MISP 사용해보기 3 - 보강 지표 생성

본문은 아래 영상의 내용을 정리한 것이다.

 

각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다.

 

1. 사전 준비

MISP의 보강 지표를 생성하기 위해 사전에 진행해야 하는 사항이다.

 

 

1.1. Feed 설정과 Data Fetch

Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다.

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드의 1. Feed 설정 내용을 참고한다.

MISP 사용해보기 2 - Feed 추가와 데이터 다운로드

 

1.2. 새로운 Event 추가

Event Actions → Add Event에서 Event를 추가한다.

 

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 1 - 기본 설정과 이벤트 추가의 4.1. 새로운 Event 추가 내용을 참고한다.

MISP 사용해보기 1 - 기본 설정과 이벤트 추가

 

1.3. 해당 Event 관련 위협 지표 추가

Event Actions → List Event → ID 선택 → (+) 클릭하여 Attribute를 추가한다.

MISP 사용해보기 1 - 기본 설정과 이벤트 추가 의 4.2. 해당 Event 관련 위협 지표 추가 내용을 참고한다.

(해당 포스팅 링크 추가)

 

예제에서 사용하는 값은 다음과 같다. (더보기 클릭)

IP

Network Activity → ip-src를 선택하고 213.186.33.19 입력

 

Domain (URL)

Network Activity → domain을 선택하고 google.com 입력

 

MAC Address

Payload delivery → mac-address를 선택하고 1C-1B-0D-66-1D-0C 입력

 

1.4. 관련 이벤트 확인

 

Relative Events 컬럼에서 관련 이벤트를 확인할 수 있다.

• 외부 수집 정보와 직접 수집 정보의 상호 연결 가능
• 빨간색 이벤트 ID는 현재 이벤트 의미

 

1.5. 이벤트 데이터 보강 설정

이벤트 데이터 보강 (Enrich)을 위한 추가 설정을 진행한다.

• VirusTotal, PassiveTotal 등은 유료 API 사용 필요
• urlscan, urlhaus 등도 API Key 설정 필요 (유료일 가능성 높음)

 

 

Server setting and maintenance → Plugin settings → Enrichment로 이동한다.

 

Enrichment를 클릭하면 지표 보강을 위한 다양한 옵션을 확인할 수 있다.

• VMray, Cuckoo 등도 지원한다.
• DNS, ipsan, CVE, CPE, VirusTotal, WHOIS, shodan, geoip 외에 수많은 보강 옵션이 존재한다. (너~~무 많아서 나열하기 어렵다.)

 

예제에서는 DNS enabled, ipsan_enabled, macvendors_enabled, urlscan_enabled를 True로 변경한다.

 

2. 보강 지표 확인

2.1 다시 이벤트 상세 페이지 이동

Event Actions → List Event에서 ID를 선택하여 상세 페이지로 이동한다.

상세 페이지의 우측 상단에서 관련 이벤트가 출력되는 것을 확인할 수 있다.

 

 

2.2. 각 속성의 보강 지표 확인

이벤트 Attribute의 Value 컬럼에서 보강 지표를 확인할 수 있다.

• + 클릭 또는 마우스 오버 했을때 추가 정보 확인 가능
• 마우스 오버 했을때 정보 출력 안되면 추가 설정 필요

 

3. 보강 지표 생성과 정제

3.1. 지표 보강 정보 추가

정보 보강 (Enrich) 방법은 두 가지가 있다.

 

전체 적용

적용 사항은 모든 이벤트에 적용된다.

 

Event Actions → 필요한 항목 선택 후 Enrich를 클릭한다.

 

단일 지표 적용

해당 Attribute의 최우측 Actions에 있는 3개 아이콘 중 * 모양 선택한다.

 

 

확장하고자 하는 지표를 선택한다.

 

선택한 요소에 해단 보강 지표가 출력된다. 예제에서는 dns를 선택하여 domain에 대한 IP가 출력되었다.

자동 입력 전에 내용을 확인하고 잘못 된 부분을 수정한다.

 

 

Submit attributes를 클릭하면 다시 이벤트 상세 페이지로 이동하고, 새로고침을 해야 추가 된 내용이 표시된다.

보강 지표 추가가 완료 되면 Comment 부분에 보강 지표(Enriched)라는 내용이 추가된다.

 

추가한 보강 지표에 대한 추가 보강 가능

추가 된 보강 지표에 대한 보강 지표를 생성할 수 있다.

예제에서는 domain으로 생성한 보강 지표인 IP에 대해 추가 보강 지표 (ipsan) 생성을 진행한다.

 

보강 지표의 보강 지표가 성공적으로 추가된 것을 확인할 수 있다.  역시 새로고침이 필요하다.

 

 

3.2. 추가 된 지표 분석과 불필요한 지표 제거

기존 지표와 보강 된 지표를 바탕으로 지표를 분석하고, 불필요한 지표는 삭제한다.

다수의 지표를 삭제할 때에는 체크박스 선택 후 상단의 휴지통을 클릭한다. (+ 버튼 우측으로 5번째 버튼)

개별 삭제는 각 지표의 최우측의 휴지통 아이콘이다. (그 옆의 휴지통은 삭제를 제안하는 버튼이다.)

 

선택한 지표가 정상적으로 삭제 된 것을 확인할 수 있다.