이슈
-
ThreatQuotient를 활용하여 ESET 위협 인텔리전스 피드 데이터 수집
솔루션
I. 연동 설치하기
-
ThreatQ 마켓플레이스에 로그인합니다.
-
ThreatQ Marketplace에서 연동 파일을 찾아 다운로드합니다.
-
ThreatQ 인스턴스의 연동 관리 페이지로 이동하여 새 연동 추가를 클릭합니다.
-
다음 방법 중 하나를 사용하여 2단계에서 다운로드한 연동 파일을 업로드합니다:
- 파일을 대화 상자에 끌어다 놓습니다.
- 클릭하여 찾아보기를 선택하여 로컬 컴퓨터에서 연동 파일을 찾습니다.
-
메시지가 표시되면 설치할 개별 피드를 선택하고 설치를 클릭합니다. 피드가 연동 페이지에 추가됩니다.
II. 연동 구성하기
-
ThreatQ의 연동 관리 페이지로 이동합니다.
-
원하는 경우 카테고리 드롭다운 메뉴에서 상업용을 선택합니다.
-
통합 항목을 클릭하여 세부 정보 페이지를 엽니다.
-
해당 필드에 ESET 위협 인텔리전스 사용자 이름과 암호를 입력합니다.
-
추가 설정을 검토하고 필요한 경우 변경합니다. 저장을 클릭합니다.
-
추가 정보 섹션 위의 토글을 클릭하여 활성화합니다.
III. ThreatQ 매핑
모든 피드는 동일한 엔드포인트인 ESET 위협 인텔리전스 TAXII 서비스에 액세스합니다. 각 피드는 특정 컬렉션의 콘텐츠를 요청합니다.
피드는 각 피드가 포함하는 STIX 번들 목록을 반환합니다:
- 지표
- 멀웨어
- 신원
- 반환된 개체 간의 관계
ESET 봇넷
ESET 봇넷 피드는 ei.botnet (stix2) 수집에 연결하여 봇넷 네트워크에 대한 데이터를 수집합니다. 또한 명령 및 제어(CnC) 서버에 대한 정보도 검색합니다.
ESET 도메인
ESET 도메인 피드는 ei.domains v2(stix2) 수집에 연결하여 악성 도메인으로 간주되는 도메인을 수집합니다.
ESET 악성 파일
ESET 악성 파일 피드는 ei.malicious files v2(stix2) 컬렉션에 연결하여 악성 파일로 간주되는 실행 파일에 대한 데이터를 수집합니다.
ESET URL
ESET URL 피드는 ei.urls (stix2) 컬렉션에 연결하여 악성으로 간주되는 주소를 수집합니다.
