Open Threat Exchange(OTX)(베타)
들어오는 이벤트를 OTX 컨텍스트로 풍부화하기
개요
OTX 인리치먼트는 Panther 버전 1.116부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고나 기능 요청은 Panther 지원팀과 공유해 주세요.
Open Threat Exchange (OTX) 는 기여자들이 새로운 위협을 식별하기 위해 협력하는 AlienVault의 커뮤니티 기반 위협 인텔리전스 플랫폼입니다.
방법 알아보기 여기에 저장된 인리치먼트 데이터를 보는 방법, 그리고 방법 여기에 인리치먼트 데이터가 포함된 로그 이벤트를 보는 방법.
Panther에서 OTX 인리치먼트를 사용하려면 OTX API 키가 필요합니다.
Panther에서 OTX 인리치먼트 작동 방식
기본적으로 OTX는 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다 (원하면 로그 유형에 대해 비활성화할 수도 있음). Panther는 모든 로그 유형에 대해 수신되는 각 로그 이벤트를 Panther가 관리하는 OTX 인리치먼트와 일치시키려고 시도한 다음 디텍션 엔진으로 통과시킵니다.
만약 Panther가 일치 항목을 식별하면 수신 이벤트와 OTX 항목 사이에 일치가 있으면, OTX 데이터가 최상위 p_enrichment 키 아래에 일치하는 로그 이벤트에 추가됩니다. 그런 다음 디텍션 로직과 검색에서 참조할 수 있습니다.
인리치먼트 소스를 사용한 디텍션 작성에 대한 자세한 내용은 사용자 정의 인리치먼트 데이터를 사용한 디텍션 작성.
로그 이벤트와 OTX 간의 일치가 이루어지는 방식
로그 이벤트는 일치가 발견되면 Panther가 관리하는 OTX 인리치먼트 데이터(아래 p_enrichment)로 인리치됩니다:
각 연결된 로그 유형에 대해 구성된 Selector 필드의 값 중 어느 것이라도.
각 로그 유형에 대해 기본 Selector는 Indicator Fields (표시되는
p_any_*)로 표현되며, 인리치먼트 테이블의 기본 키의 인디케이터 필드 지정과 연결됩니다(단, Selector는 구성 가능합니다). 이 자동 매핑에 대해 자세히 알아보기.
의 값
matchPanther의 OTX 테이블 항목에서의 키.match는 OTX 테이블의 기본 키이며 Panther에 의해 사전 설정됩니다.의 예를 참조하세요
match안의 예제 OTX 테이블 항목 아래에.
Panther 버전 1.119부터는, indicator 가 OTX 테이블의 기본 키가 되며 인디케이터 값(IP 주소, 도메인, 파일 해시 등)을 포함하게 됩니다.
OTX 인리치먼트 설정하기
1단계: OTX API 키 가져오기
귀하의 OTX 계정에 로그인합니다.
오른쪽 상단에서 사용자 이름을 클릭한 다음 설정.
에서 OTX 키 섹션에서 Panther에서 데이터를 가져오는 데 사용할 API 키를 복사합니다.
나중에 API 키를 교체하거나 재생성하면 Panther의 구성도 업데이트해야 합니다.
2단계: Panther에서 OTX 인리치먼트 생성
Panther에서 OTX 인리치먼트를 구성하려면:
Panther 콘솔의 왼쪽 탐색 막대에서 구성 > 인리치먼트.
오른쪽 상단에서 새로 만들기.
를 클릭합니다 Open Threat Exchange.
를 클릭합니다 OTX 인리치먼트 설정 양식에서 다음 필드에 대한 값을 입력하세요:
이름: 통합에 대한 설명 명칭을 입력합니다.
API 토큰: 1단계에서 가져온 API 토큰을 입력합니다.
새로 고침 기간(분): Panther가 OTX 데이터를 얼마나 자주 새로 고칠지 구성합니다. 기본 새로 고침 기간은 360분입니다.
최대 기간(일): 조회 테이블에 포함할 펄스의 최대 연령(일)을 구성합니다. 기본값은 365일입니다.
를 클릭합니다 설정.
새 OTX 구성은 구성 > 인리치먼트 페이지에 표시됩니다.
새 OTX 인리치먼트는 처음 ~10분 동안 항목이 0개인 정상 상태로 표시됩니다. 이 기간 동안 첫 번째 데이터 가져오기가 수행됩니다.
로그 유형에 대한 OTX 인리치먼트 활성화, 비활성화 또는 수정하기
OTX 인리치먼트는 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.
특정 로그 유형에 대해 OTX 인리치먼트를 비활성화(또는 나중에 활성화)하거나 로그 유형의 Selector를 변경하려면:
Panther 콘솔의 왼쪽 탐색 막대에서 구성 > 인리치먼트.
