Applied Threat Intelligence 선별된 감지 개요

이 문서에서는 Chronicle Security Operations Enterprise Plus에서 사용할 수 있는 Applied Threat Intelligence 선별된 우선순위 지정 카테고리의 선별된 감지 규칙 집합을 간략하게 설명합니다. 이러한 규칙은 Mandiant 위협 인텔리전스를 활용하여 우선순위가 높은 위협을 사전에 식별하고 알림을 제공합니다.

이 카테고리에는 Chronicle SIEM에서 Applied Threat Intelligence 기능을 지원하는 다음 규칙 집합이 포함됩니다.

  • 활성 위반 우선순위 네트워크 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 네트워크 관련 침해 지표(IOC)를 식별합니다. 활성 위반 라벨로 IOC에 우선순위를 지정합니다.
  • 활성 위반 우선순위 호스트 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 호스트 관련 IOC를 식별합니다. 활성 위반 라벨로 IOC에 우선순위를 지정합니다.
  • 높은 우선순위 네트워크 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 네트워크 관련 IOC를 식별합니다. 높음 라벨의 IOC 우선순위를 지정합니다.
  • 높은 우선순위 호스트 지표: Mandiant 위협 인텔리전스를 사용하여 이벤트 데이터에서 호스트 관련 IOC를 식별합니다. 높음 라벨의 IOC 우선순위를 지정합니다.

규칙 집합을 사용 설정하면 Chronicle SIEM이 Mandiant 위협 인텔리전스 데이터에 대해 이벤트 데이터를 평가하기 시작합니다. 하나 이상의 규칙에서 Active Breach 또는 높음 라벨의 IOC 일치 항목을 식별하면 알림이 생성됩니다. 선별된 감지 규칙 집합을 사용 설정하는 방법에 대한 자세한 내용은 모든 규칙 집합 사용 설정을 참조하세요.

지원되는 기기 및 로그 유형

Chronicle SIEM이 기본 파서를 지원하는 모든 로그 유형의 데이터를 수집할 수 있습니다. 목록은 지원되는 로그 유형 및 기본 파서를 참조하세요.

Chronicle은 Mandiant 위협 인텔리전스에서 선별한 IOC에 대해 UDM 이벤트 데이터를 평가하고 도메인, IP 주소, 파일 해시 일치가 있는지 식별합니다. 도메인, IP 주소, 파일 해시를 저장하는 UDM 필드를 분석합니다.

기본 파서를 커스텀 파서로 바꾸고 도메인, IP 주소 또는 파일 해시가 저장되는 UDM 필드를 변경하면 이러한 규칙 집합의 동작에 영향을 줄 수 있습니다.

규칙 집합은 다음 UDM 필드를 사용하여 활성 위반 또는 높음과 같은 우선순위를 결정합니다.

  • network.direction
  • security_result.[]action

IP 주소 지표의 경우 network.direction이 필요합니다. UDM 이벤트에 network.direction 필드가 채워지지 않으면 Applied Threat Intelligence가 principal.iptarget.ip 필드를 RFC 1918 내부 IP 주소 범위와 대조하여 네트워크 방향을 결정합니다. 이 검사에서 명확하지 않으면 IP 주소가 고객 환경 외부로 간주됩니다.

Applied Threat Intelligence 카테고리에서 반환된 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목에서 규칙 집합으로 평가되지 않도록 제외하는 UDM 이벤트 기준을 정의합니다. 지정된 UDM 필드에 값이 있는 이벤트는 규칙 집합의 규칙으로 평가되지 않습니다.

예를 들어 다음 정보를 기준으로 이벤트를 제외할 수 있습니다.

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

규칙 제외 항목을 만드는 방법에 대한 자세한 내용은 규칙 제외 항목 구성을 참조하세요.

규칙 집합에 사전 정의된 참조 목록이 사용되는 경우 참조 목록 설명은 평가되는 UDM 필드에 대한 세부정보를 제공합니다.