Phase 5 - 위협 분석

엔드포인트에서 수집한 이벤트를 바탕으로, 위협 탐지엔진에 의해 위협이 탐지되면 관리콘솔에서 위협 상세 정보를 확인할 수 있습니다.

분석 > 위협 모니터링 에서 확인할 수 있는 정보는 아래와 같습니다.

항목

설명

상태별 위협 현황

  • 신규: 신규로 탐지된 위협 숫자 입니다.

  • 처리중: 담당자가 위협 관리에서 '내가 담당하기' 버튼을 클릭하여 검토하고 있는 위협 숫자 입니다.

  • 해결됨: 담당자가 위협 관리에서 '내가 담당하기' 버튼을 클릭하여 위협 판정(악성/안전/보류)을 완료 한 숫자 입니다.

  • 해결됨 숫자는 해결된 위협 포함 을 선택해야 표시 됩니다.

엔드포인트 현황

  • UP: 에이전트가 설치된 엔드포인트 중 동작(UP)중인 엔트포인트 수 입니다.

  • DOWN: 에이전트가 설치된 엔드포인트 중 동작안함(DOWN)상태인 엔트포인트 수 입니다.

  • 삭제됨: 에이전트가 삭제된 엔드포인트 수 입니다.

  • 격리됨: 네트워크 차단(격리) 상태인 엔드포인트 수 입니다. 엔드포인트가 차단(격리) 상태여도 Insights E 서버와 통신이 가능합니다.

최근 탐지 위협

최근 5건의 위협 발생 정보를 표시합니다. (1시간 이내이면 노란색 백그라운드)

위협 표시 설정

해결된 위협 포함: 위협 탐지 시 관리자 확인이 완료된 위협까지 포함하여 표시할 지를 설정합니다.

검색 날짜: 최소 오늘부터 최대 1개월까지의 위협 현황을 검색합니다. 날짜 검색 범위는 아래와 같습니다. (ex: 현재시각이 2021-06-06 13:00 인 경우)

  • 오늘: 2021-06-06 00:00 ~ 2021-06-06 23:59

  • 어제: 2021-06-05 00:00 ~ 2021-06-05 23:59

  • 이번주: 2021-06-04 00:00 ~ 2021-06-10 23:59

  • 지난주: 2021-05-28 00:00 ~ 2021-06-03 23:59

  • 1일: 2021-06-05 00:00 ~ 2021-06-06 23:59

  • 1주일: 2021-05-30 00:00 ~ 2021-06-06 23:59

  • 1개월: 2021-05-06 00:00 ~ 2021-06-06 23:59

기타 기능:

  • 인쇄: 위협 모니터링 화면을 인쇄합니다.

  • 자동갱신: 위협 모니터링 화면을 1분마다 갱신합니다.

  • 전체화면보기: 위협 모니터링 화면을 전체 화면으로 표시합니다.

위협통계-최근 위협 현황

  • 전체 위협: 파일/프로세스(IOC,머신러닝,YARA), 악성IP, 배치 탐지 전체 항목에 대한 탐지 숫자 입니다.

  • 감염: 위협 파일/프로세스(IOC,머신러닝,YARA,배치탐지) 에 대한 탐지 숫자 입니다.

  • 악성IP: 악성IP로 등록된 정보를 탐지한 숫자 입니다.

  • 이상행위: 이상행위 정책에 의해 탐지된 위협 숫자 입니다.

  • 배치: 배치를 탐지한 숫자 입니다. (배치탐지란 에이전트가 PC 정보를 전송한 후 IOC DB가 업데이트 되면 일정 기간(default: 3일)동안 수집한 정보를 확인하여 새로 업데이트 된 위협이 있는 지 분석하는 역할을 합니다. 매일 02:00 수행, 06:00 이내에 종료)

해결된 위협 포함 여부에 따라 탐지 숫자가 달라집니다.

다수의 단말에 분포된 악성코드 TOP 10

악성코드의 MD5를 기준으로 목록이 표시되며, 숫자 박스는 해당 악성코드가 발생한 단말 수를 표시합니다.

다수 단말에 분포된 이상행위 TOP 10

이상행위정책을 기준으로 목록이 표시되며, 숫자 박스는 해당 이상행위정책을 탐지한 단말 수를 표시합니다.

다수 위협이 발생한 단말 TOP 10

인증사용자명/호스트명/IP/부서명 으로 위협(악성코드+이상행위) 탐지 수를 표시합니다. 설정 아이콘 클릭 시 표시 기준을 선택할 수 있습니다.

탐지 시 갯수에 따라 숫자 바탕의 색이 달라집니다. (8개이하-옅은색, 8개이상-짙은색)

위협 탐지 비율

탐지된 위협의 종류(IOC, CTI, ML, MaliciousIP, YARA, 이상행위 분류별)가 1가지 이상인 경우 위협 발생 비율을 표시합니다.

이벤트 발생량 추이

endpoint2 인덱스를 기준으로 오늘, 어제, 주간 평균 이벤트 발생량을 그래프로 표시합니다.

관심 행위 지표

endpoint2 인덱스에 기록된 Tag 정보를 표시합니다. (자주 발생하지 않는 순으로 크게 표시, 최대 25개)

Tag 클릭 시 이벤트 조사 목록으로 이동, 위협 모니터링 화면에 설정되었던 검색 날짜를 기준으로 해당 Tag가 발생한 이벤트 목록을 표시합니다.

사용자정의 태그

특정 이벤트에 대해 관리자가 Tag를 생성하여 설정할 수 있으며, 관리자가 설정한 Tag 에 대한 정보를 표시합니다.