Open Threat Exchange (OTX)(베타)
들어오는 이벤트를 OTX 컨텍스트로 엔리치하기
개요
OTX 인리치먼트는 Panther 버전 1.116부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.
오픈 스렛 익스체인지(OTX) 는 기여자들이 함께 신흥 위협을 식별하기 위해 협력하는 AlienVault의 커뮤니티 기반 위협 인텔리전스 플랫폼입니다.
다음을 학습하세요 여기에 저장된 인리치먼트 데이터를 조회하는 방법및, 방법을 여기에 인리치먼트 데이터가 포함된 로그 이벤트를 조회하는 방법.
Panther에서 OTX 인리치먼트를 사용하려면 OTX API 키가 필요합니다.
Panther에서 OTX 인리치먼트 작동 방식
기본적으로 OTX는 Panther 환경의 모든 로그 소스에 대해 실행되도록 구성되어 있습니다 (원한다면 로그 유형에 대해 비활성화하는 것이 가능합니다). Panther는 모든 로그 유형에 걸쳐 들어오는 각 로그 이벤트를 감지 엔진을 통과시키기 전에 Panther가 관리하는 OTX 인리치먼트와 매칭하려고 시도합니다.
만약 Panther가 매칭을 식별하면 들어오는 이벤트와 OTX 항목 간에 일치가 발견되면 OTX 데이터가 최상위 p_enrichment 키 아래에 일치하는 로그 이벤트에 추가됩니다. 그런 다음 검출 로직과 검색에서 참조할 수 있습니다.
인리치먼트 소스를 사용한 디텍션 작성에 대한 자세한 내용은 사용자 지정 인리치먼트 데이터를 사용한 디텍션 작성.
로그 이벤트와 OTX 간의 매칭이 이루어지는 방법
로그 이벤트는 매칭이 발견되면 Panther가 관리하는 OTX 인리치먼트 데이터(아래 p_enrichment)로 인리치됩니다. 매칭은 다음 항목 간에 이루어집니다:
각 관련 로그 유형에 대해 구성된 Selector 필드의 값들 중 하나.
각 로그 유형에 대해 기본 Selector는 지표 필드 (표현은
p_any_*)이며, 이는 인리치먼트 테이블의 기본 키의 지표 필드 지정과 연관됩니다(Selector는 구성 가능). 이 자동 매핑에 대해 자세히 알아보세요.
의 값
indicatorPanther의 OTX 테이블 항목에 있는 키.indicator는 OTX 테이블의 기본 키이며 지표 값(IP 주소, 도메인, 파일 해시 등)을 포함합니다.의 예시는
indicator에서 참조하세요 예시 OTX 테이블 항목 아래.
OTX 인리치먼트 설정
단계 1: OTX API 키 가져오기
다음에 로그인하세요 OTX 계정.
오른쪽 상단에서 사용자 이름을 클릭한 다음 설정.
에서 OTX 키 섹션에서 Panther에서 데이터를 가져오는 데 사용할 API 키를 복사하세요.
향후 API 키를 교체하거나 재생성하는 경우 Panther의 구성도 업데이트해야 합니다.
단계 2: Panther에서 OTX 인리치먼트 생성
Panther에서 OTX 인리치먼트를 구성하려면:
Panther 콘솔의 왼쪽 탐색 바에서 구성 > 인리치먼트.
오른쪽 상단에서 새로 만들기.
클릭하세요 오픈 스렛 익스체인지.
에서, OTX 인리치먼트 설정 폼에 다음 필드의 값을 입력하세요:
이름: 통합에 대한 설명적인 이름을 입력하세요.
API 토큰: 1단계에서 가져온 API 토큰을 입력하세요.
새로 고침 주기(분): Panther가 OTX 데이터를 얼마나 자주 새로 고칠지 구성하세요. 기본 새로 고침 주기는 360분입니다.
최대 연령(일): 조회 테이블에 포함할 펄스의 최대 연령(일)을 구성하세요. 기본값은 365일입니다.
클릭하세요 설정.
새 OTX 구성은 구성 > 인리치먼트 페이지에 표시됩니다.
