# MISP Warning Lists ## 개요 Panther에서 Malware Information Sharing Platform(MISP) 경고 목록을 enrichment 소스로 사용할 수 있습니다. MISP 경고 목록은 잠재적인 거짓 양성 또는 위협 인텔리전스의 오류와 연관될 수 있는 알려진 비악성 지표의 모음입니다. 이 컨텍스트는 침해 지표(IoC)의 관련성과 유효성을 평가하는 데 도움이 될 수 있습니다. the [`misp-warninglists` GitHub의 리포지토리](https://github.com/MISP/misp-warninglists) 에는 이러한 목록의 포괄적인 컬렉션이 포함되어 있습니다. 방법 알아보기 [여기에서 저장된 enrichment 데이터 보기](/ko/enrichment.md#viewing-and-managing-enrichments), 그리고 방법 알아보기 [여기에서 enrichment 데이터가 포함된 로그 이벤트 보기](/ko/enrichment.md#viewing-log-events-with-enrichment-data). ## MISP enrichment 작동 방식 MISP 경고 목록 enrichment가 활성화되면: 1. 수신 로그에 `p_any_ip_addresses` 필드가 있으면, 그 안에 포함된 각 값이 "type": "cidr"인 모든 MISP 경고 목록과 대조됩니다. `"type": "cidr"`. 2. 다음의 IP 주소가 `p_any_ip_addresses` 어떤 `cidr` MISP 경고 목록에라도 나타나면, `misp_warning_lists` 객체가 로그의 `p_enrichment` 객체에 추가됩니다. * 다음을 참조하세요 [아래의 MISP 경고 목록 데이터로 enrichment된 이벤트 예시](#example-event-enriched-with-misp-warning-lists-data). ## MISP 경고 목록 enrichment 설정 {% tabs %} {% tab title="콘솔" %} **Panther 콘솔에서 MISP 경고 목록 enrichment를 설정하는 방법** 1. Panther 콘솔의 왼쪽 탐색 모음에서 다음을 클릭합니다. **디택션**. 2. 다음을 클릭하세요. **Packs** 탭. 3. "MISP"를 검색한 다음, **MISP Warning Lists Lookup Tables** 타일에서 다음을 클릭합니다. **활성화됨** 토글 `ON`. 4. 팝업 확인 모달에서 다음을 클릭합니다. **계속**. 5. Enrichment가 활성화되었는지 확인하려면, 왼쪽 사이드바 메뉴에서 다음을 클릭합니다. **구성** > **Enrichments.** * 이 페이지에서 모든 enrichment 소스, 각 소스의 현재 활성화 또는 비활성화 여부, 그리고 소스 데이터가 마지막으로 새로 고침된 시점을 볼 수 있습니다. {% endtab %} {% tab title="CLI" %} **CLI 워크플로에서 MISP Warning Lists enrichment를 설정하는 방법** * CLI 워크플로에서 MISP 경고 목록 enrichment를 설정하려면, 다음의 Panther 관리형 enrichment 소스에 대한 지침을 따르세요. [Panther Analysis Tool로 Lookup Tables 및 Enrichment Providers 관리하기](/ko/panther/detections-repo/pat/managing-enrichment.md). 다음 사항에 유의하세요: * CLI 사용자는 MISP 경고 목록 enrichment 테이블을 얻기 위해 디택션 Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져올 수 있습니다. [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 그리고 다음을 사용할 수 있습니다. [`panther_analysis_tool` (PAT)](/ko/panther/detections-repo/pat.md) 을 사용하여 MISP 경고 목록 enrichment 테이블을 업로드합니다. * 다음을 사용하여 MISP 경고 목록 테이블을 활성화하려면 [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 리포지토리, 각 해당 YAML 구성 파일을 열고 다음을 설정해야 합니다. `enabled: true`. * CLI 사용자는 PAT를 사용하여 MISP 경고 목록 테이블을 사용자 지정하지 않는 한, 디택션 Packs를 통해(다음에 표시된 대로 **콘솔** 탭) MISP 경고 목록 enrichment를 활성화할 수 있습니다. * Panther 콘솔에서 활성화한 후 PAT를 통해 MISP 경고 목록 enrichment를 관리하기로 선택한 경우, 먼저 Panther 콘솔에서 Packs를 비활성화해야 합니다. MISP 경고 목록을 관리하기 위해 Panther 콘솔과 PAT를 동시에 사용하는 것은 지원되지 않습니다. * MISP 경고 목록 enrichment를 관리하는 방법에 대한 자세한 내용은 다음을 참조하세요. [다음의 MISP 파일 `panther-analysis` GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/main/lookup_tables/misp). {% endtab %} {% endtabs %} ## MISP 경고 목록 데이터로 enrichment된 이벤트 예시 아래는 [`Snowflake.LoginHistory`](https://docs.panther.com/ko/enrichment/pages/6f170c92a17216c3ff73771363ad57d6c5b85699#snowflake.loginhistory) MISP 데이터로 enrichment된 로그입니다. 다음의 `misp_warning_lists` 내 객체는 `p_enrichment` 다음에서 발견된 IP 주소에 대한 추가 정보를 포함합니다. `p_any_ip_adresses` 필드. ```json { "p_enrichment": { "misp_warning_lists": { "p_any_ip_addresses": [ { "cidr": "35.160.0.0/12", "p_match": "35.166.231.222", "warning_lists": [ { "description": "Amazon AWS IP address ranges (https://ip-ranges.amazonaws.com/ip-ranges.json)", "id": "amazon-aws", "name": "알려진 Amazon AWS IP 주소 범위 목록", "version": 20250719 } ] } ] } }, "CLIENT_IP": "35.166.231.222", "EVENT_ID": "1829252345804554", "EVENT_TIMESTAMP": "2025-09-08 10:42:59.934000000", "EVENT_TYPE": "LOGIN", "FIRST_AUTHENTICATION_FACTOR": "PASSWORD", "IS_SUCCESS": "YES", "RELATED_EVENT_ID": "0", "REPORTED_CLIENT_TYPE": "GO_DRIVER", "REPORTED_CLIENT_VERSION": "1.13.2", "USER_NAME": "SOME_USER" } ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/enrichment/misp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.