👾 작고 귀여운 Threat Intelligence 활용

✍️ Summary

• SNS와 보안 뉴스, 무료 TI의 IoC 정보들을 활용
• 중요한 IoC는 우선 차단, 나머지는 내부 보안 장비들과 연계 하여 모니터링 수준에서 활용
• ip
• hash
• domain

📗 Content

• TI 운영의 메인은 Elastic 활용
• 저장된 IoC는 Elastic의 Security 기능에서 제공하는 indicator rule로 보안 장비와 연계 하여 Alert 발생
• TI 수집기는 크게 2가지로 나누어서 운영
• Elastic Fleet : Fleet를 이용하여 Elastic Agent의 TI Module 설정 및 데이터 수집
• MISP : 국내 보안 업체와 보안 뉴스 해외 벤더사 blog의 RSS Feed를 Threat ingestor 으로 수집하여 MISP 저장, 최종적으로 MISP 저장된 데이터도 Elastic으로 전송
• 저장된 데이터 중, 보고서와 같은 리포트는 읽어보는 형태로 활용
• 최근 이슈가 되는 IoC는 즉시 차단
• 나머지 데이터는 탐지 되었을 경우 대응

⭐ Result

• 외부 이슈가 되는 IoC에 대해 좀 더 빠르고, 체계적으로 대응 가능
• 좋은 결과를 내기 위해서는 꾸준한 관리가 필요(정상인 값이 생각보다 많이 저장된다)