토픽 87 / 210·보안 운영 및 위협 대응
TIP (Threat Intelligence Platform)
TIP (Threat Intelligence Platform)
다양한 소스(OSINT, 상용 피드, 내부 로그)에서 수집한 위협 인텔리전스를 통합, 분석, 배포하여 보안 운영에 실행 가능한 정보를 제공하는 플랫폼으로, IOC 관리, 위협 분석, SIEM/SOAR 연동을 지원
목적: 위협 정보 통합, 실행 가능한 인텔리전스, IOC 관리, 보안 도구 연동, 위협 분석 자동화
특징: 다중 소스 통합, IOC(Indicator of Compromise) 관리, STIX/TAXII 표준, 자동화
구성요소
- •수집(Collection): 피드 통합(OSINT, 상용, 내부), API 연동
- •분석(Analysis): 상관 분석, 컨텍스트 추가, 신뢰도 평가
- •저장(Storage): IOC DB, TTP 저장, 히스토리 관리
- •배포(Distribution): SIEM/SOAR 연동, 자동 차단, 경보
IOC 유형: IP 주소, 도메인, 파일 해시, URL, 이메일, TTP(MITRE ATT&CK)
표준 프로토콜
- •STIX(Structured Threat Information Expression): 위협 정보 표현 표준
- •TAXII(Trusted Automated Exchange of Intelligence Information): 위협 정보 교환 프로토콜
주요 플랫폼: MISP(오픈소스), ThreatConnect, Anomali, Recorded Future, IBM X-Force
장점: 위협 정보 중앙화, 자동화, 실시간 연동, 분석 효율, 협업
단점: 정보 과부하, 오탐 IOC, 컨텍스트 부족, 비용, 운영 인력
적용사례: SOC 위협 분석, 자동 IOC 차단, 위협 헌팅, 침해사고 대응
비교: TIP(인텔리전스 관리) vs SIEM(로그 분석) vs SOAR(자동 대응)
연관: 위협 인텔리전스, IOC, STIX/TAXII, SIEM, SOAR, MITRE ATT&CK