위협 분석

엔드포인트에서 수집한 이벤트를 바탕으로, 위협 탐지엔진에 의해 위협이 탐지되면 관리콘솔에서 위협 상세 정보를 확인할 수 있습니다.

분석 > 위협 모니터링 에서 확인할 수 있는 정보는 아래와 같습니다.

항목

설명

상태별 위협 현황

신규: 신규로 탐지된 위협 숫자 입니다.
처리중: 담당자가 위협 관리에서 '내가 담당하기' 버튼을 클릭하여 검토하고 있는 위협 숫자 입니다.
해결됨: 담당자가 위협 관리에서 '내가 담당하기' 버튼을 클릭하여 위협 판정(악성/안전/보류)을 완료 한 숫자 입니다.
해결됨 숫자는 해결된 위협 포함 을 선택해야 표시 됩니다.

엔드포인트 현황

UP: 에이전트가 설치된 엔드포인트 중 동작(UP)중인 엔트포인트 수 입니다.
DOWN:에이전트가 설치된 엔드포인트 중 동작안함(DOWN)상태인 엔트포인트 수 입니다.
삭제됨: 에이전트가 삭제된 엔드포인트 수 입니다.
격리됨: 네트워크 차단(격리) 상태인 엔드포인트 수 입니다.엔드포인트가 차단(격리) 상태여도 EDR 서버와 통신이 가능합니다.

최근 탐지 위협

최근 5건의 위협 발생 정보를 표시합니다.(1시간 이내이면 노란색 백그라운드)

위협 표시 설정

해결된 위협 포함 : 위협 탐지 시 관리자 확인이 완료된 위협까지 포함하여 표시할 지를 설정합니다.

검색 날짜:
최소 오늘부터 최대 1개월까지의 위협 현황을 검색합니다. 날짜 검색 범위는 아래와 같습니다.
ex) 현재시각이 2021-06-06 13:00 인 경우

오늘:2021-06-06 00:00 ~2021-06-06 23:59
어제:2021-06-05 00:00 ~2021-06-05 23:59
이번주:2021-06-04 00:00 ~2021-06-10 23:59
지난주:2021-05-28 00:00 ~2021-06-03 23:59
1일 :2021-06-05 00:00 ~2021-06-06 23:59
1주일 :2021-05-30 00:00 ~2021-06-06 23:59
1개월 :2021-05-06 00:00 ~2021-06-06 23:59

인쇄 : 위협 모니터링 화면을 인쇄합니다.
자동갱신: 위협 모니터링 화면을 1분마다 갱신합니다.
전체화면보기: 위협 모니터링 화면을 전체 화면으로 표시합니다.

위협통계-최근 위협 현황

전체 위협 : 파일/프로세스(IOC,머신러닝,YARA) , 악성IP, 배치 탐지 전체 항목에 대한 탐지 숫자 입니다.
감염 : 위협 파일/프로세스(IOC,머신러닝,YARA,배치탐지) 에 대한 탐지 숫자 입니다.
악성IP : 악성IP로 등록된 정보를 탐지한 숫자 입니다.
이상행위 : 이상행위 정책에 의해 탐지된 위협 숫자 입니다.
배치 : 배치를 탐지한 숫자 입니다.
배치탐지란 에이전트가 PC 정보를 전송한 후 IOC DB가 업데이트 되면 일정 기간(default:3일)동안 수집한
정보를 확인하여 새로 업데이트 된 위협이 있는 지 분석하는 역할을 합니다.(매일 02:00 수행, 06:00 이내에 종료)

해결된 위협 포함 여부에 따라 탐지 숫자가 달라집니다.

다수의 단말에 분포된 악성코드 TOP 10

악성코드의 MD5를 기준으로 목록이 표시되며, 숫자 박스는 해당 악성코드가 발생한 단말 수를 표시합니다.

다수 단말에 분포된 이상행위 TOP 10

이상행위정책을 기준으로 목록이 표시되며, 숫자 박스는 해당 이상행위정책을 탐지한 단말 수를 표시합니다.

