알림 관리
경고 관찰 가능 항목
경고와 관련된 지표 및 관찰 가능 항목 관리
개요
관찰 가능 항목 탭을 사용하면 경고와 관련된 다양한 유형의 지표를 추적하고 관리할 수 있습니다. 이러한 관찰 가능 항목에는 IP 주소, 도메인, 파일 해시 및 기타 관련 기술적 아티팩트가 포함될 수 있습니다.
관찰 가능 항목 유형
네트워크 지표
- IP 주소
- 도메인 이름
- URL
- 이메일 주소
- 네트워크 서비스
파일 지표
- 파일 해시(MD5, SHA1, SHA256)
- 파일 이름
- 파일 경로
- 파일 유형
시스템 지표
- 레지스트리 키
- 프로세스 이름
- 시스템 명령
- 사용자 계정
사용자 정의 지표
- 사용자 정의 관찰 가능 항목 유형
- 조직별 지표
- 산업별 아티팩트
관찰 가능 항목 관리
관찰 가능 항목 추가
- “관찰 가능 항목 추가” 버튼 클릭
- 관찰 가능 항목 유형 선택
- 관찰 가능 항목 값 입력
- 선택적 설명 추가
- 해당하는 경우 TLP/PAP 수준 설정
일괄 작업
- 여러 관찰 가능 항목 가져오기
- 관찰 가능 항목 목록 내보내기
- TLP/PAP 일괄 업데이트
- 관찰 가능 항목 일괄 삭제
관찰 가능 항목 속성
- 유형 분류
- 값
- 설명
- TLP(Traffic Light Protocol) 수준
- PAP(Permissible Actions Protocol) 수준
- 처음/마지막 발견 타임스탬프
- 소스 정보
관찰 가능 항목 보강
자동 보강
- 평판 데이터
- 지리적 위치 정보
- WHOIS 데이터
- 역사적 컨텍스트
- 관련 지표
수동 분석
- 분석 노트 추가
- 외부 소스에 연결
- 조사 결과 문서화
- 관련 관찰 가능 항목 태그 지정
시각화
목록 보기
- 정렬 가능한 열
- 빠른 필터
- 유형 표시기
- 보강 상태
관계 보기
- 관찰 가능 항목 연결
- 관련 경고
- 공통 패턴
- 타임라인 시각화
모범 사례
-
데이터 품질
- 관찰 가능 항목 형식 검증
- 오탐지 제거
- 컨텍스트 문서화
- 일관된 형식 유지
-
보강
- 보강 데이터 검토
- 오래된 정보 업데이트
- 발견 사항 문서화
- 관련 데이터 연결
-
구성
- 일관된 이름 지정 사용
- 관련 관찰 가능 항목 그룹화
- 효과적인 태그 지정
- 관계 문서화