반응형

위협지표 7

FIR (Fast Incident Response)

1. 소개 1.1. 개요 FIR은 침해사고 대응을 위한 플랫폼(Security Incident Response Platform)으로 오픈소스이다. TheHive에 비해 기능이 많이 단순하다. 장점이지만 곧 단점이다. 외부 인텔리전스는 YETI에 종속되어 있고, 샘플 분석은 FAME에 종속된 것으로 보인다. TheHive에 비해 외부 Observable을 수집하거나 보강하는 기능은 지원하지 않고, TTPs 정리 기능 지원도 미흡하다. 공식 사이트 겸 GitHub certsocietegenerale/FIR Fast Incident Response. Contribute to certsocietegenerale/FIR development by creating an account on GitHub. github..

MISP 사용해보기 4 - 대량 지표 입력

지금까지는 단일 지표를 입력했지만 다수의 지표도 입력 가능하다. 외부의 보고서나 IoC 문서에서 추출한 다수의 지표를 한번에 입력하는 Free-text Import tool을 제공한다. 본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, 향후 각 단계별로 API를 이용한 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP에서 대량의 지표를 입력하기 위해 사전에 진행해야 하는 사항이다. 1.1. Feed 설정과 Data Fetch Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다. 2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 의 1. Feed 설정 내..

MISP 사용해보기 3 - 보강 지표 생성

본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP의 보강 지표를 생성하기 위해 사전에 진행해야 하는 사항이다. 1.1. Feed 설정과 Data Fetch Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다. 2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드의 1. Feed 설정 내용을 참고한다. MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다. CIRCL OSINT Feed, ..

MISP 사용해보기 2 - Feed 추가와 데이터 다운로드

MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다. CIRCL OSINT Feed, The Botvrij.eu Data 등 2개의 Feed를 목록에서 기본적으로 확인할 수 있고, MISP에서 제공하는 65개 Feed를 추가할 수 있다. 유형별로 대표적인 Feed들을 분류하면 다음과 같다. (더보기 클릭) 더보기 악성코드 정보 CIRCL (룩셈부르크 침해사고대응센터) URL Haus Malwares URLs (abuse.ch) malshare.com (malshare.com) Malware Bazaar (abuse.ch) CyberCure - Hash Feed (cybercure.ai) 사이버 범죄 cybercrime-tracker-all (cybercrime-tracker.n..

MISP 사용해보기 1 - 기본 설정과 이벤트 추가

본문은 아래 영상의 내용을 정리한 것이다. Intro to MISP 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. Quick Start 문서는 워낙 빈약하고, 공식 매뉴얼은 너무 방대한 것이 문제라면 문제.. Quick Start · User guide of MISP intelligence sharing platform Last modified: Sun Feb 28 2021 09:22:59 GMT+0100 (Central European Standard Time) Quick Start MISP (Open Source Threat Intelligence and Sharing Platform) software facilitates t..

YETI (Your Everyday Threat Intelligence)

1. 소개 1.1. 개요 YETI는 위협 인텔리전스의 구성 요소에 대한 구성과 분석이 가능한 일상 위협 인텔리전스 플랫폼(Your Everyday Threat Intelligence)으로 오픈소스이다. MISP를 Feed로 사용할 수 있고, TheHive에 Yeti를 네트워크 아티팩트의 보강 소스로 사용 할 수 있다. 또한 침해사고 대응 플랫폼인 FIR, 악성코드 자동 분석 플랫폼인 FIME 등과 연동 가능하다. 공식사이트 YETI Your Everyday Threat Intelligence yeti-platform.github.io GitHub yeti-platform/yeti Your Everyday Threat Intelligence. Contribute to yeti-platform/yeti de..

CRITs (Collaborative Reseach Into Threats)

1. 소개 1.1. 개요 CRITs는 악성코드 기반의 위협 데이터 관리와 공유를 위한 '위협과 관련 된 공동 연구 (Collaborative Reseach Into Threats)' 플랫폼으로 오픈소스이다. STIX, TAXII, ATT&CK을 개발한 MITRE에서 개발한 툴로서, 해당 표준과 가장 잘 호환되는 것으로 알려져 있다. 약 2년 전이 가장 최신 릴리즈로 MISP에 비해 릴리즈는 활성화 되어 있지 않은 편이다. 공식 사이트 CRITs: Collaborative Research Into Threats Extend CRITs with Services Develop additional capabilities using the Services Framework to combine CRITs with ..

반응형