위험 목록 개요
위험 목록은 이벤트를 상호 연관시키고 보강하는 데 사용할 수 있습니다. 위험 목록의 각 요소(예: IP 번호, URL 또는 해시)에는 위험 점수와 점수가 설정된 이유에 대한 정보가 있습니다.
상관 관계
구성된 모든 위험 목록은 Splunk 서버로 다운로드되어 로컬에서 처리됩니다. 정보의 일부는 Splunk Enterprise Security의 일부인 위협 인텔리전스 프레임워크에 삽입됩니다. 이 프레임워크는 외부 소스(예: Recorded Future)에서 가져온 타협 지표(IOC) 목록을 유지 관리합니다.
이벤트가 해당 목록의 항목과 일치하면 가능한 추가 조치를 위해 플래그가 지정됩니다. 추가 조치의 예로는 "위협 활동 감지됨" 규칙과 같은 상관관계 검색이 있습니다. 이 규칙과 일치하는 이벤트는 Splunk Enterprise Security에서 주목할 만한 이벤트로 강조 표시됩니다.
보강
다운로드한 위험 목록은 조회 테이블로도 저장됩니다. 스펑크 엔터프라이즈 보안용 기록된 미래 애드온은 주목할 만한 이벤트를 살펴보고 추가 데이터를 사용할 수 있는 모든 이벤트에 대해 새로운 주목할 만한 이벤트를 생성하는 저장 검색을 미리 구성해 두었습니다. 새로운 이벤트에는 기록된 미래 위험 점수 및 해당 위험이 IOC에 지정된 이유에 대한 세부 정보와 같은 추가 정보가 포함됩니다.
기본 위험 목록
기본적으로 앱은 4개의 기본 위험 목록이 미리 구성된 상태로 제공됩니다:
- IP 번호
- 도메인 이름
- URL
- 해시
Fusion 액세스 권한이 있는 경우 추가 위험 목록을 정의하고 읽을 수 있습니다.
위험 목록 관리
구성->입력으로 이동합니다. 이렇게 하면 구성된 모든 입력(위험 목록 및 알림 모니터링 모두)이 표시됩니다. >-기호를 클릭하면 목록에 대한 추가 정보가 표시됩니다.
작업 드롭다운에서 목록을 활성화/비활성화하고, 삭제, 복제 또는 편집할 수 있습니다.
위험 목록 다운로드 추가 또는 수정
추가 위험 목록을 만들려면 녹색 "새 입력 만들기" 버튼을 클릭하고 기록된 미래 위험 목록을 선택합니다.
| 필드 | 중요성 | 설명 |
|---|---|---|
| 이름 | Splunk 인스턴스 내의 위험 목록 이름입니다. 조회 파일의 이름은 <name>.csv입니다. | |
| 간격 | 이 몇 초 후에 목록에 업데이트가 있는지 확인합니다. 이 값은 300으로 설정해야 합니다. | 목록을 확인하는 빈도를 지정합니다. 목록이 업데이트된 경우에만 업데이트가 이루어집니다. |
| 색인 | 모듈식 입력은 실행 시 통계를 생성합니다. 저장할 인덱스를 설정합니다. | 올바른 역할이 할당된 인덱스를 선택해야 하며, 확실하지 않은 경우 메인/기본값으로 두세요. |
| 위험 목록 카테고리 | 위험 목록에 데이터가 있는 요소의 종류를 선택합니다. | IP, 도메인, 해시, 취약점 또는 URL |
| 퓨전 파일 | 퓨전 위험 목록의 경로입니다. 목록을 조회로 사용하려면 퓨전 흐름이 압축되지 않은 csv 파일을 생성하도록 정의해야 합니다. | 정의된 Fusion 파일과 일치해야 합니다. 이 필드를 비워두면 카테고리에 대한 기본 위험 목록이 사용됩니다. |
새 위험 목록이 설정되면 다운로드되어 Splunk의 위협 인텔리전스 프레임워크에서 사용할 수 있습니다. 일반적으로 이 작업은 몇 분이면 완료됩니다. 위험 목록이 완성되면 의심스러운 IOC를 탐지하는 데 사용됩니다.
그러나 보강을 활성화하려면 새로운 상관관계 검색이 필요합니다.
- 설정으로 이동->검색, 보고서 및 알림
- "유형을 선택합니다: 모두" 및 "앱: Splunk ES용 기록된 향후 애드온".
- "위협 - RF IP 위협 목록 검색 - 규칙" (또는 위험 목록 유형에 따라 해당 도메인, 해시 또는 URL)을 찾습니다.
- "편집" 드롭다운 메뉴에서 "복제" 를 선택합니다.
- "새 제목" 필드를 합리적인 이름으로 변경합니다(예: "위협 - RF IP 내 사용자 지정 위협 목록 검색 - 규칙").
- 설명을 변경하는 것이 좋습니다.
- 권한이 복제로 설정되어 있는지 확인합니다.
- 설정으로 이동->검색, 보고서 및 알림
- "유형을 선택합니다: 모두" 및 "앱: Splunk ES용 기록된 향후 애드온".
- 새로 생성된 검색을 클릭합니다.
-
검색을 변경합니다:
- 매크로의 첫 번째 매개변수(예: rf_ip_risklist)를 새 위험 목록의 이름으로 변경합니다.
- 저장