matchfeed

워치에이드 ISAC이 제공하는 위협 인텔리전스 피드를 이용하여 입력 레코드를 필터링합니다.

문법

matchfeed name=[otx|tor|mdl_ip|mdl_domain|malc0de|abusech] fields=TARGET_FIELD [invert=t]
필수 매개변수
name
위협 인텔리전스 피드 식별자. otx, tor, mdl_ip, mdl_domain, malc0de, abusech 중 선택
fields
쉼표(,)로 구분된 대상 필드 목록
선택 매개변수

설명

피드 식별자와 명령을 실행한 다음 출력되는 필드 내용은 다음 표를 참조하십시오.

피드 식별자

이름유형이름설명
otxIP 주소OTX 피드OTX (Open Threat Exchange) 피드를 이용하여 IP 주소 평판 정보를 실시간 대조합니다.
torIP 주소TOR 프록시EXIT 라우터 IP 주소를 대조하여 TOR 프록시를 통해 접속하는 IP 주소를 실시간으로 탐지합니다.
mdl_domain도메인멀웨어 도메인리스트랜섬웨어 등 악성코드 도메인 피드를 대조하여 내부에서 C&C 도메인으로 접속하면 실시간 탐지합니다.
mdl_ipIP 주소악성코드 IP 주소 목록랜섬웨어 등 악성코드 IP 피드를 대조하여 내부에서 C&C IP 주소로 접속하면 실시간 탐지합니다.
abusech도메인Abuse.ch랜섬웨어가 접속하는 도메인을 실시간으로 탐지합니다.
malc0deMD5malc0demalc0de.com 악성코드 MD5 데이터베이스를 대조하여 악성 바이너리를 탐지합니다.

출력 필드

필드타입설명
feed_name문자열위협 인텔리전스 피드 식별자
feed_field문자열위협 정보가 발견된 필드 이름
feed_invert불리언invert 옵션 값