사용자 정의 필드 매핑

이 블로그 게시물은 SOC Prime Threat Detection Marketplace의 프리미엄 구독 계획에서 사용할 수 있는 사용자 정의 데이터 스키마 매핑 기능에 대해 설명합니다.

사용자 정의 데이터 스키마 매핑을 통해 대부분의 로그 소스 및 플랫폼에 대해 사용자 정의 매핑 구성을 구축할 수 있으며, 이를 통해 규칙에 자동으로 적용하여 Threat Detection Marketplace 을 사용하여 플랫폼과 더 호환되도록 할 수 있으며, 이를 위해 SIEM에 수동으로 돌아가서 사용하는 스키마에 맞게 필드 이름을 수정할 필요가 없습니다.

분명히 다른 환경 간에는 많은 차이가 있으며, 기본 필드 이름을 사용자 정의 필드 이름으로 자동으로 변경하는 것은 데이터 품질의 구체사항에 맞게 모든 규칙을 자동으로 다시 작성하고 구문 분석 문제를 피할 수 있게 합니다.

이 기능이 필요한 분명한 이유는 사용 중인 필드 이름이 실행 중인 플랫폼에 관계없이 Elastic Common Schema (ECS)를 사용하는 Elastic이든, Common Information Model (CIM)을 사용하는 Splunk이든, ArcSight Common Event Format (CEF)을 사용하든, QRadar Log Event Extended Format (LEEF)을 사용하든 간에 다른 모든 사람들이 사용하는 것과 동일하지 않을 가능성이 높기 때문입니다.

데이터 스키마 프로파일

구성에 액세스하려면 선택한 규칙 페이지에서 조정하려는 플랫폼을 클릭하고 Sigma 필드 매핑을 구성하기 위해 기어 아이콘을 클릭하거나 오른쪽 상단의 사용자 메뉴로 이동하여 Sigma 필드 매핑 메뉴 항목을 선택할 수 있습니다.

열린 설정 창에서 필드 매핑을 구성할 수 있는 플랫폼 수를 볼 수 있습니다.

또한, 여러 SIEM을 사용하는 경우 필드 이름이 다른 매핑 프로파일을 생성하고 전환할 수 있습니다. 여러 매핑 그룹을 갖는 것은 관리형 보안 서비스 공급업체(MSSP)가 여러 SIEM 인스턴스를 관리하는 데 필수적입니다.

필드 커스터마이제이션

Threat Detection Marketplace에서 찾을 수 있는 탐지 규칙은 표준 필드 이름이 있는 일반적이고 개방된 서명 형식의 Sigma 규칙입니다 https://github.com/Neo23x0/sigma

기본 Sigma 번역기를 사용하여 규칙 번역을 할 때, 목적지 플랫폼 필드에 대한 SIEM 기본 필드 이름이 사용되며, 예를 들어 Sigma EventID 필드는 Elasticsearch의 event.code 필드에 대응하며, Splunk의 EventCode 필드에 대응합니다.

Sigma 필드 매핑 섹션에서는 필드 이름을 사용자 정의할 수 있어 모든 추가 규칙 번역이 추가적인 수동 사용자 정의 없이 사용자의 SIEM 인스턴스에서 실행될 수 있습니다. Sigma 필드를 드롭다운 목록에서 선택하고 사용자 정의된 필드 이름을 프로파일에 저장하세요. 또한, 수동으로 필드를 추가하여 SIEM 인스턴스에 맞게 추가로 사용자 정의할 수 있습니다.

SIEM 인스턴스에서 사용되는 모든 사용 가능한 필드 이름을 지정하고 필드 매핑 그룹에 대한 설정을 저장할 수 있으며, 여러 플랫폼에 대한 매핑 그룹을 생성할 수도 있습니다. 이렇게 하면 미리 설정된 그룹을 선택한 후 사용자 정의된 필드 이름으로 플랫폼에 대한 번역을 클립보드에 복사할 수 있습니다.

구문 분석 문제를 수정하는 데 시간이 걸리고, 전문 지식이 필요하며, 변경 관리 절차를 따라야 하므로, 규칙을 즉각적으로 적용하면 사전 위협 탐지에 대한 차단 요소를 제거할 수 있습니다.