인리치먼트 목록에서 수정하려는 OTX 소스를 찾아 해당 이름을 클릭합니다.
제공자 세부 정보 페이지에서 인리치된 로그 유형 헤더 오른쪽에 있는 편집.
을 클릭합니다 이 인리치먼트를 새 로그 유형에 대해 활성화하려면.
로그 유형 추가 를 클릭합니다 새로 생성된 행에서 로그 유형 을 선택하고
Selectors
필드에 적어도 하나의 이벤트 필드를 선택합니다. 로그 유형 이 인리치먼트를 로그 유형에 대해 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭합니다.
로그 유형의 Selector를 변경하려면 인리치된 로그 유형 필드로 들어가 이벤트 필드 선택을 추가하거나 제거합니다. 타일의 오른쪽 상단에서.
저장
예제 OTX 인리치먼트 테이블 항목
신형
버전 1.119부터 Panther는 OTX 인리치먼트 스키마를 업데이트합니다. indicator 펄스의 각
"indicator_expiration": "2024-08-15T10:30:00Z",
펄스 (현재)
OTX 펄스는 특정 위협이나 캠페인과 관련된 위협 인텔리전스 인디케이터의 모음을 나타냅니다. 각 펄스는 다음과 같은 속성을 포함합니다:id: 펄스의 고유 식별자이름: 펄스의 이름/제목설명: 펄스에 포함된 위협 인텔리전스에 대한 설명생성일: 펄스가 처음 생성된 시점의 타임스탬프수정일: 펄스가 마지막으로 수정된 시점을 나타내는 선택적 타임스탬프태그: 펄스에 적용된 분류 태그업종: 이 펄스의 위협이 영향을 미치는 대상 업종악성코드 계열: 위협과 관련된 악성코드 계열참조match: 위협 인텔리전스와 관련된 외부 참조, URL 또는 인용문: 모든 활성 인디케이터를 포함하는 조회 테이블 일치 기준tlp: 정보 공유를 위한 트래픽 라이트 프로토콜(TLP) 분류공격자: 펄스와 관련된 위협 행위자 또는 공격자 그룹대상 국가
: 이 펄스의 위협이 표적하는 국가들 전체 OTX.Pulses
신형
펄스 (신형)
OTX 펄스는 특정 위협이나 캠페인과 관련된 위협 인텔리전스 인디케이터를 나타냅니다. Panther에서는 펄스의 각 인디케이터가 펄스 메타데이터와 결합되어 인리치먼트의 고유한 행이 됩니다. 각 행은 다음 속성을 포함합니다:
OTX 펄스는 특정 위협이나 캠페인과 관련된 위협 인텔리전스 인디케이터의 모음을 나타냅니다. 각 펄스는 다음과 같은 속성을 포함합니다:id: 펄스의 고유 식별자이름: 펄스의 이름/제목설명: 펄스에 포함된 위협 인텔리전스에 대한 설명생성일: 펄스가 처음 생성된 시점의 타임스탬프수정일: 펄스가 마지막으로 수정된 시점을 나타내는 선택적 타임스탬프태그: 펄스에 적용된 분류 태그업종: 이 펄스의 위협이 영향을 미치는 대상 업종악성코드 계열: 위협과 관련된 악성코드 계열참조펄스 메타데이터(같은 펄스의 모든 인디케이터에 공통):attack_ids: 모든 활성 인디케이터를 포함하는 조회 테이블 일치 기준tlp: 정보 공유를 위한 트래픽 라이트 프로토콜(TLP) 분류공격자: 펄스와 관련된 위협 행위자 또는 공격자 그룹대상 국가
: 위협에 매핑된 MITRE ATT&CK 기술 ID
indicator인디케이터별 필드(행별 고유):: 실제 인디케이터 값(IP 주소, 도메인 이름, 파일 해시, URL 등) - 이는 기본 키입니다indicator_type: 인디케이터 유형(예: 'IPv4', 'domain', 'hostname', 'email', 'URL', 'FileHash-MD5', 'FileHash-SHA256')indicator_created: 인디케이터가 생성된 시점의 타임스탬프indicator_expiration
: 이 펄스의 위협이 표적하는 국가들 전체 OTX.Pulses
전체 : 인디케이터가 만료되거나 무효화되는 시점의 타임스탬프(선택 사항)
전체 : 인디케이터가 만료되거나 무효화되는 시점의 타임스탬프(선택 사항)스키마 전체 다음은 Panther가 관리하는
신형
설명: 펄스에 설명된 위협이 표적하는 국가 또는 지역. 전체 다음은 Panther가 관리하는
마지막 업데이트
도움이 되었나요?