Genian EDR V2.0.106 Release Notes (2022/08)
Release Date: 2022/08
Security Patch
| Key | Description |
|---|---|
| 6722 | 서버 kafka 버전 2.13-3.2.3 패치 (CVE-2022-34917) |
New Features
| Key | Description |
|---|---|
| 5558 | 관리자가 등록한 조건과 같은 이벤트 발생 시 태그를 설정하는 이벤트 태그 정의 기능 추가 |
| 5658 | 기본 이벤트 외에 관리자가 등록한 조건과 같은 이벤트를 수집하는 기능 추가 |
| 6112 | 엔드포인트 목록에서 악성 파일이 아닌 일반 PE, Script 파일을 수집할 수 있는 기능 추가 |
| 6113 | 단말/그룹 단위의 아티팩트 수집 및 네트워크 격리를 위한 REST API 추가 |
Improvements
| Key | Description |
|---|---|
| 5340 | Elasticsearch의 주요 index에만 replica를 설정하여 장애 발생 시 데이터 수집 및 데이터 검색이 가능한 구조로 개선하였습니다. |
| 5859 | FileUpload 이벤트 탐지 시 사용자의 파일 첨부 행위를 추가로 감지하여 이벤트 탐지의 정확도를 개선하였습니다. |
| 5877 | 암호 무작위 대입 공격(BruteForce) 탐지 방식을 네트워크 세션 탐지 방식에서 윈도우 이벤트 임계치 기반으로 탐지하도록 개선하였습니다. |
| 5901 | Powershell은 커맨드라인을 Encoding하는 기능이 있는데, 커맨드라인이 Encoding된 경우 Decoding하여 JsonInfo 필드에 기록하도록 개선하였습니다. |
| 6102 | 데이터 원본 보기 화면에 특정 함수로 파싱한 데이터가 중복으로 표시되던 문제를 개선하였습니다. |
| 6104 | Endpoint 이벤트 중에서 확장자를 저장하는 Ext, Ext2 필드를 Aggregation 가능하도록 하고, 에이전트에서 확장자 정보를 lowercase 처리하도록 개선하였습니다. |
| 6110 | 관리서버 리소스를 확인할 수 있도록 네트워크 트래픽 현황 위젯을 기본 대시보드에 추가하였습니다. |
| 6111 | 위협 대응에 의해 삭제된 파일을 관리자가 복원할 수 있는 기능을 추가하였습니다. |
| 6119 | 이상행위 기본 룰셋의 개별 항목을 복사하여 Custom Rule로 등록할 수 있도록 복사 기능을 추가하였습니다. |
| 6121 | 수집된 아티팩트 데이터에 대해 정규표현식 검색이 가능하도록 개선하였습니다. |
| 6125 | 아티팩트 수집 시 미리 정의된 윈도우 이벤트만 수집이 가능했으나, 윈도우 이벤트 전체 항목에 대해 수집이 가능하도록 개선하였습니다. |
| 6198 | 레지스트리 Hive를 G-Report에서 검색할 수 있도록 개선하였습니다. |
| 6205 | 윈도우 이벤트 로그 수집 시 채널 하나 당 쓰레드 한 개를 생성하는 구조에서, 단일 쓰레드로 여러 채널을 수집할 수 있도록 개선하였습니다. |
| 6207 | custom XBA로 설정한 윈도우 이벤트가 진단된 경우, 위협 관리 화면에서 기존 XBA 진단 건과 동일한 방식으로 안전(예외)처리/대응(강제종료, 알림 등) 기능이 동작하도록 개선하였습니다. |
| 6238 | 단말에 아티팩트가 확보되어 있는 경우, 1시간마다 서버로 자동 전송할 수 있는 설정을 추가하였습니다. |
| 6263 | 파일 히스토리 분석 화면에 표시할 내용이 많은 경우 레이아웃을 벗어나 표시하고 있었는데, 한 화면에 표시할 수 있는 목록 갯수를 설정할 수 있도록 개선하였습니다. |
| 6275 | 에이전트 패키지 생성 시 자체보호 모듈에 제품 버전이 반영되도록 개선하였습니다. |
| 6356 | 머신러닝 모델이 업데이트 되었습니다. |
Issues Fixed
| Key | Description | Affects Version/s |
|---|---|---|
| 4430 | ES ClusterName 변경 시 ThreatDetector 가 Elasticsearch에 접속하지 못하던 문제가 수정되었습니다. | 2.0.9 |
| 6019 | 에이전트 삭제 후 드라이버 서비스 (및 레지스트리)가 삭제되지 않던 문제가 수정되었습니다. | 1.5.100 |
| 6021 | GsAgent 비정상 종료 시 Injection 대상이 아닌 프로세스에 DLL Injection을 수행하던 문제가 수정되었습니다. | 2.0.13 |
| 6042 | 이벤트 조사 > 상세화면 > 이벤트 수집 예외 추가 화면에서 그룹 조회 및 추가 기능이 동작하지 않던 문제가 수정되었습니다. | 2.0.103 |
| 6043 | 이벤트 수집 예외에서 Registry 등록 후 수정화면에 표시되지 않던 문제가 수정되었습니다. | 2.0.103 |
| 6055 | DB 초기화 시 불필요한 mysql 구동 로그 출력되던 문제가 수정되었습니다. | 1.0.0 |
| 6141 | management server가 설정되지 않으면 elasticsearch 가 구동되지 않던 문제가 수정되었습니다. | 2.0.100 |
| 6164 | 이벤트 수집 관리 상세화면에서 목록이 정렬하지 않아도 순서가 바뀌던 문제가 수정되었습니다. | 2.0.106 |
| 6168 | 수집 관리 화면 내 검색기간 클릭 시 최초 한번만 클릭되던 문제가 수정되었습니다. | 2.0.106 |
| 6185 | g-report 그리드 목록이 겹치서 표시되던 문제가 수정되었습니다. | 2.0.106 |
| 6194 | 파일 상세분석 기본정보 탭이 간헐적으로 표시되지 않던 문제가 수정되었습니다. | 2.0.106 |
| 6202 | 윈도우 이벤트를 커스텀 XBA로 진단 시 부정연산자 및 정규표현식이 적용되지 않던 문제가 수정되었습니다. | 2.0.101 |
| 6257 | IOC 데이터 다운로드 후, 오래된 IOC 데이터 삭제가 30분 단위로 발생되던 문제가 수정되었습니다. | 2.0.100 |
| 6274 | 이벤트 조사 화면에서 컬럼 너비 조정 시 이벤트 검색 조건이 전체로 변경되던 문제가 수정되었습니다. | 1.5.100 |
| 6384 | 이상행위 룰 목록에서 전체선택 후 정렬기능 사용 시 룰 삭제가 되지 않던 문제가 수정되었습니다. | 2.0.5 |