MISP

다운로드 24
업데이트 2023. 8. 5.

사용 매뉴얼

실시간 시나리오 적용

아래와 같이 'IP 주소가 특정 평판 DB에 포함' 혹은 'IP 주소가 평판 DB에 포함' 룰을 선택하여 MISP에서 수신한 침해지표를 실시간으로 탐지하도록 설정할 수 있습니다.

배치 시나리오 적용

예를 들어 최근 10분 방화벽 로그의 출발지 IP(src_ip) 및 목적지 IP(dst_ip)에 대해 MISP 프로파일 local을 이용하여 IP 침해지표를 포함한 레코드만 검색하려면 아래와 같이 쿼리할 수 있습니다.

table duration=10m FW 
| matchfeed name="misp_ip_local" fields="src_ip, dst_ip"
Note
각 피드 이름은 `misp_유형_프로파일이름` 형식으로 생성됩니다. 예를 들어, `local` 접속 프로파일의 `domain` 피드 이름은 `misp_domain_local` 입니다.

MISP 피드 데이터 확인

아래의 쿼리를 이용하여 분석 서버에 동기화된 MISP 피드 데이터를 확인할 수 있습니다.

table sonar_ioc_misp_*

아래의 쿼리를 이용하여 MISP 플랫폼에서 각 클러스터 노드에 동기화된 피드 데이터를 확인할 수 있습니다.

node-feed name="misp_ip_local"