SOC Prime 플랫폼의 콘텐츠 커스터마이제이션 기능: 원활한 배포를 위한 단계별 가이드

비표준 및 대안 데이터 스키마에 콘텐츠 배포 조정

SOC Prime의 Detection as Code 플랫폼의 핵심은 세계에서 가장 큰 SOC 콘텐츠 라이브러리입니다. 규칙은 처음에 전 세계 23,000+ 보안 전문가의 전문 지식을 활용할 수 있는 플랫폼-독립적인 규칙 형식인 시그마 언어로 작성됩니다. 그런 다음 시그마 규칙은 25개 이상의 SIEM, EDR 및 XDR의 네이티브 형식으로 자동 변환됩니다.

시그마 규칙을 변환할 때, 우리는 대상 플랫폼의 현재 표준 데이터 스키마를 따릅니다. 예를 들어, Microsoft Sentinel 규칙은 고급 보안 정보 모델(ASIM)을 기반으로 하며, Elastic Stack 쿼리는 Elastic Common Schema(ECS)를 기반으로 합니다. 스키마는 로그 소스에서 수집한 데이터를 파싱 및 정규화하기 위해 사용되는 필드 세트를 정의합니다.

그러나 모든 조직이 표준 데이터 스키마를 사용하는 것은 아닙니다. 다음과 같은 다양한 이유가 있을 수 있습니다:

• 조직은 Microsoft Sentinel에 대한 고급 보안 정보 모델(ASIM) 대신 오픈 소스 보안 이벤트 메타데이터(OSSEM)와 같은 대안 데이터 스키마를 선호할 수 있습니다.
• 벤더들은 때때로 데이터 스키마를 업데이트하며, 조직이 이러한 업데이트를 따라잡는 것이 항상 기술적으로 가능하지는 않습니다.
• 조직은 종종 데이터 스키마를 맞춤형으로 설정해야 하는 내부 요구가 있습니다.

비표준 데이터 스키마를 사용하는 조직을 지원하고 환경에서 탐지가 제대로 작동하도록 돕기 위해, SOC Prime 플랫폼은 두 가지 특별 기능을 제공합니다: 대체 번역을 위한 구성 and 사용자 정의 필드 매핑.

대체 번역을 위한 구성

대체 데이터 스키마가 SIEM, EDR 또는 XDR 솔루션을 사용하는 조직 간에 인기를 얻으면, 우리는 대체 번역 구성을 추가하여 지원을 시작합니다. 따라서 표준 스키마를 사용하는 사용자는 기본 번역을 사용할 수 있으며, 대안 스키마를 사용하는 사용자는 드롭다운에서 그들의 스키마 유형을 선택할 수 있습니다. 드롭다운 에서 선택하여 즉시 환경에 맞춘 번역을 받으십시오.

다음을 선택할 수 있습니다 드롭다운 대체 번역:

• 특정 Sigma 규칙의 대체 번역을 받기 위해 콘텐츠 항목 페이지에서

• On the 사냥 (웹 검색) 탭에서 환경 통합 설정에서 환경 섹션에서 특정 플랫폼에 적용 가능한 경우 빠른 사냥에서 기본적으로 사용되는 대체 번역을 구성합니다.

• 연속 콘텐츠 관리 모듈의 작업 설정에서 특정 작업과 연결된 모든 Sigma 규칙에 적용되는 대체 번역을 구성합니다.
  

사용자 정의 필드 매핑

SOC Prime 플랫폼의 Sigma 규칙 번역은 해당 SIEM, EDR 또는 XDR 솔루션의 표준 데이터 스키마를 기반으로 합니다. 따라서 대상 환경에서 비표준 테이블/인덱스 또는 필드를 사용하는 경우, 번역된 규칙은 사용자 정의가 필요합니다.

규칙 코드에서 테이블/인덱스, 필드 이름 또는 필드 값을 수동으로 사용자 지정하는 것은 오류가 발생하기 쉬운 번거로운 작업입니다. 따라서 우리는 모든 관련 사용자 정의 테이블/인덱스, 필드 이름 또는 필드 값을 지정하고 이를 기본값에 매핑할 수 있는 사용자 정의 필드 매핑 프로필 구성 기능을 제공합니다. 프로필을 한 번 생성한 후, 규칙을 배포하거나 환경에 쿼리를 보낼 때마다 해당 프로필을 즉석에서 적용할 수 있습니다. 여러 프로필을 생성하고 팀원들과 공유할 수 있습니다.

