2023년 4월 6일
Cobalt Strike 공격에 대응하기 위해 오픈 소스 위협 인텔리전스를 활용하는 방법
더 읽어보기
Swimlane은 광범위한 기본 통합 기능과 API 우선 아키텍처를 통해 모든 조직의 기존 보안 스택과 간편하게 상호 운용할 수 있도록 지원합니다. 또한 일반적인 스크립팅 언어와 RESTful API를 사용하여 새로운 맞춤형 애플리케이션과의 통합도 손쉽게 개발할 수 있습니다.
Swimlane과 VirusTotal의 새로운 파트너십은 이러한 접근 방식을 실제로 보여주는 훌륭한 사례입니다. 이번 2부작 블로그 시리즈에서는 먼저 두 회사가 어떻게 협력하는지 살펴보고, 2부에서는 이 강력한 기술 통합을 실제로 적용하려는 사용자를 위한 단계별 지침을 공유하겠습니다.
VirusTotal의 새로운 VT Augment Widget 기능은 Swimlane 및 기타 애플리케이션이 Swimlane 플랫폼 내에서 최신 위협 인텔리전스를 표시할 수 있도록 지원하며, 즉시 실행 가능한 인텔리전스 탐지율도 제공합니다.
이를 통해 분석가는 최신의 가장 실행 가능한 정보를 심층적으로 분석할 수 있으며, 단일 API 호출을 통해 초기 분류 및 우선순위 지정을 자동화할 수 있습니다.
작동 방식
Swimlane에 새로운 VT 증강 기능을 통합하기 위해 먼저 솔루션 아키텍처를 어떻게 설계할지 결정해야 했습니다. 다음과 같은 워크플로가 결정되었으며, 여기서:
-
피싱 이메일이나 XDR 경고와 같은 소스 경고가 스윔레인 플랫폼에 입력됩니다.
- 스윔레인은 소스 경고를 분석하여 실행 가능한 침해 지표(IOC)를 찾습니다.
-
외부 IP 주소
-
도메인
-
URL
-
파일 해시값(SHA1/SHA256/MD5)
-
3. Swimlane은 우리 조직의 API 키를 사용하여 VT Augment에 쿼리를 보냅니다. /위젯/url 엔드포인트에 다음 매개변수를 전달합니다.
-
쿼리: 평판 정보를 얻고자 하는 IOC(국제 석유 회사) (필수)
-
fg1: 위젯 메인 텍스트에 사용할 원하는 16진수 색상 코드 (선택 사항)
-
bg1: 원하는 기본 배경색(16진수 형식, 선택 사항)
-
bg2: 원하는 보조 배경색(16진수 형식, 선택 사항)
-
bd1: 원하는 테두리 색상(16진수, 선택 사항)
4. VT Augment 엔드포인트는 다음과 같은 데이터 포인트를 JSON 형식으로 응답합니다.
-
url: VT 증강 위젯을 표시하기 위한 iframe src로 사용할 URL입니다.
- 검출률:
-
감지 횟수: VT 엔진 양성 감지 횟수
-
총계: 스캔한 엔진 수
5. 반환된 탐지율은 IOC의 악성 여부를 초기 판단하는 데 사용될 수 있으며, 우선순위 지정 또는 IOC의 특성 자동 판단에 기반한 모든 자동화 작업에도 활용될 수 있습니다.
6. 반환된 URL은 스윔레인 위젯의 iframe에 삽입되어 수동 분석을 위해 준비된 상태로 유지됩니다.
7. 분석가가 IOC에 대한 위협 인텔리전스 기록을 열면 위젯이 자동으로 렌더링되어 VirusTotal의 VT Augment에서 제공하는 조사 결과 전체를 표시합니다. /위젯/html 종점.
2부에서는 스윔레인(Swimlane)의 위협 인텔리전스 애플리케이션에 VT 증강 기능을 추가하는 과정을 살펴보겠습니다.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español