다수 위협이 발생한 단말 TOP 10

인증사용자명/호스트명/IP/부서명 으로 위협(악성코드+이상행위) 탐지 수를 표시합니다. 설정 아이콘 클릭 시 표시 기준을 선택할 수 있습니다.
탐지 시 갯수에 따라 숫자 바탕의 색이 달라집니다. (8개이하-옅은색, 8개이상-짙은색)

위협 탐지 비율

탐지된 위협의 종류(IOC,CTI,ML,MaliciosIP,YARA, 이상행위 분류별)가 1가지 이상인 경우 위협 발생 비율을 표시합니다.

이벤트 발생량 추이

endpoint2 인덱스를 기준으로 오늘, 어제, 주간 평균 이벤트 발생량을 그래프로 표시합니다.

관심 행위 지표

endpoint2 인덱스에 기록된 Tag 정보를 표시합니다. (자주 발생하지 않는 순으로 크게 표시,최대 25개)
Tag 클릭 시 이벤트 조사 목록으로 이동, 위협 모니터링 화면에 설정되었던 검색 날짜를 기준으로 해당 Tag가 발생한 이벤트 목록을 표시합니다.

사용자정의 태그

특정 이벤트에 대해 관리자가 Tag를 생성하여 설정할 수 있으며, 관리자가 설정한 Tag 에 대한 정보를 표시합니다.

위협 탐지 정보

위협 분석 상세 페이지에서는 위협의 상세 분석 정보 확인 및 위협 대응 처리, 샘플 수집 및 분석에 필요한 정보들을 확인할 수 있습니다.

항목

설명

파일명

위협으로 탐지된 프로세스 OR 파일명을 표시합니다. 최종탐지시각 및 탐지 분류/탐지 세부분류, 태그정보를 표시합니다.

인쇄 아이콘

상세 정보 화면을 인쇄하는 기능을 제공합니다.

위협 관리(신규)

위협관리- 위협 탐지 시 관리자가 확인 후 대응을 다르게 하거나, 오탐의 경우 다음에 탐지되지 않도록 예외처리할 수 있는 기능을 제공합니다.

기본 정보

기본 정보 페이지에서는 탐지된 위협에 대한 정보 및 파일 정보, 악성파일의 MD5 hash 또는 IP 정보가 알려진 파일인지 검색이 가능한 외부 링크를 표시합니다.

항목

설명

탐지 지표

위협을 탐지한 엔진 종류 및 위협 정보를 표시합니다.

위협 정보

수행 프로세스: 위협 탐지된 프로세스 정보를 표시합니다.
위협 분류(악성코드일때만 표시): IOC DB 또는 파일평판조회를 통해 미리 정의되어 있는 악성코드의 유형을 표시합니다.
Adware, Backdoor, Browser, Dialer, Downloader, Exploit, Hacktool, Infostealer, Keylogger, Malware, Network, PUA, Packed, Ransomware, Rogue, Rootkit, Spyware, Trojan, Virus, Worm
위협명(악성코드일때만 표시): 위협명을 표시합니다.
샘플 타입(악성코드일때만 표시): 샘플 타입을 표시합니다.
이벤트: 위협이 탐지된 이벤트 종류를 표시합니다. (file,process, network, module)
요약 내용: 미리 정의된 악성코드 및 이상행위에 대한 정보를 표시합니다.
MITRE ATT&CK: 이상행위에 의한 탐지 시 미리 정의된 MITRE ATT&CK 정보가 있는 경우 표시되며, 클릭 시 관련 정보를 확인할 수 있는 외부 링크로 연결됩니다.

위협 관리 정보

위협 판정: 관리자가 위협 관리에서 악성 여부(악성, 안전, 보류)를 분류한 정보 입니다.
대응 정책: 관리자가 위협 관리에서 위협 탐지시 대응 정책(알람, 프로세스 종료, 파일 삭제)을 설정한 정보 입니다.
처리 상태: 위협 처리 현황(신규, 처리중, 해결됨)을 표시합니다.
담당자(ID): 위협 관리에서 위협 상태를 변경한 관리자 ID를 표시합니다.

