MISP 경고 목록(베타)
MISP 경고 목록의 인디케이터 컨텍스트로 들어오는 이벤트를 풍부화하기
개요
MISP Warning Lists 보강 기능은 Panther 버전 1.115부터 오픈 베타로 제공되며 모든 고객이 이용할 수 있습니다. 버그 보고나 기능 요청은 Panther 지원 팀과 공유해 주세요.
Malware Information Sharing Platform(MISP) 경고 목록을 Panther에서 보강(enrichment) 소스로 사용할 수 있습니다. MISP 경고 목록은 잠재적인 오탐지 또는 위협 인텔리전스 오류와 연관될 수 있는 알려진 비악성 인디케이터들의 모음입니다. 이 컨텍스트는 침해 지표(IOC)의 관련성 및 유효성을 평가하는 데 도움이 될 수 있습니다.
다음 misp-warninglists 리포지토리는 GitHub에 이러한 목록들의 포괄적인 컬렉션을 포함하고 있습니다.
다음 방법을 알아보세요 여기에서 저장된 보강 데이터를 조회하는 방법그리고 여기에서 보강 데이터가 포함된 로그 이벤트를 조회하는 방법.
MISP 보강 작동 방식
MISP 경고 목록 보강이 활성화되면:
수신된 로그에
p_any_ip_addresses필드가 있는 경우, 해당 필드에 포함된 각 값은"type": "cidr".인 경우 모든 MISP 경고 목록과 대조됩니다.
p_any_ip_addresses만약의 IP 주소가 어떤cidrMISP 경고 목록에 나타나면,misp_warning_lists객체가 로그의p_enrichment객체에 추가됩니다. 아래에서 MISP 경고 목록 데이터로 보강된 이벤트의.
예시를 확인하세요
콘솔
Panther 콘솔에서 MISP 경고 목록 보강을 설정하는 방법 Panther 콘솔의 왼쪽 네비게이션 바에서.
Detections 을 클릭합니다 Packs
탭을 검색창에 "MISP"를 입력하고, MISP Warning Lists Lookup Tables 타일에서 Enabled
토글을.ON 으로 전환합니다..
팝업 확인 모달에서 Continue > 를 클릭합니다.
보강이 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서
Enrichments.
이 페이지에서 모든 보강 소스와 각 소스의 활성화 상태 및 소스 데이터가 마지막으로 새로 고쳐진 시각을 확인할 수 있습니다. CLI.
CLI 워크플로에서 MISP Warning Lists 보강을 설정하는 방법
CLI 워크플로에서 MISP 경고 목록 보강을 설정하려면
Panther 관리형 보강 소스에 대한 지침을 따르세요:Managing Lookup Tables and Enrichment Providers with the Panther Analysis Tool다음을 참고하세요:CLI 사용자는 MISP 경고 목록 보강 테이블을 얻기 위해 Detection Packs를 사용할 필요가 없습니다. 최신 릴리스의 panther-analysis을(를) 가져와
Panther 관리형 보강 소스에 대한 지침을 따르세요:panther_analysis_tool(PAT)을 사용하여 MISP 경고 목록 보강 테이블을 업로드할 수 있습니다..
다음 리포지토리를 사용하여 MISP 경고 목록 테이블을 활성화하려면 각 해당 YAML 구성 파일을 열고 MISP 경고 목록 보강 설정 enabled: true
로 설정했는지 확인하세요.
MISP 경고 목록 보강을 관리하는 방법에 대한 자세한 내용은
GitHub 리포지토리의 MISP 파일을 참조하세요 MISP 경고 목록 데이터로 보강된 예시 이벤트 MISP 경고 목록에 나타나면, 아래는 MISP 데이터로 보강된 객체가 로그의 Snowflake.LoginHistory 로그의 예시입니다. 로그 내의 객체는
마지막 업데이트
도움이 되었나요?