지금까지는 단일 지표를 입력했지만 다수의 지표도 입력 가능하다.
외부의 보고서나 IoC 문서에서 추출한 다수의 지표를 한번에 입력하는 Free-text Import tool을 제공한다.
본문은 아래 영상의 내용을 정리한 것이다.
각 작업들은 수작업으로 진행하는 것을 정리했지만, 향후 각 단계별로 API를 이용한 자동화도 가능할 것으로 판단된다.
1. 사전 준비
MISP에서 대량의 지표를 입력하기 위해 사전에 진행해야 하는 사항이다.
1.1. Feed 설정과 Data Fetch
Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다.
2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 의 1. Feed 설정 내용을 참고한다.
1.2 이벤트 데이터 보강 (Enrich)을 위한 추가 설정
2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 3 - 보강 지표 생성 의 1.5. 이벤트 데이터 보강 설정 내용을 참고한다.
1.3. 새로운 Event 추가
Event Actions → Add Event에서 Event를 추가한다.
2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 1 - 기본 설정과 이벤트 추가 의 4.1. 새로운 Event 추가 내용을 참고한다.
2. 대량 위협 지표 입력
2.1. Free-text Import 도구 사용
+ 아이콘 우측 두번째에 위치한 Free-text Import 도구를 사용한다.
2.2. 위협 지표 Copy & Paste
Free-text Import 도구에 복사한 위협 지표 목록을 입력한다. 유형에 따라 자동으로 분류한다.
2.3 오분류 항목 교정 후 Submit
상단 제목은 다르지만 보강 지표를 추가할 때 확인하고 수정하는 화면과 동일하다.
3. 입력 결과 확인과 1차 정제
3.1. 추가 된 목록 확인
Submit attributes를 클릭한 이후 새로고침을 해야 Attributes 목록에 표시된다.
일부는 기존 이벤트와 연관 된 것을 확인할 수 있다.
3.2. 1차 불필요한 정보 제거
추가 된 지표들을 확인하고 1차로 불필요한 정보를 제거한다.
Domain의 경우 상위 Top 100 도메인에 해당하는 경우 정상으로 볼 가능성이 높지만, 서브 도메인인 경우에는 주의해야 한다.
- 데모 영상과 다르게 실제 테스트에서는 상위 Top 100 도메인 표시가 되지 않는다.
- urlscan 서비스 연동에 필요한 API 키 설정을 하지 않아서 발생하는 문제이다.
- 연동하면 정상적인 출력이 가능할 것으로 판단된다.
4. 지표 보강과 2차 정제
4.1. 위협 지표 보강
Enrich Event 또는 개별 지표 Enrich를 통해 해당 지표의 보강 지표를 확보한다.
2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 3 - 보강 지표 생성 의 3. 보강 지표 생성과 내용과 동일하다.
입력 된 일부 URL에 대해서는 피싱으로 의심되는 항목이 존재하는 것을 확인할 수 있다.
4.2. 2차 불필요한 정보 제거
조회 결과 없거나 정상 또는 불필요한 항목을 제거한다.
2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 3 - 보강 지표 생성 의 3.2. 추가 된 지표 분석과 불필요한 지표 제거 내용과 동일하다.
입력 된 지표와 강화 지표 중 정상으로 판단되거나 불필요한 지표를 제거한 결과는 아래과 같다.
5. 지표 공유
공유하거나 차단하려는 정보를 추출하는 과정이다.
이벤트 상세 페이지에서 좌측의 Event Actions → Download as를 클릭하고, 원하는 포맷을 선택한다.
5.1. 체크 박스 선택 후 Download as 선택
5.2. 원하는 포맷 선택
정보 공유 포맷 (MISP, OpenIOC, CSV, STIX 등) 뿐 아니라 차단 룰 (Suricata, Snort, Bro 등), 텍스트 파일, PDF 파일 등이 가능하다.
5.3. 결과 확인
아래는 Export all attribute values as a text file 항목을 선택했을 때의 출력 결과이다.
'::: 정보보안 :::' 카테고리의 다른 글
FIR (Fast Incident Response) (0) | 2021.06.09 |
---|---|
MISP 사용해보기 3 - 보강 지표 생성 (2) | 2021.06.09 |
MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 (0) | 2021.06.09 |
MISP 사용해보기 1 - 기본 설정과 이벤트 추가 (0) | 2021.06.09 |
TheHive: a Scalable, Open Source and Free Security Incident Response Platform (4) | 2021.06.08 |