사용자 정의 IoC 목록을 컨테이너와 통합하기

이 기사에서는 컨테이너 객체를 사용하여 사용자 정의 IoC 목록을 Cato 보안 서비스와 통합하는 방법을 논의합니다.

개요

조직의 산업 또는 위치에 대한 특정 요구 사항을 충족하기 위해 Cato 계정의 위협 인텔리전스에 사용자 정의 IoC 목록을 추가할 수 있습니다. IoC 목록은 사용자 정의 카테고리인 컨테이너를 사용하여 구성되며, IP 주소 또는 정규화된 도메인 이름(FQDN)과 같은 항목 그룹을 관리하는 데 도움을 줍니다. 예를 들어, 귀하의 조직의 보안 운영 센터(SOC)에서 식별하거나 제3자 위협 정보 제공업체가 제공한 악성 IP 주소 목록이 포함된 컨테이너를 생성하십시오.

컨테이너 관리 애플리케이션에서 또는 자동화된 API 프로세스를 통해 IoC 목록과 함께 컨테이너를 직접 구성하고, 인터넷 방화벽 규칙에 컨테이너를 포함시킬 수 있습니다. 컨테이너에 대한 API 정보를 더 보려면 Cato Networks GraphQL API Reference를 참조하세요.

컨테이너에는 다양한 유형이 있으며, 각 유형은 단일 데이터 유형만 포함할 수 있습니다. 다음은 컨테이너 유형입니다:

  • IP - 단일 IP 주소, 서브넷 마스크(dot-decimal 또는 CIDR 표기법), 및 IP 범위를 포함할 수 있습니다.
  • FQDN - 정규화된 도메인 이름, 예시: www.shop.example.com

다음은 컨테이너를 사용하여 사용자 정의 IoC를 통합하는 워크플로 예시입니다:

  1. IoC로 식별된 IP를 포함하여 컨테이너를 구성합니다.
  2. 인터넷 방화벽 규칙을 앱/카테고리 필드에 구성된 컨테이너로 생성하고, 규칙을 차단 작업으로 설정합니다.
  3. IoC 목록을 컨테이너에 업로드하여 컨테이너를 업데이트하십시오. 컨테이너를 업데이트하면 방화벽 규칙이 자동으로 새로운 IoC를 적용합니다.

컨테이너 작업

카테고리 페이지에서 컨테이너를 생성할 수 있습니다.

  • URL에서 파일 동기화
  • 컨테이너에 대한 데이터가 포함된 소스 파일 업로드
  • 항목을 수동으로 추가

컨테이너를 생성한 후에는 컨테이너 탭의 테이블에 나타납니다. 테이블에서 컨테이너를 수동으로 편집하거나 새로운 소스 파일을 업로드하여 컨테이너의 값을 업데이트할 수 있습니다.

URL에서 IoC 동기화

Ioc.png

IoC는 URL에서 직접 업로드할 수 있으며, 이를 통해 외부 위협 피드나 자주 업데이트되는 인디케이터 목록을 자동으로 수집할 수 있습니다. 이는 정기적인 자동업데이트로 빠른 위협 대응 시간을 가능하게 하고, 인적 오류를 줄여 정확성을 보장합니다. IoC가 시간별 또는 일일 간격으로 동기화되는 빈도를 구성할 수 있습니다.

동기화가 실패하면 15분 내에 3번 자동으로 재시도되며, 그 이후 알림이 전송됩니다. 그 후, 다음 1시간 동안 최대 7번 추가로 동기화를 시도합니다. 컨테이너 테이블의 멤버 열에 표시된 인디케이터를 사용하여 현재 동기화 상태를 볼 수 있습니다.

Sync_sucessful.png

컨테이너 테이블에서 URL에서 수동으로 동기화를 트리거하려면 관련 컨테이너 옆에 있는 세 개의 점을 선택하고 지금 동기화를 클릭하십시오.

파일에서 IoC 업로드

Container_-_새.png

IoC는 파일에서 업로드할 수 있으며, 이를 통해 대량으로 IoC의 컨테이너를 생성할 수 있습니다. 컨테이너는 정규화된 도메인 이름(FQDN) 또는 IP 유형일 수 있습니다. IP 컨테이너는 단일 IP 주소, 서브넷 마스크(점-십진법 또는 CIDR 표기법) 또는 IP 범위 목록을 포함할 수 있습니다.

