팔로알토 네트웍스 MIPS, Splunk SIEM 및 SOAR, Cortex XSOAR를 위한 맨디언트 위협 인텔리전스

*본 아티클의 원문은 2023년 5월 4일 Google Cloud 블로그(영문)에 게재되었습니다.

보안 전문가는 수많은 관리 콘솔 창을 띄워 놓고 일을 합니다. 너무 많은 보안 플랫폼을 다루다 보면 너무 많은 작업 창 숫자에 압도당할 수도 있습니다. 너무 많은 보안 플랫폼의 딜레마를 어떻게 해결할 수 있을까요? 보안 운영 워크플로우를 자동화하고 위협 인텔리전스 같은 정보를 효과적으로 통합하면 부담을 덜 수 있습니다.

맨디언트 SaaS 통합(Mandiant SaaS Integration)을 사용하면 위협 인텔리전스를 효과적으로 공유할 수 있습니다. 이를 통해 보안 팀은 각종 침해 시도에 더 능동적으로 대응할 수 있습니다. 보안 팀은 맨디언트 위협 인텔리전스 API를 사용해 기존 보안 도구 및 보안 운영 워크플로우에 간단하게 맨디언트 위협 인텔리전스 데이터를 통합할 수 있습니다.

맨디언트는 보안 팀이 더 효��적으로 작업할 수 있도록 통합 대상을 확대하고 있습니다. 관련해 최근 맨디언트는 MISP, Splunk SIEM 및 SOAR, Cortex XSOAR 통합을 발표하였습니다. 새로운 통합을 통해 맨디언트 고객은 상황 인식 및 위협 탐지를 개선해 사이버 공격에 더 능동적으로 대응할 수 있게 되었습니다. 고객이 누릴 수 있는 혜택을 정리하면 다음과 같습니다.

• 상황 인식 개선: 고객은 맨디언트 위협 인텔리전스를 적용해 위협 환경 전반을 더 명확하게 파악할 수 있습니다.
• 위험 감소: 대응 조치를 자동화하여 사람의 실수로 인한 오류를 최소화합니다.
• 효율성 향상: 최신 위협 인텔리전스를 활용해 작업을 자동화하므로 시간과 자원을 절약할 수 있습니다.
• 보안 운영 개선: 기존 워크플로우 전반에 위협 인텔리전스를 통합하여 작업 간소화 및 더 능동적인 대응이 가능해집니다.

MISP

선도적인 오픈 소스 위협 인텔리전스 플랫폼인 MISP에 맨디언트 위협 인텔리전스를 통합하면 보안 팀은 더 쉽게 최신 정보를 참조해 조치를 취할 수 있습니다. 이번 통합으로 맨디언트 위협 인텔리전스 보고서를 참조해 MISP 이벤트 생성이 가능해졌습니다. 또한, 위협 행위자 및 맬웨어 제품군에 대한 최신 정보를 통해 잠재적인 공격 벡터를 식별할 수 있게 되었습니다.

이에 따라 보안 팀은 서로 다른 위협이 서로 어떻게 연관되어 있는지 신속하게 확인하여 잠재적인 공격 경로를 식별할 수 있습니다. 또한, 이번 통합으로 보고서와 연결된 침해 지표(IOC)를 각 이벤트에 MISP 속성/객체로 추가할 수 있게 되어 각 위협에 대한 더 많은 정보를 보안 팀에 제공할 수 있게 되었습니다.

Splunk SIEM

맨디언트는 Splunk SIEM과의 기존 통합을 다음 부문까지 확장하였습니다.

• 맨디언트 지표와 이벤트 매칭 기능: 이제 맨디언트 지표를 Splunk SIEM 환경의 이벤트와 매칭할 수 있습니다. 이에 따라 다른 방법으로 탐지하기 어려움 잠재적인 위협을 더 잘 식별할 수 있게 되었습니다. 이 기능은 설정을 통해 특정 유형의 매칭의 경우 경고(alert)을 생성할 수도 있습니다.
• 위협 인텔리전스 대시보드 개선: Splunk SIEM 환경에서 수집된 맨디언트 지표에 대해 더 많은 맥락 정보를 제공합니다. 여기에는 지표에 연결된 활성 맬웨어 제품군, 위협 행위자, 캠페인 및 보고서 내용이 포함됩니다.

• 새로운 이벤트 대시보드: 맨디언트 지표와 매칭된 이벤트에 대한 상세 정보를 제공합니다. 여기에는 악성의 정도, 소스 데이터 모델, 지표 카테고리, 이벤트 조치, 속성 맬웨어 제품군, 위협 행위자 등에 대한 정보가 포함됩니다.

• 연관된 캠페인 및 위협 인텔리전스 보고서: 수집된 지표 관련 캠페인 및 위협 인텔리전스 보고서 지원이 추가되었습니다. 이제 각 지표와 연관된 맥락 정보를 더 잘 이해할 수 있고, 잠재적인 위협 도 더 잘 식별할 수 있습니다.

Splunk SOAR 및 Cortex XSOAR 통합

한편, Splunk SOAR 및 Cortex XSOAR과 맨디언트 위협 인텔리전스 통합도 가능해졌습니다. 이를 통해 보안 팀은 보안 운영 워크플로우를 자동화 및 오케스트레이션하고, 사고 대응을 가속하고, 보안 태세를 개선할 수 있게 되었습니다.

보안 운영 워크플로우에 최신 맨디언트 위협 인텔리전스를 통합하고, 이를 토대로 자동화 및 오케스트레이션을 하면 Splunk SOAR 및 Cortex XSOAR를 사용하는 조직은 위협 대응 속도를 높일 수 있고, 정확한 정보 아래 대응을 할 수 있게 됩니다. 이에 따라 보안 분석가들은 시간을 아낄 수 있게 되어 더 중요한 작업에 집중할 수 있습니다.

맨디언트 위협 인텔리전스 통합은 Splunk SOAR 및 Cortex XSOAR를 사용하는 조직에 다음과 같은 이점을 제공합니다.

• 더욱 풍부한 정보 참조: 지표 값을 기반으로 침해 관련 세부 정보를 확인할 수 있습니다. 지표는 URL, FQDN, IP 주소, 또는 파일 해시(MD5/SHA1/SHA256)로 지정할 수 있습니다. 이 정보는 위협 평가의 정확성을 높이고 잠재적인 위협을 식별하는 데 사용할 수 있습니다.
• 위협 행위자, 캠페인, 맬웨어 세부 정보 상호 연결: 탐지한 침해 관련 세부 정보를 통해 위협 환경에 대한 이해를 높일 수 있습니다. 그리고 보안 팀은 이를 통해 잠재적인 위협을 더 잘 식별할 수 있습니다.
• 취약성 및 연관성 정보 검색: 침해 현장에서 활발하게 악용되고 있는 취약점에 대한 상세 정보를 조회하고, 전 세계에 일어나고 있는 주요 침해 사고에서 공격자가 어떤 취약점을 악용하고 있는지에 대한 맨디언트의 통찰력을 참조할 수 있습니다.
• SOAR 콘솔에서 위협 인텔리전스 보고서 참조: 분석가는 SOAR 콘솔을 벗어나지 않고도 상세한 위협 인텔리전스에 접근해 분석 작업을 하고 보안 운영 워크플로우를 최적화할 수 있습니다.

맨디언트의 위협 인텔리전스를 MISP, Splunk_SIEM 및 SOAR, Cortex_XSOAR에 통합하여 얻을 수 있는 효과에 대해 알아보았습니다. 더 자세한 내용은 맨디언트 페이지를 참조 바랍니다.

-Mandiant, 작성자: David Histon