search
Knowledge BaseRelease NotesRequest Demo

MISP 경고 목록

MISP 경고 목록의 인디케이터 컨텍스트로 들어오는 이벤트 엔리치하기

hashtag
개요

Malware Information Sharing Platform(MISP) 경고 목록을 Panther의 인리치먼트 소스로 사용할 수 있습니다. MISP 경고 목록은 잠재적인 오탐 또는 위협 인텔리전스 오류와 연관될 수 있는 알려진 비악성 지표 모음입니다. 이 컨텍스트는 침해 지표(IoC)의 관련성 및 유효성을 평가하는 데 도움이 됩니다.

The misp-warninglists 리포지토리(Repository) on GitHubarrow-up-right 에는 이러한 목록들의 포괄적인 컬렉션이 포함되어 있습니다.

다음 방법을 알아보세요 여기에 저장된 인리치먼트 데이터를 보는 방법그리고 여기에 인리치먼트 데이터가 포함된 로그 이벤트를 보는 방법.

hashtag
MISP 인리치먼트 작동 방식

MISP 경고 목록 인리치먼트가 활성화되면:

  1. 수신된 로그에 p_any_ip_addresses 필드가 있는 경우, 그 안에 포함된 각 값은 "type": "cidr" 인 모든 MISP 경고 목록과 대조됩니다. "type": "cidr".

  2. 안의 IP 주소가 p_any_ip_addresses 어떤 cidr MISP 경고 목록에 나타나면, misp_warning_lists 객체가 로그의 p_enrichment 객체에 추가됩니다.

hashtag
MISP 경고 목록 인리치먼트 설정

Panther 콘솔에서 MISP 경고 목록 인리치먼트를 설정하는 방법

  1. Panther 콘솔의 왼쪽 탐색 표시줄에서 Detections.

  2. 을 클릭합니다 Packs 탭을 클릭합니다.

  3. "MISP"를 검색한 후, MISP Warning Lists Lookup Tables 타일에서 Enabled 토글을 ON.

  4. 팝업 확인 모달에서 Continue.

  5. 인리치먼트가 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서 Configure > Enrichments.

    • 이 페이지에서 모든 인리치먼트 소스와 각 소스가 현재 활성화되어 있는지 또는 비활성화되어 있는지, 그리고 소스의 데이터가 마지막으로 새로 고쳐진 시점을 확인할 수 있습니다.

hashtag
MISP 경고 목록 데이터로 인리치된 예제 이벤트

아래는 Snowflake.LoginHistory 로그에 MISP 데이터가 인리치된 예입니다. 해당 misp_warning_lists 객체는 p_enrichment 필드에서 발견된 IP 주소에 대한 추가 정보를 포함합니다. p_any_ip_adresses 필드.

이전IPinfo다음Okta 프로필

마지막 업데이트

도움이 되었나요?