maestro-ioc-poll-domain
마에스트로 플레이북의 침해 지표 큐에서 도메인 IOC를 꺼내 레코드로 반환합니다. 플레이북 실행 컨텍스트에서 분석 대상 도메인 지표를 획득할 때 사용합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 사용자 권한 |
| 라이선스 사용량 | 라이선스 집계와 무관한 명령어 |
| 병렬 실행 | 지원하지 않음 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
maestro-ioc-poll-domain [limit=INT]
옵션
limit=INT- 한 번에 가져올 침해 지표 건수입니다. 기본값은
1입니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
domain | 문자열 | 큐에서 꺼낸 도메인 IOC 값 |
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
user-not-found | user-not-found | 쿼리 세션의 로그인 사용자를 찾을 수 없는 경우 발생합니다. |
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| (없음) | company guid not found | 세션에서 회사 GUID를 확인할 수 없는 경우 발생합니다. | 쿼리 중단 |
| (없음) | no more domain indicator for playbook {playbookGuid} | 지정한 플레이북에 대기 중인 도메인 IOC가 없는 경우 발생합니다. | 쿼리 중단 |
설명
마에스트로 플레이북 실행 중 침해 지표 큐(IndicatorQueueService)에서 도메인 유형의 지표를 꺼냅니다. 큐에서 꺼낸 지표는 domain 필드로 반환됩니다. limit 옵션으로 한 번에 꺼낼 건수를 지정할 수 있으나, 현재 구현에서는 1건씩 반환합니다.
플레이북 GUID는 실행 컨텍스트(playbook_guid 상수)에서 자동으로 조회합니다. 큐에 대기 중인 지표가 없으면 런타임 오류가 발생하여 쿼리가 중단됩니다.
사용 예
-
플레이북에서 도메인 IOC 1건 가져오기
maestro-ioc-poll-domain침해 지표 큐에서 도메인 IOC 1건을 꺼내
domain필드로 반환합니다. -
도메인 IOC를 가져온 후 위협 인텔리전스 피드와 대조하기
maestro-ioc-poll-domain | eval matched = matchfeed("threat_intel", domain) | search matched == true큐에서 꺼낸 도메인 IOC를 위협 인텔리전스 피드와 대조하여 악성 여부를 확인합니다.
-
도메인 IOC를 가져와 평판을 업데이트하기
maestro-ioc-poll-domain | maestro-ioc-update-domain resource=$(domain) reputation=MALICIOUS risk=HIGH큐에서 꺼낸 도메인 IOC의 평판을 악성으로 업데이트합니다.
호환성
maestro-ioc-poll-domain 명령어는 소나 4.0 이전 버전부터 제공되었습니다.