RH-ISAC IOC 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 서드 파티 API를 사용하여 Google Security Operations 피드를 설정하여 RH-ISAC IOC (침해 지표) 로그를 수집하는 방법을 설명합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 RH_ISAC_IOC 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
MISP 플랫폼에 액세스할 수 있는 활성 RH-ISAC 핵심 회원
https://misp.rhisac.org의 RH-ISAC MISP 인스턴스에 대한 액세스 권한

RH-ISAC MISP API 인증 키 생성

Google SecOps가 RH-ISAC MISP에서 IOC를 가져오도록 하려면 API 인증 키를 생성해야 합니다.

MISP 프로필 액세스

https://misp.rhisac.org에서 RH-ISAC MISP 인스턴스에 로그인합니다.
오른쪽 상단의 사용자 이름을 클릭하여 내 프로필로 이동합니다.
또는 https://misp.rhisac.org/users/view/me로 바로 이동합니다.

인증 키 만들기

프로필 페이지에서 인증 키 탭을 선택합니다.
인증 키 추가를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 의견: 키를 식별하는 설명이 포함된 의견을 입력합니다 (예: Google SecOps Integration).
- 읽기 전용: 이 옵션을 선택합니다 (권장).
  
  참고: Google SecOps는 IOC 데이터만 읽고 RH-ISAC MISP에 다시 쓰지 않으므로 읽기 전용 키를 사용하는 것이 최소 권한의 원칙을 따르는 것입니다.
- 허용된 IP: 선택사항입니다. 키 사용을 특정 IP로 제한하려면 Google SecOps IP 범위를 입력합니다.
제출을 클릭합니다.

인증 키 저장

키를 만든 후에는 새 인증 키가 한 번만 표시됩니다.

인증 키를 복사하여 안전한 위치에 즉시 저장합니다.
키 형식은 긴 16진수 문자열입니다 (예: abc123def456...).

필수 API 권한

RH-ISAC MISP API 인증 키는 RH-ISAC 회원 역할에 따라 다음과 같은 액세스 권한을 제공합니다.

권한	액세스 수준	목적
IOC 읽기	읽기	침해 지표 가져오기
이벤트 읽기	읽기	IOC 데이터로 MISP 이벤트 가져오기
속성 읽기	읽기	특정 IOC 속성 가져오기
태그 읽기	읽기	분류 태그 (예: rhisac:vetted)를 가져옵니다.

RH-ISAC IOC 데이터 이해하기

RH-ISAC는 MISP 플랫폼을 통해 선별된 신뢰도 높은 위협 인텔리전스를 제공합니다.

검증된 지표: rhisac:vetted 태그가 지정된 IOC는 소매 및 숙박업 부문 구성원이 검증한 충실도가 높은 지표입니다.
강화된 데이터: 모든 IOC는 RH-ISAC의 PyOTI (Python Open Threat Intelligence) 프레임워크를 사용하여 자동으로 강화됩니다.
MITRE ATT&CK 매핑: 이벤트에는 공격 전술, 기술, 절차에 관한 MITRE ATT&CK 프레임워크 매핑이 포함됩니다.
공격자 컨텍스트: Galaxy 클러스터는 공격자 속성 및 도구 관계를 제공합니다.

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: RH-ISAC IOC Feed).
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 RH-ISAC을 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- OAuth 토큰 엔드포인트: RH-ISAC 지원팀에 문의하여 조직의 OAuth 토큰 엔드포인트 URL을 받습니다.
- OAuth 클라이언트 ID: RH-ISAC 지원팀에 문의하여 조직의 OAuth 클라이언트 ID를 받으세요.
- OAuth 클라이언트 보안 비밀번호: RH-ISAC 지원팀에 문의하여 조직의 OAuth 클라이언트 보안 비밀번호를 받으세요.
참고: Google SecOps는 OAuth 인증을 사용하여 RH-ISAC MISP에 연결합니다. 이전에 생성한 MISP API 인증 키는 OAuth 구성의 일부로 사용됩니다. OAuth 사용자 인증 정보 설정에 대한 지원을 받으려면 RH-ISAC 지원팀에 문의하세요.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

설정이 완료되면 피드가 RH-ISAC MISP 인스턴스에서 IOC를 시간순으로 가져오기 시작합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`Event.uuid`	`metadata.event_id`	MISP 이벤트 고유 식별자
`Attribute.type`	`security_result.category`	IOC 유형 (예: ip-dst, domain, md5)
`Attribute.value`	`security_result.detection_fields`	IOC 값 (예: IP 주소, 도메인 이름, 해시)
`Attribute.comment`	`security_result.description`	분석가 의견 또는 컨텍스트
`Event.info`	`security_result.summary`	이벤트 설명 또는 제목
`Event.timestamp`	`metadata.event_timestamp`	이벤트 생성 또는 수정 시간
`Attribute.category`	`security_result.rule_name`	MISP 속성 카테고리 (예: 네트워크 활동, 페이로드)
`Tag.name`	`security_result.detection_fields.tags`	분류 태그 (예: rhisac:vetted, tlp:amber)
`GalaxyCluster.value`	`security_result.threat_name`	위협 행위자 또는 도구 이름

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.

달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.

최종 업데이트: 2026-02-14(UTC)