search
Knowledge BaseRelease NotesRequest Demo

Open Threat Exchange (OTX)(베타)

OTX 컨텍스트로 들어오는 이벤트 보강하기

hashtag
개요

circle-info

OTX 인리치먼트는 Panther 버전 1.116부터 오픈 베타로 제공되며 모든 고객이 이용할 수 있습니다. 버그 보고나 기능 요청이 있으면 Panther 지원팀과 공유해 주세요.

Open Threat Exchange(OTX)arrow-up-right 는 기여자들이 협력하여 새로운 위협을 식별하는 AlienVault의 커뮤니티 기반 위협 인텔리전스 플랫폼입니다.

다음 방법을 알아보세요 여기에 저장된 보강 데이터를 보는 방법, 및 방법 여기에서 보강 데이터가 포함된 로그 이벤트 보기.

circle-exclamation

Panther에서 OTX 인리치먼트를 사용하려면 OTX API 키가 필요합니다.

hashtag
Panther에서 OTX 인리치먼트가 작동하는 방식

기본적으로 OTX는 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다 (원한다면 로그 유형에 대해 비활성화하는 것도 가능합니다). Panther는 각 수신 로그 이벤트를 모든 로그 유형에 걸쳐 Panther가 관리하는 OTX 룩업 테이블과 일치시키려고 시도한 후 탐지 엔진을 통과시킵니다.

Panther가 일치 항목을 식별하면 수신 이벤트와 OTX 항목 간에 일치가 발생하면 OTX 데이터가 최상위 p_enrichment 키 아래의 일치하는 로그 이벤트에 추가됩니다. 그런 다음 탐지 로직 및 검색에서 참조할 수 있습니다.

보강 소스를 사용하여 탐지를 작성하는 방법에 대한 자세한 내용은 사용자 지정 보강 데이터를 사용하여 탐지 작성하기.

hashtag
로그 이벤트와 OTX 간의 일치가 이루어지는 방법

로그 이벤트는 OTX Panther가 관리하는 룩업 테이블 데이터(하위 p_enrichment)로 보강됩니다:

  • 각 연관된 로그 유형에 대해 구성된 Selector 필드의 값 중 어느 것이라도.

  • . AWS에서 발행된 토큰의 속성을 변환하거나 결합하기 위해 일치 Panther의 OTX 테이블 항목에 있는 키입니다.

    • 일치 은 OTX 테이블의 기본 키이며 Panther에서 사전 설정됩니다.

    • 예시 보기 일치 요일 OTX 테이블 항목 예시 에 대해 자세히 알아보세요.

hashtag
OTX 인리치먼트 설정하기

hashtag
1단계: OTX API 키 가져오기

  1. 에 로그인하세요 OTXarrow-up-right 계정.

  2. 오른쪽 상단에서 사용자 이름을 클릭한 다음 설정.

  3. 다음 OTX 키 섹션에서 Panther에서 데이터를 가져오는 데 사용할 API 키를 복사하세요.

    • 향후 API 키를 교체하거나 재생성하면 Panther 구성도 업데이트해야 합니다.

hashtag
2단계: Panther에서 OTX 인리치먼트 생성하기

Panther에서 OTX 인리치먼트를 구성하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 엔리치먼트.

  2. 오른쪽 상단에서 클릭하십시오 새로 만들기.

  3. 클릭 Open Threat Exchange.

  4. 다음 OTX 인리치먼트 설정 양식에 다음 필드에 대한 값을 제공하세요:

    • 이름: 통합에 대한 설명 이름을 입력하세요.

    • API 토큰: 1단계에서 가져온 API 토큰을 입력하세요.

    • 갱신 주기(분): Panther가 OTX 데이터를 새로 고칠 빈도를 구성하세요. 기본 새로 고침 주기는 360분입니다.

    • 최대 연령(일): 룩업 테이블에 포함할 펄스의 최대 연령(일)을 구성하세요. 기본값은 365일입니다.

  5. 클릭 설정.

    • 새 OTX 구성은 구성 > 엔리치먼트 페이지를 참조하세요.

circle-info

새 OTX 인리치먼트는 약 10분 동안 항목이 0개인 정상 상태로 표시됩니다. 이 기간 동안 첫 데이터 가져오기가 수행됩니다.

hashtag
로그 유형에 대한 OTX 인리치먼트 활성화, 비활성화 또는 수정하기

OTX 인리치먼트는 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.

특정 로그 유형에 대해 OTX 인리치먼트를 비활성화(또는 나중에 활성화)하거나 로그 유형의 셀렉터를 변경하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하세요 구성 > 엔리치먼트.

  2. 인리치먼트 목록에서 수정하려는 OTX 소스를 찾아 이름을 클릭하세요.

  3. 제공자 세부 정보 페이지에서 보강된 로그 유형 헤더 오른쪽에 있는 편집을 클릭하고.

    • 이 보강을 새 로그 유형에 대해 활성화하려면 클릭하세요 로그 유형 추가.

      • 새로 채워지는 행에서, 를 선택하고 로그 유형 필드에 적어도 하나의 이벤트 필드를 선택하세요. 선택기 필드에서 적어도 하나의 이벤트 필드를 선택하세요.

    • 이 보강을 특정 로그 유형에 대해 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하세요.

    • 로그 유형의 Selector를 변경하려면, 필드에 클릭하여 이벤트 필드 선택을 추가하거나 제거하세요. 선택기 필드에 클릭하여 이벤트 필드 선택을 추가하거나 제거하세요.

  4. 의 오른쪽 상단에서 보강된 로그 유형 타일에서, 클릭 저장.

hashtag
OTX 인리치먼트 테이블 항목 예시

아래는 Panther가 정규화한 OTX 펄스 응답의 예입니다:

hashtag
OTX 데이터 구조

chevron-right펄스(Pulses)hashtag

OTX 펄스는 특정 위협 또는 캠페인과 관련된 위협 인텔리전스 지표들의 모음입니다. 각 펄스에는 다음 속성이 포함됩니다:

  • id: 펄스의 고유 식별자

  • 이름: 펄스의 이름/제목

  • 설명: 펄스에 포함된 위협 인텔리전스의 설명

  • created: 펄스가 원래 생성된 시점의 타임스탬프

  • modified: 펄스가 마지막으로 수정된 선택적 타임스탬프

  • tags: 펄스에 적용된 분류 태그

  • industries: 이 펄스의 위협이 영향을 미치는 대상 산업

  • malware_families: 위협과 연관된 악성코드 계열

  • references: 위협 인텔리전스와 관련된 외부 참조, URL 또는 인용문

  • 일치: 모든 활성 지표를 포함하는 룩업 테이블 일치 기준

  • tlp: 정보 공유를 위한 트래픽 라이트 프로토콜(TLP) 분류

  • adversary: 펄스와 관련된 위협 행위자 또는 적대 세력 그룹

  • target_countries: 이 펄스에 있는 위협이 대상으로 삼는 국가들

전체 OTX.Pulses 스키마를 아래에서 확인하세요.

hashtag
OTX.Pulses 업로더는 기존 스키마가 있는지 확인하고 업데이트를 진행하거나 일치하는 스키마 이름이 없으면 새로 생성합니다.

다음은 Panther가 관리하는 OTX.Pulses 스키마로, 펄스가 Panther에 어떻게 저장되는지를 나타냅니다. 위에서 이 스키마로 파싱된 이벤트를 확인하세요.

PreviousOkta 프로필NextSnowflake 보강(베타)

Last updated

Was this helpful?