MISP 경고 목록(베타)
MISP 경고 목록의 인디케이터 컨텍스트로 들어오는 이벤트 보강하기
개요
Malware Information Sharing Platform(MISP) 경고 목록을 Panther에서 보강(enrichment) 소스로 사용할 수 있습니다. MISP 경고 목록은 잠재적 오탐지 또는 위협 인텔리전스 오류와 관련될 수 있는 알려진 비악성 지표들의 모음입니다. 이러한 컨텍스트는 침해 지표(IOC)의 관련성과 유효성을 평가하는 데 도움을 줄 수 있습니다.
설정은 misp-warninglists GitHub의 리포지토리 에는 이러한 목록의 포괄적인 모음이 포함되어 있습니다.
다음 방법을 알아보세요 여기에 저장된 보강 데이터를 보는 방법, 및 방법 여기에서 보강 데이터가 포함된 로그 이벤트 보기.
MISP 보강 작동 방식
MISP 경고 목록 보강이 활성화되면:
수신 로그에
p_any_ip_addresses필드가 있는 경우, 그 안의 각 값은"type": "cidr".필드에 있는 IP 주소가
p_any_ip_addresses어떤cidrMISP 경고 목록에 나타나면,misp_warning_lists객체가 로그의p_enrichment객체에 추가됩니다.
MISP 경고 목록 보강 설정
Panther 콘솔에서 MISP 경고 목록 보강을 설정하는 방법
Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 탐지.
다음 항목을 클릭하십시오 Packs 탭을 클릭하십시오.
"MISP"를 검색하고, MISP Warning Lists Lookup Tables 타일에서 활성화됨 토글
켜기.팝업 확인 모달에서 계속.
보강이 활성화되었는지 확인하려면 왼쪽 사이드바 메뉴에서 구성 > Enrichments를 클릭하세요.
이 페이지에서 모든 보강 소스와 각 소스의 활성화/비활성화 상태 및 소스 데이터가 마지막으로 새로 고쳐진 시점을 확인할 수 있습니다.
CLI 워크플로에서 MISP Warning Lists 보강을 설정하는 방법
CLI 워크플로에서 MISP 경고 목록 보강을 설정하려면 Panther 관리 보강 소스에 대한 지침을 따르세요: Panther Analysis Tool로 Lookup Tables 및 Enrichment Providers 관리.
다음에 유의하세요:
CLI 사용자는 MISP 경고 목록 보강 테이블을 얻기 위해 Detection Packs를 사용할 필요가 없습니다. 최신 릴리스를 가져와
panther-analysis를 사용하고CLI 워크플로우로 테스트하기(PAT) 을 사용하여 MISP 경고 목록 보강 테이블을 업로드할 수 있습니다.리포지토리에서 MISP 경고 목록 테이블을 활성화하려면 각 해당 YAML 구성 파일을 열어
panther-analysis로 설정했는지 확인하세요.enabled: true.
CLI 사용자는 PAT를 사용하여 MISP 경고 목록 테이블을 사용자화하지 않는 한(다음 콘솔 탭에 표시된 것처럼) Detection Packs를 통해 MISP 경고 목록 보강을 활성화할 수 있습니다.
Panther 콘솔에서 활성화한 후 PAT로 MISP 경고 목록 보강을 관리하기로 선택하면 먼저 Panther 콘솔에서 Packs를 비활성화해야 합니다. Panther 콘솔과 PAT를 동시에 사용하여 MISP 경고 목록을 관리하는 것은 지원되지 않습니다.
MISP 경고 목록 보강을 관리하는 방법에 대한 자세한 내용은 의 MISP 파일을 참조하세요.
panther-analysisGitHub 저장소.
MISP 경고 목록 데이터로 보강된 예제 이벤트
아래는 MISP 데이터로 보강된 Snowflake.LoginHistory 로그입니다. 해당 misp_warning_lists 객체는 p_enrichment 에서 발견된 IP 주소에 대한 추가 정보를 포함합니다. p_any_ip_adresses 필드에 붙여넣으세요.
Last updated
Was this helpful?