컨테이너 소스 파일에 대한 요구 사항

  • 컨테이너의 소스 파일은 다음 형식 중 하나여야 합니다:

    • 다음 구분자 중 하나로 값이 구분된 TXT 파일:

      • 쉼표
      • 공백
      • 줄 바꿈
    • CSV 파일은 헤더 없이 열 A에 값이 나열되어야 합니다.
    • STIX 형식 JSON 파일
  • 소스 파일은 최소 1개 값과 최대 100만 개 값을 포함해야 합니다.
  • FQDN 컨테이너의 경우 알파벳 또는 숫자 문자만 지원되며 특수 문자는 지원되지 않습니다.

컨테이너 만들기

파일, URL 또는 수동으로 IoC가 포함된 컨테이너를 생성하십시오.

컨테이너 만들기:

  1. 내비게이션 패널에서 자원 > 카테고리를 선택하고 컨테이너 탭을 확장합니다.
  2. 새로운을 클릭합니다. 새 컨테이너 패널이 열립니다.
  3. 컨테이너의 표시 이름을 입력하십시오.
  4. 컨테이너 유형을 선택하십시오. 가능한 값: FQDN, IP.
  5. 컨테이너에 대한 설명을 입력하십시오.
  6. 소스를 다음 중 하나로 선택하십시오.

    • 파일 업로드

      • 파일 유형(CSV 또는 STIX)을 선택하고 파일 업로더에 드래그 앤 드롭하거나 찾아보기를 클릭하여 파일을 추가하십시오
        참고: TXT 파일을 업로드하려면 CSV 옵션을 선택하십시오. 
    • URL에서 파일 동기화

      • 파일 유형(CSV 또는 STIX)을 선택하고 URL을 추가하며 파일이 동기화될 간격을 선택하십시오.

        참고: 컨테이너를 저장하기 전에 테스트 컨테이너를 클릭하십시오.

    • 항목을 수동으로 추가
  7. 추적 옵션을 선택하십시오. 자세한 정보를 보려면 알림을 참조하십시오.
  8. 저장을 클릭합니다. 컨테이너가 생성되어 컨테이너 테이블에 표시됩니다.

컨테이너 업데이트

새로운 소스 파일을 업로드하거나 수동으로 업데이트하여 컨테이너의 값을 업데이트합니다. 새로운 소스 파일을 업로드하면 기존 파일이 대체되며, 새로운 소스 파일의 값만 컨테이너에 포함됩니다.

컨테이너 업데이트:

  1. 내비게이션 패널에서 자원 > 카테고리를 선택하고 컨테이너 탭을 확장합니다.
  2. 컨테이너의 행에서 edit_rule.png을 클릭합니다. 컨테이너 편집 패널이 열립니다.
  3. 소스 아래서 드래그 앤 드롭하거나 찾아보기를 통해 파일을 업로드하여 컨테이너에 포함할 값을 추가하거나 수동으로 변경하십시오.
  4. 저장을 클릭합니다. 컨테이너가 업데이트되고 새로운 소스 파일의 값을 포함합니다.

인터넷 방화벽 규칙에서 컨테이너 사용

인터넷 방화벽 규칙의 앱/카테고리 필드에 컨테이너를 구성하십시오. 컨테이너 유형을 선택한 다음 규칙에 포함할 특정 컨테이너를 선택하십시오. 하나의 규칙에 같은 유형의 여러 컨테이너를 구성할 수 있습니다.

Container_-_FW_Rule.png

인터넷 방화벽 규칙에서 컨테이너를 구성하려면:

  1. 내비게이션 메뉴에서 보안 > 인터넷 방화벽을 선택하십시오.

    인터넷 방화벽 페이지가 기존의 게시되지 않은 개정판 또는 최신 게시판 개정판으로 열립니다.

  2. 새로운을 클릭합니다.
  3. 앱/카테고리에서 FQDN 컨테이너 또는 IP 컨테이너 중 하나를 선택하십시오.
  4. 드롭다운 메뉴에서 하나 이상의 컨테이너를 선택하십시오.
  5. 규칙의 다른 필드를 구성하고 규칙을 저장하십시오. 인터넷 방화벽 규칙 구성에 대한 자세한 내용은 인터넷 방화벽 정책 관리를 참조하십시오.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개