Genian EDR V2.0.110 Release Notes (2023/01)
Release Date: 2023/01
New Features
Key |
Description |
---|---|
6650 |
이벤트 관련 설정(수집 추가,수집 예외,태그 설정, 이상행위 룰 셋)들에 대하여 파일 첨부 이벤트(FileAttach) 항목 추가 |
6742 |
샤드가 일정량을 초과하는 경우 오래된 인덱스를 close처리하도록 설정할 수 있는 기능 추가 |
6848 |
장기간 미전송된 이벤트를 삭제하는 기능 추가 |
Improvements
Key |
Description |
---|---|
5925 |
에이전트 배포그룹 생성 시 분석 > 엔드포인트 목록 > 엔드포인트 그룹 관리 에 등록된 그룹을 사용할 수 있도록 개선하였습니다. |
6003 |
파일 상세 분석의 상세 화면에서 해시값을 클릭하여 사용자 정의 IOC를 등록할 수 있도록 추가하였습니다. |
6191 |
Endpoint 인덱스의 RemoteIP 필드와 외부 링크 관리에 정의된 후이즈 링크를 동일하게 수정하였습니다. |
6647 |
TerminateProcess 이벤트 모니터링 기능이 추가됨에 따라 이벤트 관련 설정(수집 추가,수집 예외,태그 설정, 이상행위 룰 셋)에 TerminateProcess 항목을 추가하였습니다. |
6651 |
Network 이벤트 관련 Domain Name을 얻기 위하여 OS에서 관리하는 DNS 캐시를 조회하는 방식으로 구현되어 있는데, 네트워크 필터 드라이버에서 직접 DNS 쿼리 관련 네트워크 통신을 모니터링하도록 개선하였습니다. |
6749 |
FileMaster 및 FileList에 불필요한 파일 정보가 등록되지 않도록 개선하였습니다. |
6825 |
주기적으로 배포되는 IOC Database에 MISP(Malware Information Sharing Platform)에서 수집한 Malware Hash도 포함되도록 하였습니다. |
6843 |
Encoding 된 Powershell 프로세스의 커맨드라인을 Decode하여 JsonInfo.Decoded command 필드에 기록 하고 있는데, 필드명 중간에 공백이 포함되어 검색이 용이하지 않는 문제가 있어서 해당 필드명을 JsonInfo.DecodedCmdLine으로 변경하였습니다. |
6867 |
블루투스를 통한 파일 전송 이벤트를 감지할 수 있도록 관련 프로세스인 fsquirt.exe를 기본 파일 첨부 탐지 대상 프로세스에 추가하였습니다. |
6887 |
스크립트가 예약 작업에 등록되거나, 서명되지 않은 비 시스템 실행파일이 예약 작업에 등록되는 행위를 진단하는 "의심스러운 예약 작업 등록" 진단 규칙을 추가하였습니다. |
6890 |
python 및 python을 이용한 BAS(Breach and Attack Simulation)툴(AttackIQ)의 전자서명 인증서로 서명된 경우 유효하게 서명되지 않은 것으로 처리하여 공격 행위로 진단되도록 개선하였습니다. |
6891 |
이상행위 진단 시 RuleID를 Tag로 기록하는데, 커스텀 진단룰의 경우 단순히 일련번호로 만들어낸 문자열로 되어 있어서, 불필요한 정보를 Tag로 기록하지 않도록 개선하였습니다. |
6892 |
윈도우 시스템 실행 파일로 위장하거나, 윈도우 시스템 실행 파일의 사본을 생성하여 시스템 파일이 아닌 것처럼 위장하는 행위를 진단하는 규칙을 강화하였습니다. |
6893 |
MITRE ATT&CK에 기술된 System Proxy Execution (T1218) 관련 이벤트 태그를 추가하였습니다. |
6899 |
그룹 필터 항목에 호스트명도 사용 할 수 있도록 필터 항목을 추가하였습니다. |
6945 |
파일 첨부 이벤트는 대상 프로세스에서 윈도우에서 기본적으로 제공하는 파일 선택 작업 관련 API를 통해서 첨부를 하여여만 파일 첨부 이벤트를 감지 및 기록할 수 있는데, 윈도우에서 제공하는 파일 선택 작업 관련 API 를 사용하지 않는 프로세스를 향상된 파일 업로드 탐지 대상 프로세스에 잘못 설정할 수 있는 문제가 있어서 안내 문구를 자세히 추가하였습니다. |
Issues Fixed
Key |
Description |
Affects Version/s |
---|---|---|
6856 |
이상행위 탐지 시 자동대응을 네트워크 격리로 설정하는 경우 불필요한 파일격리 옵션이 설정되던 문제가 수정되었습니다. |
2.0.11 |
6862 |
TCP Listening 이벤트(TcpPortBind) 전체에 대하여 수집 예외 정책을 설정하고, 특정 프로세스의 TcpPortBind 이벤트는 수집하도록 추가하는 경우 적용되지 않던 문제가 수정되었습니다. |
2.0.11 |