사용자 정의 IoC 목록을 컨테이너와 통합하기

이 기사에서는 컨테이너 객체를 사용하여 사용자 정의 IoC 목록을 Cato 보안 서비스와 통합하는 방법을 논의합니다．

개요

조직의 산업 또는 위치에 대한 특정 요구 사항을 충족하기 위해 Cato 계정의 위협 인텔리전스에 사용자 정의 IoC 목록을 추가할 수 있습니다． IoC 목록은 사용자 정의 카테고리인 컨테이너를 사용하여 구성되며, IP 주소 또는 정규화된 도메인 이름(FQDN)과 같은 항목 그룹을 관리하는 데 도움을 줍니다． 예를 들어, 귀하의 조직의 보안 운영 센터(SOC)에서 식별하거나 제3자 위협 정보 제공업체가 제공한 악성 IP 주소 목록이 포함된 컨테이너를 생성하십시오．

컨테이너 관리 애플리케이션에서 또는 자동화된 API 프로세스를 통해 IoC 목록과 함께 컨테이너를 직접 구성하고, 인터넷 방화벽 규칙에 컨테이너를 포함시킬 수 있습니다． 컨테이너에 대한 API에 대한 자세한 내용을 보려면 Cato Networks GraphQL API 참조를 참조하십시오．

컨테이너에는 다양한 유형이 있으며, 각 유형은 단일 데이터 유형만 포함할 수 있습니다． 다음은 컨테이너 유형입니다：

IP - 단일 IP 주소, 서브넷 마스크(점-십진법 또는 CIDR 표기법) 및 IP 범위를 포함할 수 있습니다
정규화된 도메인 이름(FQDN) - 예: www.shop.example.com

다음은 컨테이너를 사용하여 사용자 정의 IoC를 통합하는 워크플로 예시입니다：

IoC로 식별된 IP를 포함하는 컨테이너를 구성하십시오．
앱/카테고리 필드에 구성된 컨테이너로 인터넷 방화벽 규칙을 생성하고 차단 동작으로 규칙을 설정하십시오．
컨테이너에 새로운 IoC 목록을 업로드하여 컨테이너를 업데이트하십시오． 컨테이너를 업데이트하면 방화벽 규칙이 자동으로 새로운 IoC를 적용합니다．

컨테이너 작업

카테고리 페이지에서 컨테이너를 생성할 수 있습니다.

URL에서 파일 동기화
컨테이너의 데이터를 포함한 소스 파일 업로드
항목 수동 추가

컨테이너를 생성한 후에는 컨테이너 탭의 테이블에 나타납니다． 테이블에서 컨테이너를 수동으로 편집하거나 새로운 소스 파일을 업로드하여 컨테이너의 값을 업데이트할 수 있습니다.

URL에서 IoC 동기화

IoC는 URL에서 직접 업로드할 수 있으며, 이를 통해 외부 위협 피드나 자주 업데이트되는 인디케이터 목록을 자동으로 수집할 수 있습니다. 이는 정기적인 자동업데이트로 빠른 위협 대응 시간을 가능하게 하고, 인적 오류를 줄여 정확성을 보장합니다. IoC가 시간별 또는 일일 간격으로 동기화되는 빈도를 구성할 수 있습니다.

동기화가 실패하면 15분 내에 3번 자동으로 재시도되며, 그 이후 알림이 전송됩니다. 그 후, 다음 1시간 동안 최대 7번 추가로 동기화를 시도합니다. 컨테이너 테이블의 멤버 열에 표시된 인디케이터를 사용하여 현재 동기화 상태를 볼 수 있습니다.

컨테이너 테이블에서 URL에서 수동으로 동기화를 트리거하려면 관련 컨테이너 옆에 있는 세 개의 점을 선택하고 지금 동기화를 클릭하십시오.

