Threat Intelligence Director 개요
Threat Intelligence Director는 위협 인텔리전스 데이터를 운용하여 인텔리전스 데이터 집계, 방어 작업 구성, 환경 내 위협 분석에 도움이 됩니다. 이 기능은 다른 Firepower 기능을 보완하기 위한 것이며, 위협에 대한 추가 방어선을 제공합니다.
호스팅 플랫폼에 구성할 경우, TID는 위협 인텔리전스 소스에서 데이터를 수집하여 구성된 모든 매니지드 디바이스(요소)에 게시합니다. 호스팅 플랫폼과 이 릴리스에서 지원되는 요소에 대한 자세한 내용은 플랫폼, 요소 및 라이선스 요구 사항를 참조하십시오.
소스에는 관찰 가능 개체를 포함하는 지표가 포함됩니다. 지표는 위협과 관련된 모든 특성을 전달하고, 개별적인 관찰 가능 개체는 위협과 관련된 개별적 특성(예: SHA-256 값)을 나타냅니다. 간단한 지표에는 하나의 관찰 가능 개체가 포함되고 복잡한 지표에는 둘 이상의 관찰 가능 개체가 포함됩니다.
관찰 가능 개체와 관찰 가능 개체 사이의 AND/OR 연산자는 다음 예에서 보듯 지표의 패턴을 형성합니다.
관찰 가능 개체가 요소에 게시된 후 요소는 시스템이 트래픽에서 관찰 가능 개체를 식별할 때 트래픽을 모니터링하여 관찰 가능 개체를 FMC에 보고합니다.
FMC는 모든 요소에서 관찰을 수집하고, TID 지표를 기준으로 관찰을 평가하며, 관찰 가능 개체의 상위 지표에 연결된 인시던트를 생성하거나 업데이트합니다.
인시던트는 지표의 패턴이 처리될 때 완전히 실현됩니다. 트래픽이 지표의 관찰 가능 개체 하나 이상과는 일치하지만 전체 패턴과는 일치하지 않는 경우, 인시던트가 부분적으로 실현됩니다. 자세한 내용은 관찰 및 인시던트 생성를 참고하십시오.
다음 다이어그램은 샘플 시스템 구성에서의 데이터 흐름을 보여줍니다.
TID가 완전히 또는 부분적으로 실현되면 시스템은 구성된 작업(모니터링, 차단, 부분적으로 차단 또는 작업 없음)을 수행합니다. 자세한 내용은 수행하는 작업에 영향을 미치는 요소를 참조하십시오.
TID 및 보안 인텔리전스
액세스 제어 정책의 일환으로 보안 인텔리전스는 평판 인텔리전스를 사용하여 IP 주소, URL, 도메인과의 연결을 신속하게 차단합니다. 보안 인텔리전스는 업계를 선도하는 Talos 인텔리전스 그룹의 위협 인텔리전스에 대한 고요한 액세스를 제공합니다. Security Intelligence(보안 인텔리전스)에 대한 자세한 내용은 보안 인텔리전스 정보를 참고하십시오.
TID 다음과 같이 서드파티 소스의 보안 인텔리전스에 따라 연결을 차단하는 시스템의 기능을 강화합니다.
-
TID는 추가 트래픽 필터링 기준을 지원합니다 - 보안 인텔리전스를 사용하여 IP 주소, URL 및 (DNS 정책이 활성화된 경우) 도메인 이름을 기반으로 트래픽을 필터링할 수 있습니다. TID는 또한 이러한 기준에 따른 필터링을 지원하며 SHA-256 해시 값에서의 필터링에 대한 지원을 추가합니다.
-
TID는 추가 인텔리전스 수집 방법을 지원합니다 - 보안 인텔리전스와 TID를 모두 사용하면 플랫 파일을 수동으로 업로드하거나 서드파티 호스트에서 플랫 파일을 검색하도록 시스템을 구성하여 위협 인텔리전스를 시스템으로 가져올 수 있습니다. TID는 이러한 플랫 파일 관리의 유연성을 높입니다. 또한 TID는 STIX™(Structured Threat Information eXpression) 형식으로 제공되는 인텔리전스를 검색하고 수집할 수 있습니다.
-
TID는 필터링 작업의 세분화된 제어를 제공합니다 - 보안 인텔리전스를 사용하여 네트워크, URL 또는 DNS 개체별로 필터링 기준을 지정할 수 있습니다. 보안 인텔리전스 개체(특히 목록 및 피드)는 여러 IP 주소, URL 또는 DNS 도메인 이름을 포함할 수 있지만 개체의 개별 요소가 아닌 전체 개체를 기준으로 차단 또는 차단 금지할 수 있습니다. TID를 사용하여 개별 기준(즉, 단순한 지표 또는 개별 관찰 가능 개체)의 필터링 작업을 구성할 수 있습니다.
-
TID 구성 변경에는 재구축이 필요 없습니다 - 액세스 제어 정책에서 보안 인텔리전스 설정을 수정한 후에는 변경된 구성을 매니지드 디바이스에 다시 구축해야 합니다. TID를 사용하면 액세스 제어 정책을 매니지드 디바이스에 처음 구축한 후 재구축 없이 소스, 지표, 관찰 가능 개체를 구성할 수 있으며, 시스템은 새로운 TID 데이터를 요소에 자동으로 게시합니다.
보안 인텔리전스 또는 TID가 특정 인시던트를 처리할 수 있을 때 시스템이 수행하는 작업에 대한 자세한 내용은 TID-FMC 작업 우선순위를 참조하십시오.
Threat Intelligence Director의 성능 영향
Firepower Management Center
경우에 따라 다음을 확인할 수 있습니다.
-
특별히 큰 STIX 소스를 수집하는 동안 시스템에 약간의 성능 문제가 발생할 수 있으며, 수집이 끝날 때까지 예상보다 시간이 더 걸릴 수 있습니다.
-
새롭거나 수정된 TID 데이터를 요소에 게시하는 데 최대 15분이 걸릴 수 있습니다.
매니지드 디바이스
특별한 성능상 영향은 없습니다. TID가 성능에 미치는 영향은 Firepower Management Center 보안 인텔리전스 기능과 동일합니다.