:::: 곰탱푸닷컴 ::::

1. 소개 1.1. 개요 FIR은 침해사고 대응을 위한 플랫폼(Security Incident Response Platform)으로 오픈소스이다. TheHive에 비해 기능이 많이 단순하다. 장점이지만 곧 단점이다. 외부 인텔리전스는 YETI에 종속되어 있고, 샘플 분석은 FAME에 종속된 것으로 보인다. TheHive에 비해 외부 Observable을 수집하거나 보강하는 기능은 지원하지 않고, TTPs 정리 기능 지원도 미흡하다. 공식 사이트 겸 GitHub certsocietegenerale/FIR Fast Incident Response. Contribute to certsocietegenerale/FIR development by creating an account on GitHub. github..

지금까지는 단일 지표를 입력했지만 다수의 지표도 입력 가능하다. 외부의 보고서나 IoC 문서에서 추출한 다수의 지표를 한번에 입력하는 Free-text Import tool을 제공한다. 본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, 향후 각 단계별로 API를 이용한 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP에서 대량의 지표를 입력하기 위해 사전에 진행해야 하는 사항이다. 1.1. Feed 설정과 Data Fetch Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다. 2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 의 1. Feed 설정 내..

본문은 아래 영상의 내용을 정리한 것이다. 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. 1. 사전 준비 MISP의 보강 지표를 생성하기 위해 사전에 진행해야 하는 사항이다. 1.1. Feed 설정과 Data Fetch Sync Actions → List Feeds에서 Feed를 추가하고 데이터를 다운로드한다. 2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 2 - Feed 추가와 데이터 다운로드의 1. Feed 설정 내용을 참고한다. MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다. CIRCL OSINT Feed, ..

MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다. CIRCL OSINT Feed, The Botvrij.eu Data 등 2개의 Feed를 목록에서 기본적으로 확인할 수 있고, MISP에서 제공하는 65개 Feed를 추가할 수 있다. 유형별로 대표적인 Feed들을 분류하면 다음과 같다. (더보기 클릭) 더보기 악성코드 정보 CIRCL (룩셈부르크 침해사고대응센터) URL Haus Malwares URLs (abuse.ch) malshare.com (malshare.com) Malware Bazaar (abuse.ch) CyberCure - Hash Feed (cybercure.ai) 사이버 범죄 cybercrime-tracker-all (cybercrime-tracker.n..

본문은 아래 영상의 내용을 정리한 것이다. Intro to MISP 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. Quick Start 문서는 워낙 빈약하고, 공식 매뉴얼은 너무 방대한 것이 문제라면 문제.. Quick Start · User guide of MISP intelligence sharing platform Last modified: Sun Feb 28 2021 09:22:59 GMT+0100 (Central European Standard Time) Quick Start MISP (Open Source Threat Intelligence and Sharing Platform) software facilitates t..

1. 소개 1.1. 개요 TheHive는 침해사고 대응을 위한 플랫폼(Security Incident Response Platform)으로 오픈소스이다. 침해사고 뿐 아니라 캠페인이나 공격조직 분석과 대응에도 활용 가능하다. 외부 지표 수집과 분석을 위한 Cortex 엔진이 내장 되어 있다 분산 클러스터를 지원하여 스케일 아웃도 원활할 것으로 예상된다. 3.x 버전은 Elastic Search 기반이고, 4.x 버전부터 Cassandra와 Hadoop 기반으로 변경되었다. 공식사이트와 다운로드는 아래 내용을 확인한다. (더보기 클릭) 더보기 공식 사이트 TheHive Project Scalable, Open Source Security Incident Response Solutions designed f..

1. 소개 1.1. 개요 YETI는 위협 인텔리전스의 구성 요소에 대한 구성과 분석이 가능한 일상 위협 인텔리전스 플랫폼(Your Everyday Threat Intelligence)으로 오픈소스이다. MISP를 Feed로 사용할 수 있고, TheHive에 Yeti를 네트워크 아티팩트의 보강 소스로 사용 할 수 있다. 또한 침해사고 대응 플랫폼인 FIR, 악성코드 자동 분석 플랫폼인 FIME 등과 연동 가능하다. 공식사이트 YETI Your Everyday Threat Intelligence yeti-platform.github.io GitHub yeti-platform/yeti Your Everyday Threat Intelligence. Contribute to yeti-platform/yeti de..

1. 소개 1.1. 개요 MISP는 악성코드 기반의 위협 데이터를 관리하는 악성코드 첩보 공유 플랫폼(Malware Information Sharing Platform)으로 오픈소스이다. 보안관제나 CERT, 또는 정보보안 부서에서 많이 활용하고 있는 것으로 알려져 있고, 오픈소스 TI 플랫폼 중에서 CRITs, YETI에 비해 가장 적극적으로 릴리즈 되고 있다. 공식 사이트 MISP - Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing (formely known as Malware Inform The key is Automation Isn't it sad to have a lot of data ..