TheHive는 오픈 소스 보안 인시던트 응답 플랫폼으로, 보안 팀이 사이버 공격 및 보안 이슈에 대응하는 데 도움을 주는 도구입니다. TheHive는 이벤트 및 알림 관리, 조사, 대화 및 협력을 위한 다양한 기능을 제공합니다.
Cortex는 또 다른 오픈 소스 도구로, TheHive와 통합하여 사용할 수 있습니다. Cortex는 다양한 보안 인텔리전스 및 분석 도구를 통합하고, 자동화된 보안 작업을 지원하는 플랫폼입니다. 이것은 보안 분석가 및 대응자들이 사이버 공격에 대응하는 데 필요한 정보를 수집하고 분석하는 데 도움이 됩니다.
Cortex는 다양한 서비스를 제공하며, 예를 들어 다음과 같은 기능을 수행할 수 있습니다.
- 검색 및 인텔리전스 통합: 다양한 보안 인텔리전스 소스에서 정보를 검색하고 수집할 수 있습니다.
- 자동화된 분석 작업: 특정한 데이터 또는 이벤트에 대해 자동 분석 작업을 실행하여 보다 신속하게 대응할 수 있습니다.
- 보안 조사 및 협업: TheHive와 통합되어 보안 이슈에 대한 자세한 조사를 지원하며, 여러 사용자 간의 협업을 촉진합니다.
- 플러그인 기반 확장성: 다양한 보안 도구 및 서비스를 Cortex 플랫폼에 통합하기 위한 플러그인 기반 아키텍처를 제공합니다.
Cortex를 사용하면 TheHive를 더욱 강력한 보안 대응 도구로 확장할 수 있습니다. 보안 팀은 빠르게 대응하고 조사를 수행하며, 자동화된 기능을 통해 효율성을 높일 수 있습니다.
Cortex는 다양한 보안 인텔리전스 소스에서 정보를 수집하고 활용할 수 있는 플랫폼입니다. 아래는 Cortex를 사용하여 인텔리전스를 수집하고 실제 활용하는 원리와 방법에 대한 일반적인 개요입니다.
인텔리전스 수집 원리
Analyzer
Cortex는 분석을 위한 다양한 플러그인을 가지고 있습니다. 이 플러그인들을 Analyzers라고 부릅니다. 각 Analyzer는 특정한 서비스나 도구와 통합되어 해당 도구에서 얻은 정보를 처리하고 분석합니다.
Job
인텔리전스 수집은 Job이라고 불리는 작업을 통해 이루어집니다. Job은 Cortex에 의해 시작되며, Analyzers를 사용하여 특정 데이터 또는 이벤트에 대한 분석을 수행합니다.
TLP (Traffic Light Protocol)
Cortex는 수집한 인텔리전스 데이터를 다룰 때 TLP를 사용합니다. TLP는 정보 공유에 대한 가시성과 제어를 제공하기 위한 국제 표준입니다. TLP는 정보의 민감도에 따라 분류되며, 분석 결과를 다른 팀 또는 시스템과 안전하게 공유할 수 있도록 도와줍니다.
인텔리전스 수집 방법
Cortex 웹 인터페이스
Cortex는 사용자가 웹 인터페이스를 통해 직접 작업을 생성하고 관리할 수 있습니다. 사용자는 특정 분석 작업을 선택하고 해당 작업에 대한 Analyzers를 구성할 수 있습니다.
TheHive와의 통합
Cortex는 주로 TheHive와 통합되어 사용됩니다. TheHive에서 인텔리전스를 수집하고 싶을 때, 사용자는 TheHive에서 해당 작업을 시작하고 결과를 확인할 수 있습니다. TheHive와 Cortex 간의 통합은 보안 이슈에 대한 자동화된 대응 및 협업을 가능하게 합니다.
API 호출
Cortex는 RESTful API를 제공하여 외부 시스템이나 도구에서 직접 Cortex에 접근하고 작업을 생성할 수 있도록 합니다. API를 사용하면 다양한 자동화 및 통합 시나리오를 구현할 수 있습니다.
인텔리전스 활용
TheHive와의 통합
Cortex는 주로 TheHive와 함께 사용되어 보안 이슈에 대한 대응 및 조사를 지원합니다. TheHive에서 Cortex 결과를 확인하고 자동화된 대응 작업을 실행할 수 있습니다.
분석 및 조사 지원
Cortex는 수집된 인텔리전스를 기반으로 분석을 수행하고, 보안 분석가 및 대응자들이 사이버 공격 및 이슈에 대한 조사를 지원합니다.
