> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/enrichment/misp.md).

# MISP 경고 목록

## 개요

Panther에서 보강 소스로 Malware Information Sharing Platform (MISP) 경고 목록을 사용할 수 있습니다. MISP 경고 목록은 위협 인텔리전스에서 잠재적인 오탐 또는 오류와 관련될 수 있는, 알려져 있지만 악성은 아닌 지표들의 모음입니다. 이러한 맥락은 침해 지표(IoC)의 관련성과 유효성을 평가하는 데 도움이 됩니다.

해당 [`misp-warninglists` GitHub의 저장소](https://github.com/MISP/misp-warninglists) 이 목록들의 포괄적인 모음을 포함합니다.

방법 알아보기 [저장된 enrichment 데이터를 여기에서 보기](/ko/enrichment.md#viewing-and-managing-enrichments), 그리고 방법 [보강 데이터가 포함된 로그 이벤트를 여기에서 확인하세요](/ko/enrichment.md#viewing-log-events-with-enrichment-data).

## MISP 보강 작동 방식

MISP 경고 목록 보강이 활성화되면:

1. 들어오는 로그에 `p_any_ip_addresses` 필드가 있으면, 그 안에 포함된 각 값은 `"type": "cidr"`.
2. 의 IP 주소가 `p_any_ip_addresses` 어떤 `cidr` MISP 경고 목록에 나타나면, `misp_warning_lists` 객체가 로그의 `p_enrichment` 객체에 추가됩니다.
   * 아래에서 [MISP 경고 목록 데이터로 보강된 이벤트 예시를 확인하세요](#example-event-enriched-with-misp-warning-lists-data).

## MISP 경고 목록 보강 설정하기

{% tabs %}
{% tab title="콘솔" %}
**Panther Console에서 MISP 경고 목록 보강을 설정하는 방법**

1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭합니다 **디택션**.
2. 다음을 클릭합니다: **디택션 팩** 탭.
3. "MISP"를 검색한 다음, 그리고 **MISP 경고 목록 룩업 테이블** 타일에서, **활성화** 토글을 클릭하세요 `켬`.
4. 팝업 확인 모달에서 **계속**.
5. 보강이 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서 **구성** > **보강.**
   * 이 페이지에서 모든 보강 소스와 각 소스의 현재 활성화/비활성화 상태, 그리고 소스 데이터가 마지막으로 새로 고침된 시점을 확인할 수 있습니다.
     {% endtab %}

{% tab title="CLI" %}
**CLI 워크플로에서 MISP 경고 목록 보강을 설정하는 방법**

* CLI 워크플로에서 MISP 경고 목록 보강을 설정하려면, Panther에서 관리하는 보강 소스에 대한 지침을 따라 [Panther Analysis Tool로 룩업 테이블 및 보강 공급자 관리하기](/ko/panther/detections-repo/pat/managing-enrichment.md).

다음 사항에 유의하세요:

* CLI 사용자는 MISP 경고 목록 보강 테이블을 가져오기 위해 디택션 팩을 사용할 필요가 없습니다. 최신 버전의 [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 을 가져와 [`panther_analysis_tool` (PAT)](/ko/panther/detections-repo/pat.md) 을 사용하여 MISP 경고 목록 보강 테이블을 업로드할 수 있습니다.
  * MISP 경고 목록 테이블을 활성화하려면 [`panther-analysis`](https://github.com/panther-labs/panther-analysis) 저장소를 사용하여 각 해당 YAML 구성 파일을 열고 다음을 설정했는지 확인하세요. `enabled: true`.
* CLI 사용자가 디택션 팩을 통해 MISP 경고 목록 보강을 활성화하는 것도 가능합니다(아래의 **콘솔** 탭에서 표시된 것처럼). 단, PAT를 사용하여 MISP 경고 목록 테이블을 사용자 지정하지 않는 경우에만 가능합니다.
  * Panther Console에서 활성화한 후 PAT를 통해 MISP 경고 목록 보강을 관리하려는 경우, 먼저 Panther Console에서 팩을 비활성화해야 합니다. Panther Console과 PAT를 동시에 사용하여 MISP 경고 목록을 관리하는 것은 지원되지 않습니다.
* MISP 경고 목록 보강 관리 방법에 대한 자세한 내용은 [의 MISP 파일을 참조하세요. `panther-analysis` GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/main/lookup_tables/misp).
  {% endtab %}
  {% endtabs %}

## MISP 경고 목록 데이터로 보강된 예시 이벤트

아래는 [`Snowflake.LoginHistory`](https://docs.panther.com/ko/enrichment/pages/6f170c92a17216c3ff73771363ad57d6c5b85699#snowflake.loginhistory) MISP 데이터로 보강된 로그입니다. 그 `misp_warning_lists` 내의 `p_enrichment` 객체는 다음에서 발견된 IP 주소에 대한 추가 정보를 포함합니다. `p_any_ip_adresses` 필드에 붙여넣습니다.

```json
{
    "p_enrichment": {
	"misp_warning_lists": {
	    "p_any_ip_addresses": [
		{
		    "cidr": "35.160.0.0/12",
		    "p_match": "35.166.231.222",
		    "warning_lists": [
			{
			    "description": "Amazon AWS IP address ranges (https://ip-ranges.amazonaws.com/ip-ranges.json)",
			    "id": "amazon-aws",
			    "name": "List of known Amazon AWS IP address ranges",
			    "version": 20250719
			}
		    ]
		}
	     ]
        }
    },
    "CLIENT_IP": "35.166.231.222",
    "EVENT_ID": "1829252345804554",
    "EVENT_TIMESTAMP": "2025-09-08 10:42:59.934000000",
    "EVENT_TYPE": "LOGIN",
    "FIRST_AUTHENTICATION_FACTOR": "PASSWORD",
    "IS_SUCCESS": "YES",
    "RELATED_EVENT_ID": "0",
    "REPORTED_CLIENT_TYPE": "GO_DRIVER",
    "REPORTED_CLIENT_VERSION": "1.13.2",
    "USER_NAME": "SOME_USER"
}
```


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.panther.com/ko/enrichment/misp.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.