15Threat IndicatorsThreat Indicators

Indicator(지표) 는 사이버 영역에서 악성 활동을 나타내는 관찰 가능 항목(observable)의 묶음 으로, 그것을 어떻게 해석하고 다룰지에 대한 정보를 함께 담습니다. Observable(관찰 항목) 은 관찰할 수 있는 사건이나 상태 속성 으로, 예를 들어 IP 주소, MD5·SHA1·SHA256 파일 시그니처, URL, 메일 발신자 주소 입니다.

지표는 인텔리전스·자체 분석·정부·파트너 등 에서 나오며, 특정 관찰 패턴과 부가 정보 로 공격을 표현합니다. 즉 "이 IP/해시/URL이 보이면 위협"이라는 식의 맞춤 위협 목록 을 엔진에 주입하는 것입니다.

지표는 SmartConsole과 CLI 양쪽 으로 올릴 수 있습니다. SmartConsole에서는 파일이 Check Point CSV 형식 또는 STIX XML(STIX 1.0) 형식 이어야 하고, 모든 레코드의 필드 수가 같아야 로드됩니다.

올리기 전에 해당 프로파일 > Indicators > Activation에서 Enable indicator scanning 을 켜 둬야 합니다. 그다음 Custom이면 Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools > Indicators, Autonomous면 Autonomous Policy > Autonomous Policy Tools > Indicators 로 가서, New > New IOC file 로 고유한 이름을 주고 파일을 import 합니다(중복 파일·중복 이름 불가).

이렇게 Threat Indicators는 Check Point 기본 피드 위에 조직만의 위협 정보를 얹어 탐지 범위를 넓히는 도구입니다.