자동화된 대응 작업
Cortex를 사용하면 자동화된 대응 작업을 설정할 수 있습니다. 특정 이벤트가 발생하면 Cortex는 설정된 작업을 자동으로 실행하여 빠르게 대응할 수 있도록 도와줍니다. 이러한 방식으로 Cortex는 다양한 보안 인텔리전스 소스에서 정보를 수집하고, 이를 활용하여 더 효과적으로 보안 이슈에 대응하고 분석할 수 있도록 지원합니다.
Cortex와 TheHive를 통합하려면 Cortex에 대한 Webhook을 TheHive에 설정해야 합니다. Webhook을 통해 TheHive에서 이벤트가 발생할 때마다 Cortex로 정보를 전달할 수 있습니다. 아래는 이 과정을 자세히 설명한 예시입니다.
Cortex 설정
- Cortex에 Analyzers 설치
먼저, Cortex에 사용하려는 Analyzers를 설치합니다. 예를 들어, VirusTotal Analyzer를 설치하는 방법은 다음과 같습니다.cortex-analyzer -c install -p cortex-analyzers/VirusTotal
- Cortex Webhook 설정
이와 같은 방식으로 다양한 Analyzers를 설치할 수 있습니다.Cortex에 TheHive로 Webhook을 설정합니다. 다음은 Cortex에 Webhook을 설정하는 예시입니다.cortex -c config set -k 'thehive:webhook:url' -v 'http://thehive.example.com:9000/cortex-webhook'
TheHive 설정
- TheHive에서 Webhook 생성
TheHive에서 Webhook을 생성하여 Cortex와 연결합니다. TheHive의 관리자로 로그인하고 다음 경로로 이동합니다. - 새로운 Webhook 추가
Admin > Webhooks
."Create a new Webhook" 버튼을 클릭하고 다음 정보를 입력합니다.- Name: Webhook의 이름 (예: Cortex)
- Url: Cortex에서 설정한 Webhook URL (http://cortex.example.com:9001)
- Save
변경 사항을 저장합니다.
TheHive에서 Cortex와 연동하기
- TheHive에서 Cortex 연동 설정
TheHive에서 Cortex와의 연동을 설정합니다. 이를 위해 TheHive의 관리자로 로그인하고 다음 경로로 이동합니다. - Cortex 추가
Admin > Cortex
."Create a new Cortex" 버튼을 클릭하고 다음 정보를 입력합니다.- Name: 연동할 Cortex 서버의 이름
- Url: 연동할 Cortex 서버의 URL (http://cortex.example.com:9001)
- Key: TheHive와 Cortex 간의 통신을 위한 키 (Cortex에서 생성된 키)
- Save
변경 사항을 저장합니다.
이제 TheHive와 Cortex가 연동되었습니다. TheHive에서 이벤트가 발생하면 Webhook을 통해 Cortex로 정보가 전달되어 분석이 자동으로 시작됩니다. 이를 통해 TheHive에서 받은 사건에 대한 분석 및 조사를 보다 효과적으로 수행할 수 있습니다.
이는 기본적인 설정 예시이며, 실제 환경에 따라 추가 구성이 필요할 수 있습니다. 또한, 보안 및 네트워크 구성에 따라 포트 및 URL을 조정해야 할 수 있습니다.
Cortex와 TheHive를 통합하면 보안 이슈에 대한 대응 및 조사 과정에서 여러 가지 효과를 볼 수 있습니다. 아래는 통합을 통해 어떤 효과를 얻을 수 있는지와 확인할 수 있는 주요 메뉴와 기능에 대한 설명입니다.
통합 효과
- 자동화된 분석
- Cortex는 다양한 Analyzers를 활용하여 자동 분석 작업을 수행합니다.
- 이로 인해 보안 분석가는 수동으로 반복 작업을 수행하지 않고도 빠르게 결과를 얻을 수 있습니다.
- 빠른 대응
- TheHive와 Cortex 통합을 통해 보안 이슈에 대한 자동화된 대응 작업을 설정할 수 있습니다.
- 특정 이벤트가 발생하면 Cortex는 설정된 대응 작업을 자동으로 실행하여 더 빠르게 대응할 수 있습니다.
- 효율적인 협업
- TheHive에서 수집한 정보와 Cortex에서 수행한 분석 결과를 기반으로 여러 사용자 간의 협업이 향상됩니다.
- 공동 조사 및 대응 작업을 위한 효율적인 환경이 제공됩니다.
확인할 메뉴 및 기능
- TheHive의 대시보드
- TheHive 대시보드에서는 분석된 이벤트 및 작업의 개요를 확인할 수 있습니다.
