위협 인텔리전스 정의

  • 3분

CTI(사이버 위협 인텔리전스)는 여러 소스에서 올 수 있습니다. 원본에는 오픈 소스 데이터 피드, 위협 인텔리전스 공유 커뮤니티, 유료 인텔리전스 피드 및 조직 내 보안 조사가 포함됩니다. CTI는 위협 행위자의 동기, 인프라 및 기술에 대한 서면 보고서부터 IP 주소, 도메인 및 파일 해시의 특정 관찰에 이르기까지 다양합니다. CTI는 비정상적인 활동에 필수적인 컨텍스트를 제공하므로 보안 담당자는 신속하게 작업하여 사람과 자산을 보호할 수 있습니다.

Microsoft Sentinel과 같은 SIEM 솔루션에서 가장 많이 활용되는 CTI는 위협 지표 데이터이며, 이를 IoC(손상 지표)라고도 합니다. 위협 지표는 URL, 파일 해시, IP 주소 및 기타 데이터를 피싱, 봇넷 또는 맬웨어와 같은 알려진 위협 활동과 연결합니다. 이러한 형태의 위협 인텔리전스는 종종 전술 위협 인텔리전스라고 합니다. 보안 제품 및 자동화는 이를 대규모로 사용하여 잠재적 위협을 보호하고 탐지할 수 있기 때문입니다. Microsoft Sentinel은 악의적인 사이버 활동에 대한 CTI 컨텍스트를 검색, 대응 및 제공할 수 있습니다.

다음 작업을 통해 TI(위협 인텔리전스)를 Microsoft Sentinel에 통합할 수 있습니다.

  • 다양한 TI 플랫폼에 데이터 커넥터를 사용하여 위협 인텔리전스를 Microsoft Sentinel로 가져옵니다.

  • Microsoft Sentinel의 로그 및 새로운 위협 인텔리전스 영역에서 가져온 위협 인텔리전스를 보고 관리합니다.

  • 기본 제공 분석 규칙 템플릿을 사용하여 가져온 위협 인텔리전스를 사용하여 보안 경고 및 인시던트 생성

  • 위협 인텔리전스 통합 문서를 사용하여 Microsoft Sentinel에서 위협 인텔리전스에 대한 중요한 정보를 시각화합니다.

  • 가져온 위협 인텔리전스를 사용하여 위협 헌팅을 수행합니다.

Microsoft Sentinel에서 사용하는 위협 인텔리전스의 스크린샷.