Genian EDR V2.0.110 Release Notes (2023/01)

Release Date: 2023/01

New Features

Key

Description

6650

이벤트 관련 설정(수집 추가,수집 예외,태그 설정, 이상행위 룰 셋)들에 대하여 파일 첨부 이벤트(FileAttach) 항목 추가

6742

샤드가 일정량을 초과하는 경우 오래된 인덱스를 close처리하도록 설정할 수 있는 기능 추가

6848

장기간 미전송된 이벤트를 삭제하는 기능 추가

Improvements

Key

Description

5925

에이전트 배포그룹 생성 시 분석 > 엔드포인트 목록 > 엔드포인트 그룹 관리 에 등록된 그룹을 사용할 수 있도록 개선하였습니다.

6003

파일 상세 분석의 상세 화면에서 해시값을 클릭하여 사용자 정의 IOC를 등록할 수 있도록 추가하였습니다.

6191

Endpoint 인덱스의 RemoteIP 필드와 외부 링크 관리에 정의된 후이즈 링크를 동일하게 수정하였습니다.

6647

TerminateProcess 이벤트 모니터링 기능이 추가됨에 따라 이벤트 관련 설정(수집 추가,수집 예외,태그 설정, 이상행위 룰 셋)에 TerminateProcess 항목을 추가하였습니다.

6651

Network 이벤트 관련 Domain Name을 얻기 위하여 OS에서 관리하는 DNS 캐시를 조회하는 방식으로 구현되어 있는데, 네트워크 필터 드라이버에서 직접 DNS 쿼리 관련 네트워크 통신을 모니터링하도록 개선하였습니다.

6749

FileMaster 및 FileList에 불필요한 파일 정보가 등록되지 않도록 개선하였습니다.

6825

주기적으로 배포되는 IOC Database에 MISP(Malware Information Sharing Platform)에서 수집한 Malware Hash도 포함되도록 하였습니다.

6843

Encoding 된 Powershell 프로세스의 커맨드라인을 Decode하여 JsonInfo.Decoded command 필드에 기록 하고 있는데, 필드명 중간에 공백이 포함되어 검색이 용이하지 않는 문제가 있어서 해당 필드명을 JsonInfo.DecodedCmdLine으로 변경하였습니다.

6867

블루투스를 통한 파일 전송 이벤트를 감지할 수 있도록 관련 프로세스인 fsquirt.exe를 기본 파일 첨부 탐지 대상 프로세스에 추가하였습니다.

6887

스크립트가 예약 작업에 등록되거나, 서명되지 않은 비 시스템 실행파일이 예약 작업에 등록되는 행위를 진단하는 "의심스러운 예약 작업 등록" 진단 규칙을 추가하였습니다.

6890

python 및 python을 이용한 BAS(Breach and Attack Simulation)툴(AttackIQ)의 전자서명 인증서로 서명된 경우 유효하게 서명되지 않은 것으로 처리하여 공격 행위로 진단되도록 개선하였습니다.

6891

이상행위 진단 시 RuleID를 Tag로 기록하는데, 커스텀 진단룰의 경우 단순히 일련번호로 만들어낸 문자열로 되어 있어서, 불필요한 정보를 Tag로 기록하지 않도록 개선하였습니다.

6892

윈도우 시스템 실행 파일로 위장하거나, 윈도우 시스템 실행 파일의 사본을 생성하여 시스템 파일이 아닌 것처럼 위장하는 행위를 진단하는 규칙을 강화하였습니다.

6893

MITRE ATT&CK에 기술된 System Proxy Execution (T1218) 관련 이벤트 태그를 추가하였습니다.

6899

그룹 필터 항목에 호스트명도 사용 할 수 있도록 필터 항목을 추가하였습니다.

6945

파일 첨부 이벤트는 대상 프로세스에서 윈도우에서 기본적으로 제공하는 파일 선택 작업 관련 API를 통해서 첨부를 하여여만 파일 첨부 이벤트를 감지 및 기록할 수 있는데, 윈도우에서 제공하는 파일 선택 작업 관련 API 를 사용하지 않는 프로세스를 향상된 파일 업로드 탐지 대상 프로세스에 잘못 설정할 수 있는 문제가 있어서 안내 문구를 자세히 추가하였습니다.

Issues Fixed

Key

Description

Affects Version/s

6856

이상행위 탐지 시 자동대응을 네트워크 격리로 설정하는 경우 불필요한 파일격리 옵션이 설정되던 문제가 수정되었습니다.

2.0.11

6862

TCP Listening 이벤트(TcpPortBind) 전체에 대하여 수집 예외 정책을 설정하고, 특정 프로세스의 TcpPortBind 이벤트는 수집하도록 추가하는 경우 적용되지 않던 문제가 수정되었습니다.

2.0.11