# MISP 경고 목록 ## 개요 Panther에서 Malware Information Sharing Platform(MISP) 경고 목록을 enrichment 소스로 사용할 수 있습니다. MISP 경고 목록은 잠재적인 거짓 양성 또는 위협 인텔리전스의 오류와 연관될 수 있는 알려진 비악성 지표의 모음입니다. 이 컨텍스트는 침해 지표(IoC)의 관련성과 유효성을 평가하는 데 도움이 될 수 있습니다. the [`misp-warninglists` GitHub의 리포지토리](https://github.com/MISP/misp-warninglists) 에는 이러한 목록의 포괄적인 컬렉션이 포함되어 있습니다. 방법 알아보기 [여기에서 저장된 enrichment 데이터 보기](https://docs.panther.com/ko/enrichment/..#viewing-and-managing-enrichments), 그리고 방법 알아보기 [여기에서 enrichment 데이터가 포함된 로그 이벤트 보기](https://docs.panther.com/ko/enrichment/..#viewing-log-events-with-enrichment-data). ## MISP enrichment 작동 방식 MISP 경고 목록 enrichment가 활성화되면: 1. 수신 로그에 `p_any_ip_addresses` 필드가 있으면, 그 안에 포함된 각 값이 "type": "cidr"인 모든 MISP 경고 목록과 대조됩니다. `"type": "cidr"`. 2. 다음의 IP 주소가 `p_any_ip_addresses` 어떤 `cidr` MISP 경고 목록에라도 나타나면, `misp_warning_lists` 객체가 로그의 `p_enrichment` 객체에 추가됩니다. * 다음을 참조하세요 [아래의 MISP 경고 목록 데이터로 enrichment된 이벤트 예시](#example-event-enriched-with-misp-warning-lists-data). ## MISP 경고 목록 enrichment 설정 {% tabs %} {% tab title="콘솔" %} **Panther 콘솔에서 MISP 경고 목록 enrichment를 설정하는 방법** 1. Panther 콘솔의 왼쪽 탐색 모음에서 다음을 클릭합니다. **디택션**. 2. 다음을 클릭하세요. **Packs** 탭. 3. "MISP"를 검색한 다음, **MISP Warning Lists Lookup Tables** 타일에서 다음을 클릭합니다. **활성화됨** 토글 `ON`. 4. 팝업 확인 모달에서 다음을 클릭합니다. **계속**. 5. Enrichment가 활성화되었는지 확인하려면, 왼쪽 사이드바 메뉴에서 다음을 클릭합니다. **구성** > **Enrichments.** * 이 페이지에서 모든 enrichment 소스, 각 소스의 현재 활성화 또는 비활성화 여부, 그리고 소스 데이터가 마지막으로 새로 고침된 시점을 볼 수 있습니다. {% endtab %} {% tab title="CLI" %} **CLI 워크플로에서 MISP Warning Lists enrichment를 설정하는 방법** * CLI 워크플로에서 MISP 경고 목록 enrichment를 설정하려면, 다음의 Panther 관리형 enrichment 소스에 대한 지침을 따르세요. [Panther Analysis Tool로 Lookup Tables 및 Enrichment Providers 관리하기](https://docs.panther.com/ko/panther/detections-repo/pat/managing-enrichment). 다음 사항에 유의하세요: * CLI 사용자는 MISP 경고 목록 enrichment 테이블을 얻기 위해 디택션 Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져올 수 있습니다. [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 그리고 다음을 사용할 수 있습니다. [`panther_analysis_tool` (PAT)](https://docs.panther.com/ko/panther/detections-repo/pat) 을 사용하여 MISP 경고 목록 enrichment 테이블을 업로드합니다. * 다음을 사용하여 MISP 경고 목록 테이블을 활성화하려면 [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 리포지토리, 각 해당 YAML 구성 파일을 열고 다음을 설정해야 합니다. `enabled: true`. * CLI 사용자는 PAT를 사용하여 MISP 경고 목록 테이블을 사용자 지정하지 않는 한, 디택션 Packs를 통해(다음에 표시된 대로 **콘솔** 탭) MISP 경고 목록 enrichment를 활성화할 수 있습니다. * Panther 콘솔에서 활성화한 후 PAT를 통해 MISP 경고 목록 enrichment를 관리하기로 선택한 경우, 먼저 Panther 콘솔에서 Packs를 비활성화해야 합니다. MISP 경고 목록을 관리하기 위해 Panther 콘솔과 PAT를 동시에 사용하는 것은 지원되지 않습니다. * MISP 경고 목록 enrichment를 관리하는 방법에 대한 자세한 내용은 다음을 참조하세요. [다음의 MISP 파일 `panther-analysis` GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/lookup_tables/misp). {% endtab %} {% endtabs %} ## MISP 경고 목록 데이터로 enrichment된 이벤트 예시 아래는 [`Snowflake.LoginHistory`](https://docs.panther.com/ko/data-onboarding/supported-logs/snowflake#snowflake.loginhistory) MISP 데이터로 enrichment된 로그입니다. 다음의 `misp_warning_lists` 내 객체는 `p_enrichment` 다음에서 발견된 IP 주소에 대한 추가 정보를 포함합니다. `p_any_ip_adresses` 필드. ```json { "p_enrichment": { "misp_warning_lists": { "p_any_ip_addresses": [ { "cidr": "35.160.0.0/12", "p_match": "35.166.231.222", "warning_lists": [ { "description": "Amazon AWS IP address ranges (https://ip-ranges.amazonaws.com/ip-ranges.json)", "id": "amazon-aws", "name": "알려진 Amazon AWS IP 주소 범위 목록", "version": 20250719 } ] } ] } }, "CLIENT_IP": "35.166.231.222", "EVENT_ID": "1829252345804554", "EVENT_TIMESTAMP": "2025-09-08 10:42:59.934000000", "EVENT_TYPE": "LOGIN", "FIRST_AUTHENTICATION_FACTOR": "PASSWORD", "IS_SUCCESS": "YES", "RELATED_EVENT_ID": "0", "REPORTED_CLIENT_TYPE": "GO_DRIVER", "REPORTED_CLIENT_VERSION": "1.13.2", "USER_NAME": "SOME_USER" } ```