탐지 시각

LOCAL: 내부(LOCAL)에서 해당 위협이 탐지된 시각
GLOBAL: 악성코드 탐지 시 Ecosystem 이 연동되어있으면 평판조회시스템에 위협이 탐지된 시각정보

악성파일 정보

위협 탐지된 파일에 대한 파일명, 파일경로, 파일타입, 파일크기, 파일 속성값에 등록된 버전, 언어, 저작권, 아키텍쳐, 실행파일 타입, MD5, SHA-256, 전자서명 정보를 표시합니다. (FileMaster 인덱스 정보)

외부 링크

악성파일의 MD5 hash 또는 IP 정보가 알려진 파일인지 외부 링크를 통해 검색할 수 있습니다. 외부 링크는 관리 > 설정 > 속성 관리 > 외부 링크 관리 에서 편집할 수 있습니다.

단말별 탐지 정보

탐지된 위협이 다수의 단말에서 탐지된 경우 단말별 탐지 정보에서 단말 목록을 확인할 수 있습니다. 10개 단말까지 표시되며, 더 많은 단말에서 탐지된 경우 모든 단말 이벤트 검색 버튼을 클릭하면 해당 위협이 탐지된 모든 단말 목록을 확인할 수 있습니다.

항목

설명

상태

엔드포인트의 동작 상태를 표시합니다.

사용자 IP

IP 를 표시합니다.

사용자명

위협 탐지 단말이 Genian NAC에 의해 인증받은 사용자인 경우, 인증사용자 명을 표시합니다.

호스트명

위협 탐지 단말의 호스트명을 표시합니다.

개별대응정책

악성 파일 또는 악성IP에 대해 즉시 대응 또는 예외처리가 필요한 경우 위협관리 화면에서 설정할 수 있습니다.

단말별 동일 위협 세부정보

동일한 파일이 여러번 탐지 될 경우 탐지 경로 및 탐지 정보, 대응결과를 표시합니다.

최초탐지시각

해당 단말에 위협이 최초로 탐지된 시각을 표시합니다.

최종탐지시각

해당 단말에 위협이 마지막으로 탐지된 시각을 표시합니다.

분석 지표

분석 지표에서는 연관 위협 지표와 연관 행위 지표, 유사도지표, AI 분석 지표 정보를 표시합니다.

항목

설명

연관 위협 지표

위협이 마지막으로 탐지된 단말과 해당 단말에서 발생한 모든 위협 탐지 정보를 표시합니다.

연관 행위 지표

위협과 연관된 모든 프로세스의 이벤트에 Tag 정보가 존재하는 경우 해당 Tag를 연관 행위 지표 정보로 표시하고,
클릭 시 이벤트 조사 목록으로 이동합니다.

유사도지표

의심악성파일 탐지 시 알려진 악성파일의 변종인지 여부를 Ecosystem을 통해 조회하고, 유사도 정보를 표시합니다.
새로고침 아이콘 클릭 시 Ecosystem에 최신 정보를 한번 더 조회합니다.

AI 분석 지표

ML에서 탐지한 정보로 악성코드의 위협분류 및 위협명을 예측한 지표를 제공합니다.
Type: 악성코드의 위협 종류(Adware, Trojan, Virus 등..)에 대한 분석 지표
Family: 악성코드의 FamilyName에 대한 분석 지표
분석시각: AI 지표를 만들어낸 시각

공격 스토리 라인

에이전트는 엔드포인트에서 실행하는 process, connection, file, module 정보와 함께 PID(Process Identification Number) 및 PPID(Parent Process Identification Number)정보, 에이전트 동작 시간 정보를 수집합니다.

공격 히스토리 라인 페이지에서는 에이전트가 동작하는 시간동안 위협으로 탐지된 프로세스의 PID, PPID, Device-id, EventTime 정보를 조합하여 위협 프로세스를 기준으로 해당 프로세스의 부모 프로세스, 위협 프로세스가 실행한 module 정보, 자식 프로세스 정보 및 위협 프로세스의 connection 정보를 표시합니다.

동일한 파일이 여러 엔드포인트에서 탐지된 경우, 최종 탐지(최신)된 엔드포인트를 대상으로 한 연결 정보를 제공합니다.