- TheHive의 케이스 및 태스크
- 케이스와 태스크를 통해 보안 이슈에 대한 조사 및 대응 상황을 확인할 수 있습니다.
- 자동화된 대응 작업의 실행 여부 및 결과를 확인할 수 있습니다.
- TheHive의 알림과 웹훅
- TheHive의 알림 섹션에서는 TheHive에서 발생한 이벤트에 대한 알림을 확인할 수 있습니다.
- Cortex로의 웹훅 통합이 올바르게 설정되었는지 확인하고, 작업이 어떻게 실행되었는지를 확인할 수 있습니다.
- Cortex의 작업 목록
- Cortex에서는 수행 중인 작업 및 해당 결과를 확인할 수 있는 작업 목록이 있습니다.
- 각 작업에 대한 세부 정보와 분석 결과를 확인하여 이해할 수 있습니다.
- Cortex의 대시보드 및 구성
- Cortex의 대시보드에서는 통합된 Analyzers의 상태와 성능을 확인할 수 있습니다.
- 구성 섹션에서는 TheHive와의 연동 및 Analyzers 설정을 확인하고 수정할 수 있습니다.
이러한 메뉴 및 기능을 통해 TheHive와 Cortex의 통합이 어떻게 진행되고 있는지를 확인할 수 있습니다. 초보자라면 먼저 케이스와 태스크를 통해 일반적인 보안 이슈에 대한 대응 및 조사 과정을 익히고, 이후에는 Cortex와의 연동을 통한 자동화된 기능들을 활용해보는 것이 좋습니다.
가정의 케이스를 통해 Cortex와 TheHive를 통합하여 실제 분석 및 대응하는 과정을 설명하겠습니다. 이 가정의 사례는 악성 이메일이 감지되었을 때의 대응을 다룹니다.
가정: 사용자가 의심스러운 이메일을 수신하고, 해당 이메일에 첨부된 파일이 악성 코드로 의심됩니다.
TheHive에서 대응
이벤트 등록
- TheHive 대시보드에서 "New Case"를 선택하여 새로운 사건을 등록합니다.
- 적절한 사례 제목과 설명을 입력합니다.
관련 태스크 할당
- 등록한 케이스에 대해 분석을 위한 태스크를 생성합니다.
- "New Case"에서 "Add Task"를 선택하여 태스크를 추가하고, 분석을 담당할 분석가를 할당합니다.
자세한 분석 정보 입력
- 해당 이메일의 중요 정보 및 첨부 파일 등을 케이스 및 태스크에 기록합니다.
Cortex를 활용한 자동 분석
Cortex에 작업 생성
- TheHive 대시보드에서 해당 사례의 태스크로 이동하여, "New Task"를 선택합니다.
- 할당된 태스크에 대해 Cortex 작업을 생성하고, 해당 작업에 필요한 분석 요청을 작성합니다.
Cortex에서 분석 실행
- Cortex 대시보드로 이동하여 작업 목록에서 새롭게 생성한 분석 작업을 확인합니다.
- 해당 작업을 실행하여, 악성 코드 검사, 도메인 레퍼러 등 다양한 Analyzers를 활용하여 자동 분석을 수행합니다.
분석 결과 확인
- TheHive 대시보드로 돌아와서 해당 태스크의 분석 결과를 확인합니다.
- 분석 결과에는 악성 코드 탐지 여부, 관련 IP 주소, 도메인 정보 등이 포함됩니다.
자동화된 대응
악성 이메일 식별
- Cortex 분석 결과에서 악성 코드 탐지 여부를 확인합니다.
자동 대응 작업 설정
- 이벤트가 악성으로 식별되면 TheHive에서 자동화된 대응 작업을 설정합니다.
- 예를 들어, 악성 파일이 첨부된 이메일을 사용자의 모든 장치에서 차단하는 작업을 설정할 수 있습니다.
TheHive에서 대응 확인
- 자동 대응 작업이 실행되었는지, 그리고 실행 결과를 확인합니다.
- 필요에 따라 추가 작업을 수행하거나 대응 조치를 수정합니다.
협업과 문서화
협업 및 토론
- TheHive를 사용하여 관련된 팀원들과 협업하고 토론합니다.
- 분석 결과에 대한 추가 의견이나 조치를 공유하고, 조사의 진행 상황을 실시간으로 추적합니다.
문서화
- 조사 및 대응 과정을 TheHive에 문서화하여, 향후 비슷한 사건에 대한 대응을 개선할 수 있도록 합니다.
이와 같은 단계를 통해 Cortex와 TheHive를 활용하여 악성 이메일과 같은 보안 이슈에 대한 효과적인 대응 및 조사를 수행할 수 있습니다.
댓글