>

적응형 응답

앱에서 제공하는 적응형 대응 기능을 사용하면 레코디드 퓨처의 정보로 IOC를 더욱 풍부하게 만들 수 있습니다. 이는 기록된 미래를 기반으로 한 강화와 비슷하지만 몇 가지 차이점이 있습니다:

위험 목록 강화 적응형 응답
강화는 위험 목록에 있는 정보를 기반으로 합니다. 강화는 레코딩된 미래 API에 대해 실시간으로 수행됩니다.
위험 목록의 새로 고침 주기로 인해 정보가 완전히 최신이 아닐 수 있습니다. 정보는 항상 최신 상태로 유지됩니다.
위험 목록에 있는 IOC만 강화됩니다(참고 참조). 알려진 모든 IOC가 보강됩니다.
인텐시티는 API 크레딧을 사용하지 않습니다. 강화는 성공적으로 강화된 IOC당 하나의 API 크레딧을 사용합니다.

참고: 일반적으로 목록에는 위험 점수가 일정 임계값 이상인 IOC만 포함됩니다. 이는 목록을 관리하기 쉬운 크기로 유지하기 위한 것입니다.

적응형 응답 설정

적응형 응답을 사용하는 일반적인 방법은 조사해야 할 이벤트를 수집하는 상관관계 검색의 적응형 응답 목록에 적응형 응답을 추가하는 것입니다.

설정이 완료되면 검색에서 발견된 각 이벤트에 대해 적응형 응답이 실행됩니다.

이러한 검색의 예는 "위협 활동 감지" 이 검색은 Splunk의 위협 인텔리전스 프레임워크에 알려진 위협과 일치하는 모든 네트워크 이벤트를 탐지합니다.

여러 상관관계 검색에 동일한 적응형 응답을 사용할 수 있습니다.

적응형 응답 작업 추가하기

해당 상관관계 검색에 적응형 응답을 추가하는 방법은 다음과 같습니다:

  1. Splunk Enterprise Security에서 구성->콘텐츠 관리로 이동합니다.
  2. "위협 활동 감지됨" 을 찾아 이름을 클릭합니다.
  3. 페이지 하단에는 "적응형 대응 조치" 섹션이 있습니다. "+ 새 응답 작업 추가" 를 클릭합니다.
  4. 드롭다운 목록에서 "기록된 미래로 풍요롭게 만들기를 클릭합니다."
    새 응답 작업 추가
  5. 대부분의 경우 변경할 필요 없이 저장을 클릭하기만 하면 됩니다. 상관관계 검색에서 "위협_매치_값" 이외의 다른 필드를 사용하여 탐지한 IOC를 표시하는 경우 해당 필드 이름을 필드 값으로 입력해야 합니다.
    적응형 응답 구성

경고: 강화되는 각 IOC는 하나의 API 크레딧을 사용할 수 있습니다. 상관관계 검색에 사용된 이벤트 수가 지나치게 많지 않은지 확인하세요.

적응형 응답 작업 제거하기

어느 시점에서 적응형 응답 작업을 상관관계 검색에서 제거해야 하는 경우, 이는 매우 간단합니다.

  1. Splunk Enterprise Security에서 구성->콘텐츠 관리로 이동합니다.
  2. 상관관계 검색을 찾아 선택합니다.
  3. 페이지 하단에는 "적응형 대응 조치" 섹션이 있습니다.
  4. 작업 옆의 X를 클릭하고 저장합니다.
    적응형 응답 제거

적응형 응답의 임시 사용

예를 들어 인시던트 검토 패널에서 적응형 대응에 임시 호출을 할 수 있습니다.

  1. 인시던트 검토 패널에서 주목할 만한 이벤트를 검토할 때 이벤트 작업을 클릭합니다.
  2. "적응형 응답 실행" 을 선택합니다.
    애드혹 적응형 응답 시작
  3. "녹화된 미래" 를 선택하고 실행합니다. 팝업을 닫습니다.
    새 응답 작업 추가
  4. 패널의 "적응형 응답" 섹션 바로 위에 있는 다시 로드 기호를 클릭합니다.
    응답 조치 다시 로드
  5. 상태 열에 확인 표시와 "성공" 이 표시되면 보강이 완료된 것입니다. "기록된 미래로 강화" 를 클릭하면 강화에서 반환된 정보가 포함된 강화 보기(별도의 보기)가 열립니다.
    적응형 응답 보기