::: 정보보안 :::

MISP 사용해보기 4 - 대량 지표 입력

정보보안썰문가 곰탱이푸우 2021. 6. 9. 17:08
반응형

지금까지는 단일 지표를 입력했지만 다수의 지표도 입력 가능하다.

외부의 보고서나 IoC 문서에서 추출한 다수의 지표를 한번에 입력하는 Free-text Import tool을 제공한다.

 

본문은 아래 영상의 내용을 정리한 것이다.

각 작업들은 수작업으로 진행하는 것을 정리했지만, 향후 각 단계별로 API를 이용한 자동화도 가능할 것으로 판단된다.

 

 

1. 사전 준비

MISP에서 대량의 지표를 입력하기 위해 사전에 진행해야 하는 사항이다.

 

 

1.1. Feed 설정과 Data Fetch

Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다.

 

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 의 1. Feed 설정 내용을 참고한다.

 

MISP 사용해보기 2 - Feed 추가와 데이터 다운로드

MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다. CIRCL OSINT Feed, The Botvrij.eu Data 등 2개의 Feed를 목록에서 기본적으로 확인할 수 있고, MISP에서 제공하는 65개 Feed를 추가할 수 있..

www.bearpooh.com

 

1.2 이벤트 데이터 보강 (Enrich)을 위한 추가 설정

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 3 - 보강 지표 생성 1.5. 이벤트 데이터 보강 설정 내용을 참고한다.

 

MISP 사용해보기 3 - 보강 지표 생성

본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP의 보강 지표를

www.bearpooh.com

 

1.3. 새로운 Event 추가

Event Actions → Add Event에서 Event를 추가한다.

 

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 1 - 기본 설정과 이벤트 추가 의 4.1. 새로운 Event 추가 내용을 참고한다.

 

MISP 사용해보기 1 - 기본 설정과 이벤트 추가

본문은 아래 영상의 내용을 정리한 것이다. Intro to MISP 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. Quick Start 문서는 워낙

www.bearpooh.com

 

2. 대량 위협 지표 입력

2.1. Free-text Import 도구 사용

+ 아이콘 우측 두번째에 위치한 Free-text Import 도구를 사용한다.

 

 

2.2. 위협 지표 Copy & Paste

Free-text Import 도구에 복사한 위협 지표 목록을 입력한다. 유형에 따라 자동으로 분류한다.

 

2.3 오분류 항목 교정 후 Submit 

상단 제목은 다르지만 보강 지표를 추가할 때 확인하고 수정하는 화면과 동일하다. 

 

3. 입력 결과 확인과 1차 정제

3.1. 추가 된 목록 확인

Submit attributes를 클릭한 이후 새로고침을 해야 Attributes 목록에 표시된다.

일부는 기존 이벤트와 연관 된 것을 확인할 수 있다.

 

 

3.2. 1차 불필요한 정보 제거 

추가 된 지표들을 확인하고 1차로 불필요한 정보를 제거한다.

Domain의 경우 상위 Top 100 도메인에 해당하는 경우 정상으로 볼 가능성이 높지만, 서브 도메인인 경우에는 주의해야 한다.

  • 데모 영상과 다르게 실제 테스트에서는 상위 Top 100 도메인 표시가 되지 않는다.
  • urlscan 서비스 연동에 필요한 API 키 설정을 하지 않아서 발생하는 문제이다. 
  • 연동하면 정상적인 출력이 가능할 것으로 판단된다.

 

4. 지표 보강과 2차 정제

4.1. 위협 지표 보강 

Enrich Event 또는 개별 지표 Enrich를 통해 해당 지표의 보강 지표를 확보한다.

 

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 3 - 보강 지표 생성 3. 보강 지표 생성내용과 동일하다.

 

MISP 사용해보기 3 - 보강 지표 생성

본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP의 보강 지표를

www.bearpooh.com

 

 

입력 된 일부 URL에 대해서는 피싱으로 의심되는 항목이 존재하는 것을 확인할 수 있다.

 

4.2. 2차 불필요한 정보 제거

조회 결과 없거나 정상 또는 불필요한 항목을 제거한다.

 

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 3 - 보강 지표 생성 3.2. 추가 된 지표 분석과 불필요한 지표 제거 내용과 동일하다.

 

MISP 사용해보기 3 - 보강 지표 생성

본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP의 보강 지표를

www.bearpooh.com

 

 

입력 된 지표와 강화 지표 중 정상으로 판단되거나 불필요한 지표를 제거한 결과는 아래과 같다.

 

 

5. 지표 공유

공유하거나 차단하려는 정보를 추출하는 과정이다.

이벤트 상세 페이지에서 좌측의 Event Actions → Download as를 클릭하고, 원하는 포맷을 선택한다.

 

5.1. 체크 박스 선택 후 Download as 선택

 

5.2. 원하는 포맷 선택

정보 공유 포맷 (MISP, OpenIOC, CSV, STIX 등) 뿐 아니라 차단 룰 (Suricata, Snort, Bro 등), 텍스트 파일, PDF 파일 등이 가능하다.

 

5.3. 결과 확인

아래는 Export all attribute values as a text file 항목을 선택했을 때의 출력 결과이다.

반응형
1 2 3 4 5 6 ··· 9