# IOC에 등록되지 않은 데이터 처리 방법

Genian EDR은 IOC(Indicators of Compromise) Database를 이용하여 알려진 위협에 대한 탐지 및 대응이 가능합니다.  
IOC Database의 경우 정기적으로 업데이트되지만 알려지지 않는 악성 프로그램이나 악의적인 IP를 관리자가 직접 등록하여 탐지하는 **사용자정의 IOC 관리** 기능을 제공하고 있습니다.  
해당 악성 프로그램은 MD5 Hash 값을 등록하여 탐지할 수 있습니다.

Genian EDR 설정을 통해 에이전트 설치 시 수집한 정보에서 프로그램에 대한 MD5 HASH 값을 확인 가능합니다.

## MD5 Hash 값 확인 방법

1. **통합검색 > Endpoint** 메뉴로 이동, 에이전트에서 수집한 프로세스 정보가 표시되며, 등록하고자 하는 파일의 목록을 더블클릭 합니다.

2. 선택 가능 필드 항목 중, MD5 Hash 정보를 확인할 수 있습니다.

확인한 정보로 Hash 값을 등록하는 방법은 아래 해당하는 목록으로 이동하여 확인할 수 있습니다.

## Malware Hash

1. 정책 > 사용자정의 IOC 관리 > Malware Hash 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.
2. 해시값은 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.

항목|설명
---|---
대응여부-탐지|Malware Hash 탐지 시 관리자 페이지의 분석 탭 대응 컬럼에 관련 정보  태그만 표시하며, 사용자 PC에 특별한 Action을 수행하지 않습니다.
대응여부-탐지및대응| Malware Hash 탐지 시 관리자 페이지의 분석 탭 대응 컬럼에 관련 정보  ,  태그 및 Genian NAC 에서 설정한 Action (관리자 커스텀 태그) 을 수행합니다. <br> 대응 설정은  Threat Detector 플러그인 설정을 따릅니다.
사전실행차단|Malware Hash로 등록된 데이터를 에이전트에서 가지고 있다가 hash가 일치하는 파일이 실행될 경우 즉시 차단하게 되며, 사용자 PC에 차단 알림 메시지를 표시합니다.

### Malware Hash 수정

1. 정책 > 사용자정의 IOC 관리 > Malware Hash 메뉴로 이동 후 수정할 hash 목록의 값을 클릭합니다.
2. hash 값을 제외한 정보를 수정할 수 있습니다.
3. hash 수정 페이지에서 외부 링크 버튼 클릭 시 미리 등록된 검색 사이트에서 해당 hash 값에 대한 정보를 조회할 수 있습니다.

### Malware Hash 삭제

1. 정책 > 사용자정의 IOC 관리 > Malware Hash 메뉴로 이동 후 삭제할 hash 목록의 체크박스를 선택합니다.  버튼이 활성화 되면 클릭합니다.
2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.

## Malicious IP

### Malicious IP 추가

1. **정책 > 사용자정의 IOC 관리 > Malicious IP** 메뉴로 이동 후 상단의 추가  버튼을 클릭합니다.
2. 구분을 통해 단일, 서브넷, 주소 범위를 선택할 수 있습니다. IP는 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.

항목|설명
---|---
대응여부-탐지| Malicious IP 탐지 시 관리자 페이지의 분석 탭 대응컬럼에 관련 정보  만 표시하며, 사용자 PC에 특별한 Action을 수행하지 않습니다.
대응여부-탐지및대응| Malicious IP 탐지 시 관리자 페이지의 분석 탭 대응컬럼에 관련 정보, 태그 및 설정한 Action (관리자 커스텀 태그) 을 수행합니다.<br> 대응 설정은 Threat Detector 플러그인 설정을 따릅니다.

### Malicious IP 수정

1. **정책 > 사용자정의 IOC 관리 > Malicious IP** 메뉴로 이동 후 수정할 IP 목록을 클릭합니다.
2. IP를 제외한 정보를 수정할 수 있습니다.

### Malicious IP 삭제

1. **정책 > 사용자정의 IOC 관리 > Malicious IP** 메뉴로 이동 후 삭제할 IP 목록의 체크박스를 선택합니다.  버튼이 활성화 되면 클릭합니다.
2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.

## Goodware Hash

IOC(Indicator Of Compromise, 침해지표)에 등록되어 탐지되었으나, 정상적인 파일로 판단되지만 IOC Database 업데이트가 되지않아 오탐(False Positive)이 발생하는 경우
관련 정보를 관리자가 직접 등록하여 예외처리 할 수 있습니다.  

### Goodware Hash 추가

1. **정책 > 사용자정의 IOC 관리 > Goodware Hash** 메뉴로 이동 후 상단의 추가  버튼을 클릭합니다.
2. hash(MD5)값은 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.

### Goodware Hash 수정

1. **정책 > 사용자정의 IOC 관리 > Goodware Hash** 메뉴로 이동 후 수정할 MD5 hash목록을 클릭합니다.
2. hash(MD5)값을 제외한 정보를 수정할 수 있습니다.
3. Goodware Hash 수정 페이지에서 외부 링크 버튼 클릭 시 미리 등록된 검색 사이트에서 해당 MD5 hash값에 대한 정보를 조회할 수 있습니다.

### Goodware Hash 삭제

1. **정책 > 사용자정의 IOC 관리 > Goodware Hash** 메뉴로 이동 후 삭제할 MD5 hash 목록의 체크박스를 선택합니다.  버튼이 활성화 되면 클릭합니다.
2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.

## Good IP

### Good IP 추가

1. **정책 > 사용자정의 IOC 관리 > Good IP** 메뉴로 이동 후 상단의 `추가`  버튼을 클릭합니다.
2. 구분에서 단일, 서브넷, 주소 범위를 설정할 수 있습니다.  
   단일 버튼을 클릭합니다. IP는 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.
3. 또한 Network Event일 **경우 분석 > 위협 관리 >  공격 스토리 라인**에서 사용자 정의 `Good IP로 등록` 버튼을 클릭해 Good IP를 추가할 수 있습니다.

### Good IP 수정

1. **정책 > 사용자정의 IOC 관리 > Good IP** 메뉴로 이동 후 수정할 IP 목록을 클릭합니다.
2. IP를 제외한 정보를 수정할 수 있습니다.

### Good IP 삭제

1. **정책 > 사용자정의 IOC 관리 > Good IP** 메뉴로 이동 후 삭제할 IP 목록의 체크박스를 선택합니다.  버튼이 활성화 되면 클릭합니다.
2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.