시그니처

개요

시그니처는 탐지 규칙이 식별한 위협 패턴에 이름과 공격 분류를 부여하는 메타데이터입니다. 실시간 탐지배치 탐지 시나리오에 시그니처 앱을 연결하면, 탐지된 이벤트의 signature 필드 값을 기준으로 등록된 시그니처를 자동으로 조회하여 CAPEC(Common Attack Pattern Enumeration and Classification) ID를 이벤트에 부착합니다. 이렇게 매핑된 CAPEC 정보는 이벤트의 위험도 점수 계산에 활용됩니다. CAPEC에는 공격 패턴의 심각도가 정의되어 있으므로, 시그니처에 CAPEC이 매핑되어 있으면 자산 가치, 공격 영향도, 공격 가능성을 종합한 위험도 점수가 더 정확하게 산출되고, 이를 기준으로 대응 우선순위를 판단하거나 자동으로 티켓을 생성할 수 있습니다.

일반적으로 시그니처는 앱에서 탐지 규칙과 함께 내장 시그니처로 제공됩니다. 예를 들어 Suricata 앱은 해당 IDS 규칙의 시그니처 이름과 CAPEC 매핑을 내장하고 있으므로, 앱을 설치하면 별도의 등록 없이 시그니처가 자동으로 추가됩니다. 앱에서 제공하는 내장 시그니처는 수정할 수 없으며, 조회만 가능합니다.

커스텀 탐지 규칙에 고유한 시그니처를 사용하려면 이 페이지에서 직접 시그니처를 등록하세요. CSV 파일을 업로드하여 일괄 등록할 수도 있습니다.

시그니처 목록에서 CAPEC 태그를 클릭하면 CAPEC 상세 페이지로 이동하여 공격 패턴의 실행 흐름, 사전 조건, 대응책 등을 확인할 수 있습니다.

Note
관리자만 시그니처를 추가, 수정, 삭제할 수 있습니다. 관리자를 포함한 모든 사용자는 시그니처 목록을 조회할 수 있습니다.

시그니처 목록 조회/검색

정책 > 시그니처에서 시그니처 목록을 조회하거나 검색할 수 있습니다.

시그니처 목록

시그니처 목록에는 다음 정보가 표시됩니다.

  • : 시그니처가 속한 앱 아이콘
  • 시그니처: 시그니처 이름
  • 설명: 시그니처에 대한 설명
  • CAPEC ID: 시그니처에 매핑된 CAPEC ID 목록. 각 태그를 클릭하면 해당 CAPEC 상세 페이지로 이동합니다.
  • 탐지 추이: 최근 탐지 건수를 막대 차트로 표시합니다. 최댓값을 가진 막대는 빨간색으로 강조됩니다. 막대 위에 커서를 올리면 해당 시점의 시간과 탐지 건수를 확인할 수 있습니다.
  • 수정일: 시그니처가 마지막으로 수정된 날짜 및 시간 (yyyy-MM-dd HH:mm 형식)

도구 모음의 드롭다운에서 특정 앱을 선택하면 해당 앱에 속한 시그니처만 필터링하여 표시합니다.

시그니처 목록에서 특정 시그니처를 찾으려면 도구 모음에 있는 검색 도구를 사용하세요. 검색 도구는 입력한 키워드가 포함된 시그니처를 찾아서 보여줍니다.

목록 새로 고침

시그니처 목록을 최신 정보로 조회하려면 도구 모음에서 새로 고침을 클릭하세요.

시그니처 다운로드

시그니처 목록을 파일로 다운로드하려면 도구 모음에서 다운로드를 클릭하세요. 다운로드 대화 상자에서 파일 형식과 포함할 필드를 선택한 후 다운로드를 클릭하면 시그니처 목록이 파일로 저장됩니다.

시그니처 추가

시그니처를 추가하려면,

  1. 정책 > 시그니처에서 도구 모음에 있는 추가를 클릭하세요.

  2. 화면 오른쪽에 시그니처 추가 패널이 열립니다. 다음 항목을 설정하세요.

    시그니처 추가

    • : 시그니처가 속할 앱을 선택합니다.
    • 시그니처: 시그니처 이름을 입력합니다 (필수, 최대 500자). 공백만으로 이루어진 이름은 사용할 수 없으며, 다른 시그니처와 중복될 수 없습니다.
    • 설명: 시그니처에 대한 설명을 입력합니다 (최대 2,000자).
    • CAPEC ID: 시그니처에 매핑할 CAPEC ID를 검색하여 선택합니다. 여러 개의 CAPEC ID를 추가할 수 있습니다. 추가된 CAPEC ID는 태그 형태로 표시되며, 태그의 삭제 버튼을 클릭하여 매핑을 해제할 수 있습니다.

  3. 저장을 클릭하세요.

시그니처 수정

시그니처를 수정하려면,

  1. 정책 > 시그니처에서 수정할 시그니처의 행을 클릭하세요.
  2. 화면 오른쪽에 시그니처 수정 패널이 열립니다. 원하는 항목을 수정하세요. 입력 항목은 시그니처 추가와 동일합니다.
  3. 저장을 클릭하세요.
Note
앱에서 제공하는 내장 시그니처는 수정할 수 없습니다. 내장 시그니처의 상세 패널에서는 모든 입력 필드가 비활성화됩니다.

시그니처 삭제

시그니처를 삭제하려면,

  1. 정책 > 시그니처에서 삭제할 시그니처 행의 체크박스를 선택하세요. 여러 개를 선택하여 일괄 삭제할 수 있습니다.

  2. 도구 모음에서 삭제를 클릭하세요.

  3. 삭제 확인 대화 상자에서 삭제 대상 시그니처의 이름과 설명을 확인한 후 삭제를 클릭하세요.

    시그니처 삭제 확인

시그니처 업로드

CSV 파일을 업로드하여 시그니처를 일괄 등록할 수 있습니다. 업로드 시 기존에 등록된 시그니처와 동일한 이름이 있으면 해당 시그니처가 수정됩니다.

시그니처를 업로드하려면,

  1. 정책 > 시그니처에서 도구 모음에 있는 업로드를 클릭하세요.

  2. 시그니처 업로드 대화 상자가 열립니다. 다음 항목을 설정하세요.

    시그니처 업로드

    • : 시그니처가 속할 앱을 선택합니다.
    • 파일 선택: 업로드할 CSV 파일을 선택합니다 (필수). CSV 파일만 업로드할 수 있으며, 파일 인코딩은 UTF-8이어야 합니다. 대화 상자의 안내 링크를 클릭하면 샘플 템플릿 파일을 다운로드할 수 있습니다. 각 시그니처 이름은 최대 500자까지 입력할 수 있습니다.

  3. 업로드를 클릭하세요.

  4. 업로드가 완료되면 결과가 표시됩니다. 추가, 수정, 실패 건수를 확인한 후 확인을 클릭하세요.