새 OTX 인리치먼트는 약 10분 동안 항목이 없는 정상 상태로 표시됩니다. 이 시간 동안 첫 번째 데이터 가져오기가 수행됩니다.
로그 유형에 대한 OTX 인리치먼트 활성화, 비활성화 또는 수정
OTX 인리치먼트는 Panther 인스턴스의 각 로그 유형에 대해 기본적으로 활성화되어 있습니다.
특정 로그 유형에 대해 OTX 인리치먼트를 비활성화(또는 이후에 활성화)하거나 로그 유형의 Selector를 변경하려면:
Panther 콘솔의 왼쪽 탐색 바에서 구성 > 인리치먼트.
인리치먼트 목록에서 수정하려는 OTX 소스를 찾아 이름을 클릭하세요.
제공자 세부 정보 페이지에서, 인리치된 로그 유형 헤더 오른쪽에 있는 편집.
이 인리치먼트를 새 로그 유형에 대해 활성화하려면 로그 유형 추가.
을 클릭하세요. 새로 채워진 행에서, 로그 유형 을 선택하고, Selector
필드에 적어도 하나의 이벤트 필드를 지정하세요.
로그 유형에 대해 이 인리치먼트를 비활성화하려면 해당 로그 유형의 행을 찾아 휴지통 아이콘을 클릭하세요. 을 선택하고, 로그 유형의 Selector를 변경하려면 해당
필드를 클릭하고 이벤트 필드 선택을 추가하거나 제거하세요. 인리치된 로그 유형 타일의 오른쪽 상단에서 저장.
예시 OTX 인리치먼트 테이블 항목
아래는 Panther가 정규화한 OTX 펄스 응답의 예시입니다. 각 indicator 펄스의 항목은 자체 행을 생성합니다.
OTX 데이터 구조
펄스(Pulses)
OTX 펄스는 특정 위협 또는 캠페인과 관련된 위협 인텔리전스 지표를 나타냅니다. Panther에서는 펄스의 각 지표가 펄스 메타데이터와 결합되어 인리치먼트의 자체 행이 됩니다. 각 행에는 다음 속성이 포함됩니다:
펄스 메타데이터(동일 펄스의 모든 지표에 공통):
id: 펄스의 고유 식별자이름: 펄스의 이름/제목설명: 펄스에 포함된 위협 인텔리전스에 대한 설명생성일: 펄스가 원래 생성된 시점의 타임스탬프수정일: 펄스가 마지막으로 수정된 시점을 나타내는 선택적 타임스탬프태그: 펄스에 적용된 분류용 태그산업: 이 펄스의 위협이 영향을 미치는 대상 산업 분야맬웨어 계열: 위협과 관련된 맬웨어 계열참고문헌: 위협 인텔리전스와 관련된 외부 참조, URL 또는 인용문공격 ID: 위협에 매핑된 MITRE ATT&CK 기법 IDtlp: 정보 공유를 위한 트래픽 라이트 프로토콜(TLP) 분류공격자: 이 펄스와 관련된 위협 행위자 또는 공격자 그룹대상 국가: 이 펄스의 위협이 표적하는 국가들
지표별 필드(행별 고유):
indicator: 지표 값(IP 주소, 도메인 이름, 파일 해시, URL 등). 이는 기본 키입니다.지표 유형: 지표의 유형(예: 'IPv4', 'domain', 'hostname', 'email', 'URL', 'FileHash-MD5', 'FileHash-SHA256')지표 생성일: 지표가 생성된 시점의 타임스탬프지표 만료: 지표가 만료되거나 무효화되는 시점의 타임스탬프(선택 사항)
전체 OTX.Pulses 스키마를 아래에서 참조하세요.
OTX.Pulses 스키마
OTX.Pulses 스키마다음은 Panther가 관리하는 OTX.Pulses 스키마로, 펄스가 Panther에 어떻게 저장되는지를 나타냅니다. 펄스의 각 지표는 펄스 메타데이터가 포함된 자체 행이 됩니다.
마지막 업데이트
도움이 되었나요?