이 도구는 다양한 경우에 유용합니다:

• 조직의 SIEM, EDR 또는 XDR 인스턴스에서 사용하는 필드 세트가 플랫폼의 표준 데이터 스키마에서 정의한 것과 다를 때.
• 다른 도구로 특정 로그를 수집하는 경우와 같이 SIEM, EDR 또는 XDR 인스턴스의 다른 로그 데이터 위치를 쿼리하려는 경우 이 경우 활동에 대한 필드와 그 값을 사용자 지정할 필요가 있습니다.

사용자 정의 필드 매핑 프로필을 적용할 수 있습니다:

• 특정 Sigma 규칙의 번역을 수정하기 위해 콘텐츠 항목 페이지에서

• On the 사냥 (웹 검색) 탭에서 환경 통합 설정에서 환경 섹션에서 특정 플랫폼에 적용 가능한 경우 빠른 사냥에서 기본적으로 수정 사항을 적용합니다.

• 연속 콘텐츠 관리 모듈의 작업 설정에서 특정 작업과 연결된 모든 Sigma 규칙에 수정 사항을 적용하도록 구성합니다.
  

참고: 기본적으로, 로그 소스를 기반으로 기본 사용자 정의 필드 매핑 사용 체크박스가 선택되어 있습니다. 이 경우 사용자 정의 필드 매핑은 콘텐츠가 의도된 로그 소스 제품에 따라 콘텐츠에 동적으로 적용됩니다. 공개하려면 사용자 정의 필드 매핑 드롭다운

을 표시하고 작업에 연결된 모든 콘텐츠에 단일 프로필을 선택하거나 매핑을 전혀 적용하지 않으려면 체크박스를 선택 해제하십시오.

사용자 정의 필드 매핑 프로필 설정

 각 로그 소스 제품에 대해 별도의 사용자 정의 필드 매핑 프로필을 생성하고 환경에서 모니터링 및 사용자 지정이 필요한 각 로그 소스 제품에 대해 별도의 프로필을 생성하십시오. 통합 > 사용자 정의 필드 매핑 을 선택하고 생성 버튼을 클릭하여 새 프로필을 생성합니다.

콘텐츠 항목 페이지나 환경 통합 설정에서 프로필 생성 또는 편집 팝업을 열 수도 있습니다.

사용자 정의 필드 매핑 프로필을 설정하려면:

1. 프로필의 이름을 지정하십시오.
2. 프로필을 적용할 플랫폼을 선택하십시오.
3. 프로필을 팀원들과 공유할지를 선택하십시오. 공유된 프로필은 조직의 누구나 볼 수 있고 편집할 수 있습니다.
4. 프로필이 의도된 로그 소스 제품을 선택하고 필요할 경우 자동으로 적용됩니다 ( 기본값으로 설정 스위치가 활성화된 경우). 로그 소스 선택 필드, 제품 이름을 입력하기 시작하고 제안된 옵션에서 선택하십시오.
   
5. 옵션으로 시그마 설정 표시 스위치를 활성화하여 선택한 로그 소스 제품이 대응하는 시그마 제품, 서비스 및 카테고리를 확인하십시오. 이는 시그마에 잘 익숙한 사용자를 위한 고급 설정입니다. 사전 정의된 값을 제거하려면 닫기 아이콘을 클릭하고, 새로운 값을 추가할 수 있지만 사전 정의된 값을 변경하지 않는 것이 좋습니다. 새 값을 제공하려면 필드를 클릭하고 값을 입력한 후 입력한 이름을 선택하여 추가하십시오. 각 필드에는 여러 값을 가질 수 있습니다.
   참고: 현재 시그마 제품 선택, 시그마 카테고리 선택, 그리고 시그마 서비스 선택 필드는 일부 로그 소스 제품에 대해서만 사전 정의된 값을 가지고 있습니다. 추가 제품에 대한 지원은 곧 제공될 예정입니다.
   
   
6. 프로필을 기본값으로 설정할지를 선택하십시오. 기본 프로필은 해당 플랫폼에 적합한 콘텐츠 항목 페이지 내의 콘텐츠에 자동으로 적용됩니다.
   
   참고: 기본 프로필은 시그마 제품, 서비스 및 카테고리가 연결된 로그 소스 제품에만 자동으로 적용됩니다.
   

매핑을 구성합니다. 필드만 매핑해야 한다면, 소스 or 값 탭을 채우지 마십시오.

소스

이 탭의 정확한 이름은 선택한 플랫폼에 따라 다릅니다. Microsoft Sentinel, Elastic Stack 및 Splunk의 경우에는 로그 데이터 위치의 네이티브 이름을 사용합니다:

• Microsoft Sentinel: 테이블
• Elastic Stack 및 Splunk: 인덱스
• 기타 플랫폼: 소스
  

로그 소스 위치를 구성하려면 다음 단계를 따르십시오:

1. 기본 소스 필드를 클릭하고, 지정된 제품의 로그가 저장되는 위치(인덱스, 테이블 등)의 기본 이름을 입력하십시오. 이것은 표준 데이터 스키마에서 사용되는 이름입니다. 입력이 끝나면 이름을 클릭하여 추가합니다.
   
