IOC에 등록되지 않은 데이터 처리 방법

Genian EDR은 IOC(Indicators of Compromise) Database를 이용하여 알려진 위협에 대한 탐지 및 대응이 가능합니다.
IOC Database의 경우 정기적으로 업데이트되지만 알려지지 않는 악성 프로그램이나 악의적인 IP를 관리자가 직접 등록하여 탐지하는 사용자정의 IOC 관리 기능을 제공하고 있습니다.
해당 악성 프로그램은 MD5 Hash 값을 등록하여 탐지할 수 있습니다.

Genian EDR 설정을 통해 에이전트 설치 시 수집한 정보에서 프로그램에 대한 MD5 HASH 값을 확인 가능합니다.

MD5 Hash 값 확인 방법

  1. 통합검색 > Endpoint 메뉴로 이동, 에이전트에서 수집한 프로세스 정보가 표시되며, 등록하고자 하는 파일의 목록을 더블클릭 합니다.
  2. 선택 가능 필드 항목 중, MD5 Hash 정보를 확인할 수 있습니다.

확인한 정보로 Hash 값을 등록하는 방법은 아래 해당하는 목록으로 이동하여 확인할 수 있습니다.

Malware Hash

  1. 정책 > 사용자정의 IOC 관리 > Malware Hash 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.
  2. 해시값은 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.
항목 설명
대응여부-탐지 Malware Hash 탐지 시 관리자 페이지의 분석 탭 대응 컬럼에 관련 정보 태그만 표시하며, 사용자 PC에 특별한 Action을 수행하지 않습니다.
대응여부-탐지및대응 Malware Hash 탐지 시 관리자 페이지의 분석 탭 대응 컬럼에 관련 정보 , 태그 및 Genian NAC 에서 설정한 Action (관리자 커스텀 태그) 을 수행합니다.
대응 설정은 Threat Detector 플러그인 설정을 따릅니다.
사전실행차단 Malware Hash로 등록된 데이터를 에이전트에서 가지고 있다가 hash가 일치하는 파일이 실행될 경우 즉시 차단하게 되며, 사용자 PC에 차단 알림 메시지를 표시합니다.

Malware Hash 수정

  1. 정책 > 사용자정의 IOC 관리 > Malware Hash 메뉴로 이동 후 수정할 hash 목록의 값을 클릭합니다.
  2. hash 값을 제외한 정보를 수정할 수 있습니다.
  3. hash 수정 페이지에서 외부 링크 버튼 클릭 시 미리 등록된 검색 사이트에서 해당 hash 값에 대한 정보를 조회할 수 있습니다.

Malware Hash 삭제

  1. 정책 > 사용자정의 IOC 관리 > Malware Hash 메뉴로 이동 후 삭제할 hash 목록의 체크박스를 선택합니다. 버튼이 활성화 되면 클릭합니다.
  2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.

Malicious IP

Malicious IP 추가

  1. 정책 > 사용자정의 IOC 관리 > Malicious IP 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.
  2. 구분을 통해 단일, 서브넷, 주소 범위를 선택할 수 있습니다. IP는 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.
항목 설명
대응여부-탐지 Malicious IP 탐지 시 관리자 페이지의 분석 탭 대응컬럼에 관련 정보 만 표시하며, 사용자 PC에 특별한 Action을 수행하지 않습니다.
대응여부-탐지및대응 Malicious IP 탐지 시 관리자 페이지의 분석 탭 대응컬럼에 관련 정보, 태그 및 설정한 Action (관리자 커스텀 태그) 을 수행합니다.
대응 설정은 Threat Detector 플러그인 설정을 따릅니다.

Malicious IP 수정

  1. 정책 > 사용자정의 IOC 관리 > Malicious IP 메뉴로 이동 후 수정할 IP 목록을 클릭합니다.
  2. IP를 제외한 정보를 수정할 수 있습니다.

Malicious IP 삭제

  1. 정책 > 사용자정의 IOC 관리 > Malicious IP 메뉴로 이동 후 삭제할 IP 목록의 체크박스를 선택합니다. 버튼이 활성화 되면 클릭합니다.
  2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.

Goodware Hash

IOC(Indicator Of Compromise, 침해지표)에 등록되어 탐지되었으나, 정상적인 파일로 판단되지만 IOC Database 업데이트가 되지않아 오탐(False Positive)이 발생하는 경우 관련 정보를 관리자가 직접 등록하여 예외처리 할 수 있습니다.

Goodware Hash 추가

  1. 정책 > 사용자정의 IOC 관리 > Goodware Hash 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.
  2. hash(MD5)값은 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.

Goodware Hash 수정

  1. 정책 > 사용자정의 IOC 관리 > Goodware Hash 메뉴로 이동 후 수정할 MD5 hash목록을 클릭합니다.
  2. hash(MD5)값을 제외한 정보를 수정할 수 있습니다.
  3. Goodware Hash 수정 페이지에서 외부 링크 버튼 클릭 시 미리 등록된 검색 사이트에서 해당 MD5 hash값에 대한 정보를 조회할 수 있습니다.

Goodware Hash 삭제

  1. 정책 > 사용자정의 IOC 관리 > Goodware Hash 메뉴로 이동 후 삭제할 MD5 hash 목록의 체크박스를 선택합니다. 버튼이 활성화 되면 클릭합니다.
  2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.

Good IP

Good IP 추가

  1. 정책 > 사용자정의 IOC 관리 > Good IP 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.
  2. 구분에서 단일, 서브넷, 주소 범위를 설정할 수 있습니다.
    단일 버튼을 클릭합니다. IP는 필수로 입력하고 기타 필요한 정보 입력 후 저장 버튼을 클릭합니다.
  3. 또한 Network Event일 경우 분석 > 위협 관리 > 공격 스토리 라인에서 사용자 정의 Good IP로 등록 버튼을 클릭해 Good IP를 추가할 수 있습니다.

Good IP 수정

  1. 정책 > 사용자정의 IOC 관리 > Good IP 메뉴로 이동 후 수정할 IP 목록을 클릭합니다.
  2. IP를 제외한 정보를 수정할 수 있습니다.

Good IP 삭제

  1. 정책 > 사용자정의 IOC 관리 > Good IP 메뉴로 이동 후 삭제할 IP 목록의 체크박스를 선택합니다. 버튼이 활성화 되면 클릭합니다.
  2. 확인 팝업창이 발생하며 확인 버튼을 클릭합니다.