위협 인텔리전스
개요
로그프레소는 로그프레소 CTI(Cyber Threat Intelligence) 서비스를 통해 최신/알려진 위협에 효과적으로 대응할 수 있도록 지원합니다. 이 서비스들은 다양한 최신 위협 정보를 수집, 분석, 공유하여 조직이 사이버 위협을 신속하게 식별하고 대응할 수 있도록 합니다.
로그프레소 CTI
로그프레소 소나를 설치하면 로그프레소 CTI 피드 목록을 제공합니다.
| 이름 | STR_FEED* | 유형 | 설명 |
|---|---|---|---|
| 로그프레소 CTI IP | logpresso_cti_ip | IP | 사이버 공격과 관련된 악성 IP 주소 정보 |
| 로그프레소 CTI 도메인 | logpresso_cti_domain | DOMAIN | 악성코드 유포지, C&C 서버 등의 악성 도메인 주소 정보 |
| 로그프레소 CTI URL | logpresso_cti_url | URL | 로그프레소 CTI URL 침해 지표 정보 |
| 로그프레소 CTI MD5 | logpresso_cti_md5 | MD5 | 로그프레소 CTI MD5 해시 침해 지표 피드 |
| 로그프레소 CTI SHA1 | logpresso_cti_sha1 | SHA1 | 로그프레소 CTI SHA1 해시 침해 지표 피드 |
| 로그프레소 CTI SHA256 | logpresso_cti_sha256 | SHA256 | 로그프레소 CTI SHA256 해시 침해 지표 피드 |
* STR_FEED는 matchfeed 명령어 설명서에서 name=STR_FEED 옵션 설명을 참고하세요.
로그프레소 CTI를 이용하려면,
- 로그프레소 CTI 피드는 구독 계약이 필요합니다. 유료 구독은 실시간 피드를, 무료 구독은 90일 지연된 피드를 제공합니다.
- 로그프레소 소나가 로그프레소 CTI 서비스(https://cti.logpresso.com)에 연결할 수 있도록 네트워크 보안 정책을 구성하세요. 앱이 제공하는 CTI 또한 서비스 제공자의 서비스 주소로 연결이 필요합니다.
- 로그프레소 플랫폼에서 로그프레소 CTI 서비스를 이용하려면 로그프레소 CTI 서버에 대한 접속 프로파일을 설정해야 합니다. 접속 프로파일 설정 방법은 접속 프로파일을 참고하세요.
앱이 제공하는 CTI
로그프레소 스토어에서 제공하는 S2W Quaxar와 같은 앱은 위협 인텔리전스를 제공합니다. 앱을 설치하면 위협 인텔리전스 목록에서 위협 인텔리전스 CTI 피드를 제공받을 수 있습니다. 이 경우, 해당 CTI 서비스 사업자에게 서비스 이용에 대해 문의 후 이용하세요.
위협 인텔리전스 피드 조회/검색
정책 > 위협 인텔리전스에서 최신 위협 정보 종류를 조회하거나 검색할 수 있습니다.
- 활성화: 위협 인텔리전스 활성화 토글 버튼(
: 활성화됨, 
: 비활성화됨) - 유형: 위협 인텔리전스가 제공하는 정보 유형
- IP: 악성 IP 주소. 주로 공격자의 출발지 또는 명령 제어 서버를 식별하는 데 사용됩니다.
- DOMAIN: 악성 도메인 주소. 피싱 사이트나 악성 코드 배포 사이트를 식별하는 데 사용됩니다.
- MD5, SHA1, SHA256: 정상/악성 파일의 해시값. 파일 무결성 확인과 악성 파일 식별에 사용됩니다.
- URL: 악성 웹 URL 유형의 위협 정보. 악성 코드 배포나 피싱 시도에 쓰이는 악성 웹사이트 링크를 차단하는 데 사용됩니다.
- EMAIL: 침해된 이메일 주소 정보
- 이름: CTI 피드의 이름
- 설명: CTI 피드에 대한 설명
- 최근 업데이트: 위협 인텔리전스 최근 업데이트 일시
위협 인텔리전스 목록에서 특정한 위협 인텔리전스를 찾으려면 도구 모음에서 검색 도구를 사용하세요. 검색 도구는 입력한 단어가 이름에 포함된 위협 인텔리전스 피드를 찾아서 보여줍니다. 검색 도구는 대소문자를 구분하지 않습니다.
목록 다운로드
위협 인텔리전스 목록을 로컬 PC에 파일로 다운로드하려면 도구 모음에서 다운로드를 클릭하여 원하는 파일 형태로 다운로드하세요.
목록 새로 고침
위협 인텔리전스의 목록을 최신 정보로 조회하려면 도구 모음에서 새로 고침을 클릭하세요.
위협 인텔리전스 활용
위협 인텔리전스를 활용하는 기능은 다음과 같습니다.
시나리오 빌더
정책 > 실시간 탐지에서 탐지 시나리오를 추가/수정할 때 시나리오 빌더를 이용해 위협 인텔리전스를 활용할 수 있습니다.
다음은 시나리오 빌더에서 입력 필드의 유형별로 사용할 수 있는 위협 인텔리전스 피드 관련 내용을 요약한 것입니다. 자세한 내용은 필드 유형별 룰 및 매개변수를 참고하세요.
IP
| 룰 | 매개변수 | 입력 범위 | 설명 |
|---|---|---|---|
| IP 주소가 특정 평판 DB에 포함 | 평판 DB | CTI 피드 선택 | 지정한 평판 DB에 포함된 필드 값을 필터링 |
| IP 주소가 평판 DB에 포함 | - | - | 모든 위협 인텔리전스에 한 번이라도 포함된 필드 값을 필터링 |
MD5/SHA1/SHA256
| 룰 | 매개변수 | 입력 범위 | 설명 |
|---|---|---|---|
| 대상 해시값과 일치 | 해시 | 최대 255자 | 해시 값이 일치하는 필드 값을 필터링 |
| 평판 DB에 포함 | - | - | 모든 위협 인텔리전스에 한 번이라도 포함된 필드 값을 필터링 |
| 특정 평판 DB에 포함 | 평판DB | CTI 피드 선택 | 지정한 평판 DB에 포함된 필드 값을 필터링 |
URL
| 룰 | 매개변수 | 입력 범위 | 설명 |
|---|---|---|---|
| URL이 평판 DB에 포함 | - | - | 평판 DB에 포함된 필드 값을 필터링 |
| URL이 특정 평판 DB에 포함 | 평판DB | CTI 피드 선택 | 특정 평판 DB에 포함되어 필드 값을 필터링 |
DOMAIN
| 룰 | 매개변수 | 입력 범위 | 설명 |
|---|---|---|---|
| DOMAIN이 평판 DB에 포함 | - | - | 평판 DB에 포함된 필드 값을 필터링 |
| DOMAIN이 특정 평판 DB에 포함 | 평판DB | CTI 피드 선택 | 특정 평판 DB에 포함되어 필드 값을 필터링 |
쿼리
정책 > 실시간 탐지 또는 정책 > 배치 탐지에서 탐지 시나리오를 추가하거나 수정할 때 matchfeed 명령이나 matchfeed() 함수를 이용해 위협 인텔리전스를 활용할 수 있습니다. 그 외에 쿼리문을 입력할 수 있는 기능이면 어디서든 위협 인텔리전스를 이용할 수 있다는 것도 기억하세요.