IOC 기반 탐지

IOC(Indicator Of Compromise, 침해지표) 는 전 세계에서 발생 및 기록되는 침해사고의 흔적들을 수집하고 이 정보들을 별도의 DB로 관리하고 있으며,

Insights E 정책서버는 외부의 IOC DB 서버와 주기적으로 통신하여 최신 위협 정보를 업데이트 하고 있습니다.

폐쇄망 환경에서는 정책서버에 월 단위의 IOC DB를 직접 업데이트 할 수 있습니다.

엔드포인트에서 파일, 프로세스에 대한 이벤트가 발생하면 정책서버의 위협탐지(Threat Detector)엔진이 IOC DB에 해당 파일의 Hash값이 등록되어 있는 지 확인합니다.

파일정보가 등록되어 있는 경우, 해당 파일은 알려진 위협 으로 분류되며, IOC에 등록된 신뢰도,위험도,악성코드의 종류 정보를 확인할 수 있습니다.

IOC DB에 파일 정보가 등록되어 있지 않다면, 머신러닝 정보를 확인합니다.

• IOC에 등록되지 않은 데이터 처리 방법