VirusTotal 정보 보기

Chronicle과 VirusTotal을 통합하여 Chronicle의 애셋에 연결된 도메인 찾기에서 피벗하여 VirusTotal에서 해당 도메인에 대한 정보를 보고 VirusTotal 그래프를 실행합니다.

VirusTotal 그래프는 VirusTotal 데이터 세트를 기반으로 빌드된 시각화 도구로, 파일, URL, 도메인, IP 주소, 기타 발생 항목의 관계를 분석합니다. VirusTotal 그래프에서는 악성일 수 있는 도메인과 기업 내 애셋 간의 상호 연결을 보여줍니다.

도메인의 VirusTotal 컨텍스트를 보려면 다음 단계를 완료합니다.

1. Chronicle에서 의심스러운 도메인을 검색합니다. 검색결과에서 도메인을 선택하여 도메인 뷰를 엽니다.

2. 도메인 뷰 상단에 있는 VT CONTEXT를 클릭하여 VT 컨텍스트 창을 엽니다. VT CONTEXT 옆에 있는 숫자는 이 도메인을 악성으로 플래그 지정한 보안 공급업체의 수를 나타냅니다(표시된 예시에서는 보안 공급업체 90개 중 8개에서 도메인을 악성으로 플래그 지정함).

   

   VT CONTEXT 옵션을 사용하여 도메인 보기

3. VT 컨텍스트 창이 감지 탭으로 열립니다. 이 탭에는 이 도메인에 대해 알려진 항목과 관련된 VirusTotal의 추가 정보(예: 도메인이 악성인지 여부)가 표시됩니다.

   

   감지 탭

4. IoC 탭을 클릭하여 이 도메인의 데이터베이스에 있는 IoC VirusTotal을 봅니다. VirusTotal IoC를 보려면 서명된 VirusTotal Enterprise 계정이 있어야 합니다. 메시지가 표시되면 VirusTotal 로그인 사용자 인증 정보를 입력합니다.

   

   IoC 탭

5. 그래프 탭을 클릭하여 VirusTotal 그래프를 시작하는 제어를 엽니다. VirusTotal 그래프를 사용하려면 VirusTotal Enterprise 계정이 있어야 합니다. 메시지가 표시되면 VirusTotal 로그인 사용자 인증 정보를 입력합니다.

   

   VirusTotal Graph