C2 통신 IP SCF 스플렁크 대시보드
기록된 미래 인터넷 검색 인터넷 호스트에 대한 실시간 정보를 수집하고 네트워크 트래픽 분석 는 공격자가 공격을 구축, 준비, 실행할 때 공격자와 피해자 사이의 중간 지점을 관찰합니다. 명령 및 제어 데이터 세트는 이 두 가지 방법을 융합하여 C2 양성으로 스캔한 IP를 식별 및 추적한 다음 통신을 관찰하여 C2가 감염된 컴퓨터와 어떻게 상호 작용하고 공격자가 제어하는지를 파악합니다. Splunk에서 이 데이터를 활용하면 로그의 네트워크 활동과 특정 포트 및 프로토콜에 대한 명령 및 제어 인프라, 그리고 특정 멀웨어 제품군과 연관된 네트워크 활동을 높은 신뢰도로 연관시킬 수 있습니다 .
이를 통해 우리는 두 가지 목표를 향해 나아갈 수 있습니다:
- 관련 포트 및 프로토콜을 통해 알려진 C2 IP와의 통신을 감지합니다.
- 특정 멀웨어와 관련이 있을 수 있는 활동을 추적합니다.
이 대시보드를 통해 고객은 C2 통신 IP SCF에 포함된 메타데이터를 활용하여 네트워크 트래픽 로그와 알려진 C2 인프라 간의 신뢰도와 충실도가 높은 상관관계를 감지할 수 있습니다. 또한 이 정보를 기록된 미래 위험 점수 및 증거 세부 정보와 결합하여 분석가에게 IP 주소에 대한 추가 인사이트를 제공합니다. 마지막으로, 사용자는 검색하려는 특정 활동이 있는 경우 멀웨어 변종에 따라 결과를 필터링할 수 있습니다.
기술적인 관점에서 보면 통합에는 구성해야 할 사항이 포함되어 있습니다:
- 스플렁크용 기록된 미래 앱에 메타데이터가 추가된 위험 목록 형식으로 변환된 C2 통신 IP SCF 퓨전 파일
- C2 SCF 상관관계 대시보드 XML 코드
이 서비스를 구현하려면 위협 또는 브랜드 인텔리전스 모듈, Splunk 통합 및 전문 서비스 크레딧 2개가 필요합니다. 통합 또는 프리미엄 지원에서 제공하는 지속적인 지원. 추가 질문이 있는 경우 인텔리전스 서비스 컨설턴트에게 문의하세요.