Uncoder CTI: 단계별 가이드라인

SOC Prime는 새 버전에서 소개된 Uncoder CTI를 발표하게 되어 기쁩니다. SOC Prime 플랫폼 협력적인 사이버 방어를 위한 시스템이 이제 대중에게 공개되었습니다. https://cti.uncoder.io/이번부터는 경험에 상관없이 모든 위협 정보 분석가 및 위협 헌터들이 Uncoder CTI를 사용하여 현장에서 IOC 기반의 위협 헌팅을 시도할 수 있게 됩니다. 팀의 보안 요구 사항에 맞춘 즉석 IOC 쿼리 생성을 위한 공개 Uncoder CTI 버전이 이제 100% 무료로 제공되며, 등록이 필요하지 않습니다. 

이 블로그에서 Uncoder CTI를 활용하여 위협 헌팅 경험을 더 간단하고 빠르게 하는 방법에 대한 가이드를 찾을 수 있습니다. 

Uncoder CTI는 SOC Prime 팀에 의해 설계되어 사이버 위협 정보를 통해 위협 헌팅을 강화하고 사용할 SIEM 또는 XDR에서 IOC 매칭을 최대 성능으로 최적화합니다. Uncoder.IO와 마찬가지로, 이 SOC Prime의 혁신은 교차 툴 지원을 가능케 하며 여러 보안 솔루션에 적용할 수 있습니다. Uncoder CTI를 통해 위협 정보 분석가 및 위협 헌터들은 Microsoft Azure Sentinel, Chronicle Security, Elastic Stack, Splunk를 포함한 15개 이상의 SIEM 및 XDR 기술에 대한 맞춤형 쿼리를 생성할 수 있습니다.

귀하의 개인정보를 소중히 여깁니다

SOC Prime은 사용자 데이터의 개인정보 보호에 큰 중요성을 부여하며, 이는 도구를 처음 여는 모든 사람이 볼 수 있는 Uncoder CTI 개인정보 보호 공지에 반영되어 있습니다. SOC Prime은 Uncoder CTI에 업로드된 IOC 데이터를 저장하지 않으며, 데이터는 제3자와 공유되지 않습니다. IOC 데이터에 대한 접근은 각 특정 Uncoder CTI 세션을 운영하는 보안 수행자만 이용할 수 있습니다. 

IOC 업로드

IOC를 포함하는 파일을 왼쪽 창에 직접 삽입하거나 IOC 업로드 버튼을 눌러 가져옵니다. 허용되는 형식의 파일을 선택하십시오 (CSV, JSON, 또는 TXT).

Uncoder CTI는 이미 특정 기호와 키워드의 자동 교체를 통해 구문 오류 및 구문 분석 문제를 방지하는 기본 설정을 포함하고 있습니다. 팀은 더 보기 버튼을 클릭하고 구문 분석될 콘텐츠에서 특정 문자 조합을 대체할 옵션을 선택하여 이러한 설정을 사용자화할 수 있습니다:

• 모두 선택 — 나열된 모든 교체 옵션이 적용됩니다
• (.) [.]{.}를 점으로 대체
• hxxp를 http로 대체
• 사설 및 예약된 네트워크(예: 0.0.0.0/8, 10.0.0.0/8 등)를 제외

쿼리 생성 설정

보안 요구에 따라 추가된 IOC 쿼리를 사용자 정의하려면 쿼리 생성 설정, 다음 단계에 따라 진행하십시오:

1. 쿼리에 사용될 IOC 유형을 선택하십시오(IP, 해시, 도메인, 또는 URL).
2. 필요한 경우 해시 유형을 선택하십시오 (MD5, SHA-1, SHA-256, SHA-512).
3. 쿼리를 실행하고자 하는 SIEM 또는 XDR을 선택하십시오. 
4. 선택적으로, 특정 데이터 스키마에 기술의 기본 매개변수를 조정하기 위해 사용자 지정 IOC 필드 매핑을 생성할 수 있습니다.  the default parameters of the technology in use to your specific data schema. 
5. 슬라이더를 사용하여 쿼리당 IOC 수를 설정하십시오.
6. 선택적으로 예외를 추가하여 특정 IOC를 쿼리에서 제외하고 거짓 양성의 수를 줄이십시오. 예를 들어, 여기에서 8.8.8.8 IP, 사설 서브넷, 기타 일반적인 CTI 보고서 오류를 입력할 수 있습니다.
7. “OR” 연산자를 선택하여 쿼리에 소스 IP를 포함할 수 있습니다.
8. ” 생성 ” 버튼을 클릭하십시오. 

SIEM 또는 XDR에서 헌트를 위한 심층 분석

생성된 맞춤형 IOC 쿼리가 아래에 표시됩니다. 위협 정보 분석가 및 위협 헌터는 쿼리를 복사하여 직접 SIEM 또는 XDR 인스턴스에 붙여넣어 선택된 환경에서 실행할 수 있습니다. 

또한 Uncoder CTI는 사용 중인 보안 솔루션에 쿼리를 자동으로 보낼 수 있도록 허용합니다. 

생성된 헌팅 쿼리를 잡을 방법을 행동 버튼 중 하나를 통해 선택하십시오. 이 버튼들은 쿼리 코드 위에 마우스를 올리면 나타납니다.

이제 선택한 쿼리 플랫폼.

에서 헌팅할 준비가 완료되었습니다. https://cti.uncoder.io/ 의 공개 버전은 Uncoder CTI를 시작하고 고급 조정이 필요 없는 쿼리를 실행하는 가장 간단하고 빠른 방법입니다. 확장된 Uncoder CTI 기능을 활용한 더 통찰력 있는 위협 헌팅 경험을 위해, 예를 들어, 사용자 정의 IOC 매핑 또는 SIEM 또는 XDR에서의 자동 검색 등을 활용하려면 SOC Prime 플랫폼 에 가입하여 위협 발견 및 위협 사냥을 위한 130,000개 이상의 탐지에 접근하십시오. 도구 기반 사냥 능력을 중심으로 한 Uncoder CTI 개요 를 확인하여 도구에 대해 더 알아보세요.

SOC Prime 플랫폼에 가입 CTI.Uncoder.IO 시도