지표 카탈로그 사용

이 기사에서는 카토 탐지 및 대응 보안 레이어에 의해 식별된 잠재적으로 악의적인 활동에 대한 더 많은 정보를 얻기 위해 지표 카탈로그를 사용하는 방법을 다룹니다.

탐지 및 대응에 대한 더 많은 정보는 XDR 발생 사건에서 탐지 및 대응 (XDR) 사건 검토를 참조하세요.

지표 카탈로그 개요

지표 카탈로그에는 탐지 및 대응 보안 엔진에 의해 식별된 수백 개의 지표(공격 지시자)에 대한 설명과 참조 정보가 포함되어 있습니다. 지표는 공격을 수행할 의도를 나타낼 수 있는 일련의 행동입니다. 실제 보안 위반이 아직 식별되지 않았더라도. 예를 들어, C&C 특성을 보이는 트래픽을 생성하는 호스트는 악성 소프트웨어 공격을 나타낼 수 있습니다. 엔진이 트래픽 데이터를 분석하고 지표에 대한 일치를 식별하면, 이야기 및 위협 조사에 도움이 될 다른 데이터와 함께 XDR 발생 사건 페이지에 표시되는 보안 스토리를 생성합니다. 지표 카탈로그는 모든 지표에 대한 전체 설명을 제공합니다.

카탈로그를 쉽게 검색하고 필터링하여 지표를 찾고, 특정 공격 전술과 관련된 지표를 확인할 수 있습니다. 카탈로그를 사용하여 특정 지표가 탐지 및 대응 엔진에 의해 커버되는지 확인하고, 최신 지표를 표시하며, 지표와 관련된 사건 로그를 볼 수도 있습니다.

지표 유형 이해

지표 카탈로그는 다양한 탐지 및 대응 엔진에 의해 탐지된 여러 유형의 위협 지표에 대한 정보를 포함하고 있습니다. 다음은 다양한 엔진과 그들이 식별하는 지표 유형에 대한 간단한 설명입니다:

  • 위협 방지 - IPS 이벤트에서 특정 공격 행동 집합을 탐지합니다

  • 네트워크 XDR - 연결 품질 저하와 같은 네트워크 문제를 식별합니다

  • 위협 탐지 - 이벤트 및 더 풍부한 트래픽 데이터에서 확장된 공격 행동 집합을 식별합니다

  • 사용량 이상 현상 - 애플리케이션에서 비정상적인 사용을 나타내는 지표를 식별합니다. 예를 들어, 애플리케이션이 평소보다 더 많은 업스트림 대역폭을 사용하는 경우

  • 이벤트 이상 - 네트워크의 엔터티가 비정상적 수의 보안 이벤트를 트리거하는 지표를 탐지합니다

  • 경험 이상 - 애플리케이션 또는 네트워크 성능이 애플리케이션 자체에 미치는 중대한 변화를 감지합니다

지표 유형 및 라이센스

귀하의 탐지 및 대응 라이센스가 계정에 대해 활성화된 지표 유형을 결정합니다. 지표 카탈로그는 현재 라이센스와 해당 라이센스에서 사용 가능한 특정 지표를 보여줍니다. 라이센스에서 지표가 사용 불가능한 경우, 해당 지표를 기반으로 한 스토리는 생성되지 않으며 XDR 발생 사건에서 표시되지 않습니다. 다음은 각각의 라이센스 및 활성화된 지표 유형입니다:

라이센스

사용 가능한 지표 유형

XDR Core

  • 위협 방지

  • 네트워크 XDR

XDR Pro 및 MXDR

  • 위협 방지

  • 위협 탐지

  • 사용량 이상 현상

  • 이상 이벤트

  • 경험 이상

Cato MXDR 서비스에 대한 자세한 내용은 Cato 관리 서비스를 참조하십시오.

알려진 제약 사항

  • 최근 감지 및 대응 엔진에 추가된 지표는 카탈로그에 즉시 나타나지 않을 수 있습니다.

지표 카탈로그 시작하기

Indications_Catalog.png

지표 카탈로그 표시:

  • 네비게이션 메뉴에서 자원 > 지표 카탈로그를 클릭합니다.

지표 카탈로그에는 다음과 같은 열이 있습니다:

  • ID - 감지 및 대응 엔진에서 사용하는 지표의 식별자

  • 지표 - 지표 범주의 이름입니다. 하나의 범주에는 유사한 행동을 가진 여러 다른 지표가 포함될 수 있습니다

  • 지표의 의심스러운 작업과 행동에 대한 설명

  • 계정에서 사용 가능 - 감지 및 대응 라이선스 수준에 따라 계정에 대해 지표가 활성화되었는지 여부를 나타냅니다.

    지표 사용 가능성에 대한 추가 정보는 지표 유형 및 라이선스를 참조하십시오.

  • MITRE 참조 - 지표와 관련된 MITRE ATT&CK® 프레임워크 위협 기법을 보여줍니다. MITRE ATT&CK® 프레임워크에 대한 더 많은 정보는 MITRE ATT&CK® 대시보드 작업을 참조하십시오

    • 참조를 클릭하여 MITRE ATT&CK® 기술로 미리 필터링된 이벤트 페이지를 엽니다

  • 유형 - 지표를 감지하는 감지 및 대응 엔진을 보여줍니다

관련 지표를 찾기 위한 필터 구성

관련 지표를 쉽게 찾기 위해 다음 필터를 설정하십시오:

  • ID - 지표를 표시하기 위해 지표 ID를 선택하십시오

  • 상태 드롭다운 메뉴를 사용하여 카탈로그를 필터링하고 신규 지표만 표시할 수 있습니다.

    지표가 최근에 카탈로그에 추가되었고 신규라는 레이블이 표시되면 새 것으로 간주됩니다. 레이블은 특정 시간 프레임을 나타내지 않습니다

  • 지표 - 카탈로그를 필터링하여 해당 범주의 지표를 표시하도록 지표 범주를 선택하십시오

  • 관련 지표를 위해 설명 필드를 검색하십시오.

  • 계정에서 사용 가능 - 카탈로그를 필터링하여 계정에 대해 사용 가능 또는 사용 불가능한 지표만 표시합니다.

    지표 사용 가능성에 대한 추가 정보는 지표 유형 및 라이선스를 참조하십시오.

  • MITRE 기술 - MITRE ATT&CK® 프레임워크에서 정의한 공격 기술을 선택하여 해당 기술과 관련된 지표를 표시합니다

  • 유형 - 감지 및 대응 엔진을 선택하여 엔진이 감지하는 지표를 통합 카탈로그에 표시할 필터

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개