금융보안원 NGFCTI

구독
다운로드 78
업데이트 2023. 8. 5.

사용 매뉴얼

침해 지표 조회

ngfcti 쿼리 확장 명령어를 통해 특정 기간 동안 게시된 금융보안원 FCTI 침해 지표를 조회할 수 있습니다.

ngfcti-ip-addresses

침해 지표 탐지

수집한 데이터에 존재하는 IP주소, 도메인, URL, 파일 해시값을 통해 해당 항목에 대한 침해 지표가 존재하는 지 확인할 수 있습니다. 이 작업을 하기 위해서는 '정책' > '위협 인텔리전스' 메뉴에서 FCTI 피드를 활성화해야 합니다.

matchfeed 쿼리 커맨드로 침해 지표 탐지

matchfeed 쿼리 커맨드에서 ngfcti 피드를 선택하여, 주어진 IP주소/URL/도메인/파일해시값에 해당하는 침해 지표가 존재하는 지 확인할 수 있습니다.

matchfeed 쿼리 커맨드의 name 옵션에 원하는 FCTI 피드 이름을 입력하고 fields 필드에 검색할 IP주소/URL/도메인/파일해시값 필드 이름을 입력합니다.

  • ngfcti_ip
  • ngfcti_domain
  • ngfcti_url
  • ngfcti_md5
  • ngfcti_sha256

수집한 데이터에 대해 matchfeed 커맨드로 해당 데이터에 대한 침해 지표가 존재하는 지 확인할 수 있습니다.

기존 탐지 시나리오에서 IP주소가 평판DB에 포함되는 규칙을 사용하거나 matchfeed type=ip 쿼리 커맨드를 사용하는 경우 별도 설정 없이 FCTI 피드가 반영됩니다.

  • 실시간 탐지 시나리오 예시
  • 배치 탐지 시나리오 예시