intelligence11 효과적인 보안 관리와 대응을 위한 정보 수집 및 자동화 전략: IoC, MITRE ATT&CK, Tabletop 훈련 Linux Malware Mallox 관련 정보를 자동으로 수집하고, 내부 IoC(Indicators of Compromise)를 추가적으로 확인하여 슬랙 채널에 스레드로 등록하는 시스템을 구성하려면, 다음과 같은 단계로 구성할 수 있습니다.1. 데이터 소스 선택Mallox 관련 정보를 수집할 수 있는 데이터 소스를 선택해야 합니다.Malware Information Sharing Platform (MISP): Mallox와 같은 악성코드 정보를 공유하는 플랫폼VirusTotal: 다양한 악성코드 샘플과 관련 IoC 정보를 제공하는 서비스Threat Intelligence 피드: 외부 Threat Intelligence 피드를 통해 Mallox와 관련된 새로운 IoC를 자동으로 수집 가능2. IoC 수집.. 2024. 12. 15. Linux EDR (Endpoint Detection and Response) 솔루션 주요기능과 활용 기법 EDR(Endpoint Detection and Response)을 활용하여 리눅스 환경에서의 방어 회피 공격 탐지 및 위협 분석을 효과적으로 수행하는 방법입니다. 이 과정에서는 EDR 솔루션의 핵심 기능과 리눅스 환경에서의 방어 회피 기법, 그리고 이를 탐지하기 위한 전략입니다.1. EDR의 핵심 기능EDR 솔루션은 다음과 같은 기능을 통해 리눅스 시스템의 보안을 강화합니다:실시간 모니터링: EDR은 실시간으로 시스템에서 발생하는 모든 활동을 모니터링하여 이상 징후를 탐지합니다.행동 기반 탐지: 서명 기반 탐지 외에도, 비정상적인 행동을 통해 잠재적 위협을 탐지합니다.위협 인텔리전스 통합: 최신 위협 정보를 바탕으로 새로운 공격 벡터를 탐지합니다.사고 대응 자동화: 탐지된 위협에 대해 자동화된 대응 절.. 2024. 12. 1. OTX Threat Intelligence API 정보 수집 및 IoC Hunting 자동화 OTX(Open Threat Exchange)는 AlienVault에서 운영하는 플랫폼으로, 여러 보안 위협 정보를 제공합니다. OTX Threat Intelligence(OTX TI) 정보를 API로 수집하는 방법입니다.OTX API 사용하기API Key 발급OTX API를 사용하려면 먼저 API 키를 발급받아야 합니다. OTX 웹사이트에서 회원가입 후 API 키를 생성할 수 있습니다.API 호출OTX는 RESTful API를 제공하며, 다양한 엔드포인트를 통해 정보를 조회할 수 있습니다. 예를 들어, 특정 Indicators of Compromise(IoC)에 대한 정보를 조회하거나, 특정 그룹의 트랜드를 확인할 수 있습니다.인증과 요청API 요청 시 HTTP 요청을 보내고, 이를 인증하기 위해 발급.. 2024. 10. 25. 외부 IP주소 평판검사 정보조회 수집 및 불량/악성 대응 활용 (TI 연계) IP 평판 정보를 Redis와 같은 NoSQL 데이터베이스에 저장하여 TTL(대략 1주일) 동안 유지하면서, 이를 활용하는 방법입니다. 이를 통해 악의적인 IP 주소를 식별하고 차단하거나 보안 이벤트를 모니터링하는 데 활용할 수 있습니다.주요 API 소개 및 활용1. AbuseIPDB기능: IP 평판 점수, 악용 기록, 신고 기능활용 사례: 신고된 악성 IP 주소를 확인하고 블랙리스트에 추가2. IPQualityScore기능: IP 평판 점수, 프록시/VPN 탐지, 피싱/스팸 탐지활용 사례: 의심스러운 IP를 탐지하고 사용자 세션을 모니터링3. VirusTotal기능: 멀웨어, 피싱 URL 검사, IP 평판 정보활용 사례: 멀웨어와 피싱 URL을 사전에 탐지하고 차단4. Talos Intelligence.. 2024. 9. 14. SOC 구축: TheHive, Cortex 및 MISP 설치 TheHive와 Cortex를 연동하여 SOC(Security Operations Center) 운영을 계획하신다면, 기본적으로 Elasticsearch를 포함한 몇 가지 주요 구성 요소가 필요합니다. TheHive와 Cortex는 특히 사건(response)을 관리하고, 위협을 분석하며, 자동화된 대응을 지원하기 위해 설계된 도구들입니다. Elasticsearch는 이러한 도구들이 데이터를 저장하고 검색하는 데 필수적인 역할을 합니다. 다음은 TheHive와 Cortex 연동 및 SOC 운영을 위한 기본적인 구성 요소들입니다.Elasticsearch: TheHive와 Cortex 모두 Elasticsearch를 데이터 저장소로 사용합니다. 이는 빠른 검색과 데이터 분석을 위해 필수적입니다.설치 및 설정.. 2024. 7. 27. 이전 1 2 3 다음 728x90
