설정
관찰 가능 유형
위협 인텔리전스에서 다양한 유형의 지표를 분류하고 추적하기 위한 관찰 가능 유형 구성 및 관리.
개요
관찰 가능 유형 섹션에서는 위협 인텔리전스 운영에서 추적할 수 있는 다양한 유형의 관찰 가능 항목을 정의하고 관리할 수 있습니다. 이러한 유형은 IP 주소, 도메인, 파일 해시 및 모니터링하는 기타 디지털 아티팩트와 같은 다양한 지표를 분류하는 데 도움이 됩니다.
관찰 가능 유형 관리
새 유형 생성
“생성” 버튼을 클릭하여 새 관찰 가능 유형 추가:
다음 설정 구성:
- 유형 이름
- 설명
- 카테고리
- 유효성 검사 규칙
- 표시 형식
일반적인 관찰 가능 유형
네트워크 지표
- IP 주소
- IPv4 형식
- IPv6 형식
- CIDR 표기법
- 도메인 이름
- 정규화된 도메인 이름(FQDN)
- 와일드카드
- IDN 지원
- URL
- 웹 주소
- URI 패턴
- 프로토콜 사양
파일 지표
- 파일 해시
- MD5
- SHA-1
- SHA-256
- SHA-512
- 파일 이름
- 확장자
- 패턴
- 정규 표현식
- 파일 경로
- 디렉토리 구조
- 경로 패턴
시스템 지표
- 레지스트리 키
- Windows 레지스트리 경로
- 값 이름
- 데이터 유형
- 프로세스 이름
- 실행 파일 이름
- 명령줄
- 프로세스 패턴
- 서비스 이름
- Windows 서비스
- Unix 데몬
- 서비스 패턴
통신 지표
- 이메일 주소
- 주소 형식
- 도메인 유효성 검사
- 패턴 매칭
- 사용자 계정
- 사용자 이름
- 계정 ID
- 플랫폼 식별자
- 통신 프로토콜
- 포트 번호
- 프로토콜 식별자
- 서비스 정의
모범 사례
유형 정의
- 명확하고 설명적인 이름 사용
- 상세한 설명 제공
- 적절한 유효성 검사 규칙 설정
- 예제 값 포함
조직
- 관련 유형 그룹화
- 일관된 명명 유지
- 카테고리 효과적으로 사용
- 유형 관계 고려
유효성 검사 규칙
- 형식 요구 사항 정의
- 값 제약 조건 설정
- 패턴 매칭 구성
- 데이터 유효성 검사 구현
유지 관리
- 유형 사용 검토
- 정의 업데이트
- 변경 사항 문서화
- 효과성 모니터링
관찰 가능 유형 사용
케이스에서
- 위협 지표
- IOC 추적
- 증거 수집
- 패턴 매칭
분석에서
- 지표 상관 관계
- 패턴 감지
- 위협 헌팅
- 인텔리전스 수집
보고서에서
- 지표 통계
- 유형 분포
- 추세 분석
- 인텔리전스 보고