   참고: 일부 플랫폼에서는 이 필드의 값이 사전 정의되어 있으며 변경할 수 없습니다. 사전 정의된 이름에는 와일드카드(*)가 사용되었습니다.
   
   
2. 사용자 정의 소스 필드를 클릭하고 로그 위치의 사용자 정의 이름을 입력합니다. 이것은 실제 환경에서 사용되는 이름입니다. 입력을 완료한 후, 이름을 클릭하여 추가합니다.

필드

필드 이름을 사용자 지정하려면 다음을 수행하세요:

1. 기본 필드를 클릭하고, 표준 데이터 스키마에서 사용된 기본 필드 이름을 입력하기 시작합니다. 제안된 옵션을 선택하거나 관련 옵션이 없을 경우 입력을 완료하고 입력한 이름을 클릭하여 추가합니다.
2. 사용자 정의 필드를 클릭하고 실제 환경에서 사용된 사용자 정의 필드 이름을 입력한 후 입력한 이름을 클릭하여 추가합니다.
   
3. 초록색 체크 아이콘을 클릭하여 필드 매핑을 저장합니다.
4. 위 절차에 따라 모든 필요한 필드 매핑을 추가합니다. 필드 추가 을 클릭하여 새 필드를 추가합니다. 추가된 매핑을 편집하려면 펜슬 아이콘을 클릭합니다. 매핑을 삭제하려면 휴지통 아이콘을 클릭합니다.
   

참고: CSV를 사용하여 필드 매핑을 가져올 수 있습니다. 파일은 쉼표로 구분되어 있으며 두 개의 열을 포함해야 합니다:

• 변경하려는 기본 필드 이름이 포함된 첫 번째 열
• 사용자 정의 필드 이름이 포함된 두 번째 열

필드 이름에는 문자, 밑줄(_), 대시(-) 또는 점(.)만 포함될 수 있습니다. 최대 허용되는 라인 수는 500입니다. 빈 행은 무시됩니다.

값

필드 값을 사용자 정의하려면 다음 단계를 따르십시오:

1. 값을 매핑해야 하는 필드의 이름을 입력하십시오.
2. 원래 값과 새 값을 입력하십시오.
3. 값을 매핑하려면 값 추가 를 클릭하여 필요한 경우 다른 필드의 값을 매핑하십시오.

참고:

• 필드의 원래 값이 여러 개의 새 값에 대해 동일한 경우가 있을 수 있습니다.

• 하나의 필드에 대해 여러 개의 새 값을 동일한 원래 값에 매핑한 경우, 마지막 매핑만 고려됩니다.

• 원래 값을 비워 두면 필드의 모든 원래 값에 대해 입력한 새 값이 사용됩니다.

• 원래 값을 새 값의 일부로 동적으로 삽입하려면, NEW VALUE 필드에 {VALUE} 자리 표시자를 사용하십시오.

• 필드의 각 원래 값을 패턴에 따라 수정하려면, 원래 값을 나타내는 {VALUE} 자리 표시자를 NEW VALUE에 추가하고 ORIGINAL VALUE를 비워 두십시오. 예를 들어, EventID 필드의 모든 값 앞에 “Microsoft-Windows-Security-” 접두사를 추가하려면, 다음과 같은 매핑을 만드십시오:

• 필드: EventID
• 원래 값: 비워 두기
• 새 값: Microsoft-Windows-Security-{VALUE}

사용자 정의 필드 매핑 프로필을 저장하려면 저장 변경.

을 클릭하십시오. 설정이 완료되었으며, 생성된 사용자 정의 필드 매핑 프로필을 즉시 적용하여 SIEM, EDR, XDR 솔루션에 콘텐츠를 배포할 수 있습니다.

가입 SOC Prime의 Detection as Code 플랫폼 어떤 사이버 보안 팀에게도 설계된 올인원 솔루션을 활용하여 위협 탐지 기능을 향상시키고 위협 사냥 속도를 가속화 합니다. SOC Prime플랫폼은 다양한 기술과 전문가 네트워크를 가진 전 세계의 수천명 사이버 보안 전문가들을 연결하는 협력적 사이버 방어의 힘을 harness합니다. 지식의 집합을 풍부하게 하고자 하는 산업 전문가들은 위협 현상금 프로그램에 지원하여, 자신만의 탐지 알고리즘을 사이버 보안 커뮤니티와 공유하고, 기여에 따른 평점 기반 금전적 보상을 받을 수 있습니다.