파일에서 IoC 업로드

IoC는 파일에서 업로드할 수 있으며, 이를 통해 대량으로 IoC의 컨테이너를 생성할 수 있습니다. 컨테이너는 정규화된 도메인 이름(FQDN) 또는 IP 유형일 수 있습니다． IP 컨테이너는 단일 IP 주소, 서브넷 마스크(점-십진법 또는 CIDR 표기법) 또는 IP 범위 목록을 포함할 수 있습니다．

컨테이너 소스 파일에 대한 요구 사항

컨테이너의 소스 파일은 다음 형식 중 하나여야 합니다：
- 다음 구분자 중 하나로 값이 구분된 TXT 파일：
  - 쉼표
  - 공백
  - 줄 바꿈
- 열 머리글 없는 열 A에 나열된 값이 있는 CSV 파일
- STIX 형식 JSON 파일
소스 파일은 최소 1개의 값과 최대 100만 개의 값을 포함해야 합니다．
정규화된 도메인 이름(FQDN) 컨테이너의 경우, 알파벳 또는 숫자 문자만 지원되며 특수 문자는 지원되지 않습니다

컨테이너 생성

파일, URL 또는 수동으로 IoC가 포함된 컨테이너를 생성하십시오.

컨테이너를 생성하려면：

네비게이션 패널에서 자원 > 카테고리을 선택하고 컨테이너 탭을 확장하십시오.
신규를 클릭하십시오. 새 컨테이너 패널이 열립니다.
컨테이너의 표시 이름을 입력하십시오.
컨테이너 유형을 선택하십시오． 가능한 값: 정규화된 도메인 이름(FQDN), IP．
컨테이너에 대한 설명을 입력하십시오．
소스를 다음 중 하나로 선택하십시오.
- 파일 업로드
  - 파일 유형(CSV 또는 STIX)을 선택하고 파일 업로더에 파일을 끌어다 놓거나 찾아보기를 클릭하여 파일을 추가하십시오.
- URL에서 파일 동기화
  - 파일 유형(CSV 또는 STIX)을 선택하고 URL을 추가하며 파일이 동기화될 간격을 선택하십시오.
    
    참고: 컨테이너를 저장하기 전에 테스트 컨테이너를 클릭하십시오.
- 항목 수동 추가
추적 옵션 선택. 더 많은 정보는 알림을 참조하십시오.
저장을 클릭하십시오． 컨테이너가 생성되고 컨테이너 테이블에 표시됩니다.

컨테이너 업데이트

새로운 소스 파일을 업로드하거나 수동으로 업데이트하여 컨테이너의 값을 업데이트합니다. 새로운 소스 파일을 업로드하면 기존 파일이 대체되며, 새로운 소스 파일의 값만 컨테이너에 포함됩니다．

컨테이너를 업데이트하려면：

내비게이션 패널에서 자원 > 카테고리를 선택하고 컨테이너 탭을 확장하십시오．
컨테이너의 행에서 을 클릭하십시오. 컨테이너 편집 패널이 열립니다．
Source에서 컨테이너에 포함할 값을 가진 파일을 업로드하거나 수동으로 변경하려면 파일을 끌어다 놓거나 탐색하십시오.
저장을 클릭하십시오． 컨테이너가 업데이트되었으며, 새로운 소스 파일의 값을 포함합니다．

인터넷 방화벽 규칙에서 컨테이너 사용

인터넷 방화벽 규칙의 앱/카테고리 필드에 컨테이너를 구성하십시오． 컨테이너 유형을 선택한 다음 규칙에 포함할 특정 컨테이너를 선택하십시오． 하나의 규칙에 같은 유형의 여러 컨테이너를 구성할 수 있습니다.

인터넷 방화벽 규칙에서 컨테이너를 구성하려면：

내비게이션 메뉴에서 보안 > 인터넷 방화벽을 선택하십시오．

인터넷 방화벽 페이지가 기존의 게시되지 않은 개정판 또는 최신 게시판 개정판으로 열립니다．
새로 만들기를 클릭하십시오．
앱/카테고리 아래에서 FQDN 컨테이너 또는 IP 컨테이너를 선택하십시오．
드롭다운 메뉴에서 하나 이상의 컨테이너를 선택하십시오．
규칙의 다른 필드를 구성하고 규칙을 저장하십시오． 인터넷 방화벽 규칙 구성에 대한 더 많은 정보는 인터넷 방화벽 정책 관리를 참조하십시오.