Genian Insights E V2.0.2 Release Notes (2020년 03월) =================================================================== 신규 기능 & 기능개선 --------------------------------------------------------- - #3204 openssl 최신버전으로 업그레이드 (OpenSSL 1.0.2r) | 기존 버전의 openSSL 유지보수 종료로 인해 openSSL 버전을 1.0.2r -> 1.1.1d로 업그레이드 하였습니다. | 2.0.2 버전으로 업그레이드 시 서버-> 에이전트 순서로 업그레이드가 필요합니다. - #3060 WebUI에서 파일 업로드로 IOC 업데이트 기능 추가 | 폐쇄망 환경에서 IOC DB 업데이트 시 CLI를 통해 매월 데이터를 업데이트 해야하는 어려움이 있었습니다. | IOC DB 초기화(initiocdb.sh)를 통해 전체 데이터를 업데이트 한 후, 관리콘솔에서 월별 IOC 파일을 업로드하여 업데이트 할 수 있는 기능이 추가되었습니다. | 관리콘솔을 이용한 업데이트 시 아래 순서대로 작업이 필요합니다. - #3177 CLI 비밀번호 주기적 변경 기능 추가 | CLI 비밀번호를 주기적으로 변경할 수 있도록 비밀번호 변경 주기 설정 기능이 추가되었습니다. - #2415 Event 오프라인/드라이브 볼륨마운트 BusType, VolumeType 정보 추가 | 서버와 통신이 되지 않는 환경에서 발생하는 외부 매체 사용정보를 파악하기 위해 endpoint2 인덱스에 저장장치 정보를 추가하였습니다. - #2835 서버관리 메뉴 추가 | 멀티서버 구성 시 각 서버에 대한 정보를 관리하기 위한 서버관리 메뉴를 추가하였습니다. - #3076 Tag 필드 검색에 wildcard 를 사용할 수 있도록 개선 | Tag 필드에 들어가는 데이터의 대소문자 구분없이 검색이 가능하도록 하고 wildcard를 사용하여 검색이 가능하도록 개선하였습니다. | 업그레이드 이전 날짜의 Tag 필드 wildcard 검색이 필요한 경우 아래와 같이 reindexing 작업이 필요하며, 데이터가 많아 많은 시간이 소요되므로 1주일 또는 해당 월 정도만 reindexing 하는 것을 권장합니다. - #3233 분석 > 위협관리 목록에서 대응 담당자 확인 컬럼 추가 | 분석 > 위협관리 목록에서 위협 대응을 설정한 담당자 명을 확인할 수 있도록 개선하였습니다. - #3247 이상행위(XBA) 탐지시 분석 상세화면에 의심파일 관련 정보 표시하도록 개선 | 이상행위 탐지 시 외부에서 유입된 악성코드로 의심되는 파일이 확인될 경우 SSDEEP 정보 및 파일 정보를 표시하도록 개선하였습니다. | 의심파일 정보는 분석 > 위협 관리 및 상세 화면에서 확인할 수 있습니다. - #3268 브라우저에서 다운로드된 실행파일이 생성 직후 실행된 경우 HttpDownload 이벤트가 남지않는 문제 개선 | 파일 다운로드 시 Zone.Identifier ADS의 유입정보를 확인하는데, 파일 다운로드 직후 실행하는 경우 Zone.Identifier ADS정보가 삭제되어 다운로드 이벤트를 확인할 수 없던 문제가 있었습니다. | Zone.Identifier ADS가 생성되었을 때 즉시 정보를 읽어 메모리에 보관하도록 하여 정보를 확인할 수 있도록 개선하였습니다. - #3282 이상행위(XBA) 의심 파일 지목 시 스크립트 실행프로세스 대신 시스템파일이 아닌 부모프로세스를 지목하도록 개선 | 외부 실행파일이 sc.exe(윈도우 서비스 제어 관리) 등 스크립팅호스트가 아닌 커맨드를 실행하여 이상행위로 진단되는 경우, 외부 실행파일이 아닌 sc.exe가 의심파일로 지목되는 문제가 있었습니다. | 의심 파일 진단 시 스크림트 실행프로세스 대신 시스템파일이 아닌 부모프로세스를 찾아 진단하도록 개선하였습니다. - #3284 탐지 발생 시 탐지 정보에 MAC Address 추가 | 위협 발생 시 threat2, alert2 인덱스에 엔드포인트의 MAC Address 정보를 추가하도록 개선하였습니다. | 관리 > 인덱스 관리 에서 threat2와 alert2 의 인덱스 다시불러오기를 완료해야 통합검색에 표시 및 syslog 전송 시 MAC 컬럼이 표시됩니다. - #3288 이상행위(XBA)-실행코드 인젝션(PortableExecutableInjection) 진단로직 수정 | 실행코드 인젝션의 경우 인젝션 Target Process가 이미 시스템에 존재하는 실행파일인 경우가 대부분인데, 시스템 프로세스가 아닌 경우에 대한 오진이 발생하는 경우가 많았습니다. | 아래와 같이 Target Process가 시스템 프로세스가 아닌 경우에는 진단하지 않도록 개선하였습니다. - #3291 이상행위(XBA)-의심스러운 언어코드 / 의심스러운 파워쉘 커맨드 진단 예외 추가 | 이상행위(XBA)-의심스러운 언어코드 및 의심스러운 파워쉘 커맨드 진단 시 확인된 오진(ASUSTeK)에 대한 예외 패턴을 추가하였습니다. - #3293 모든 이상행위(XBA) 정책에 예외처리되는 프로세스 인증서 추가 | 이상행위 탐지 시 오진을 최소화하기 위해 신뢰할 수 있는 인증서로 서명된 프로세스는 모든 정책에 대해 예외처리 되도록 개선하였습니다. - #3178 서버-에이전트 UDP통신 시 대칭키 암호화를 AES/CBC/128->AES/CBC/256으로 처리하도록 개선하였습니다. - #3166 AnalyzeService의 파일평판 조회 결과를 filemaster에 저장하도록 변경 버그 수정 ------------------------------------ - #3243 chrome에서 다운로드된 실행파일이 생성 직후 실행되는 경우 유입경로 추적에 실패하던 문제가 수정되었습니다. - #3248 관리> 인덱스 관리> 인덱스 생성 화면에서 시간 기반 설정 시, 시간 필드에 불특정 필드값이 들어가던 문제가 수정되었습니다. - #3269 에이전트 설치 전에 연결된 NetworkConnect 이벤트의 Direction 항목에 "UNKNOWN"으로 기록되는 문제가 수정되었습니다. - #3277 CLI 접속 허용 IP 제거 후 재 설정 시 CLI 접속이 되지 않던 문제가 수정되었습니다. - #3281 이상행위(XBA) 진단 시 악성코드 의심파일이 삭제된 경우 파일정보가 구해지지 않던 문제가 수정되었습니다. - #3287 cluster 구성된 환경에서 backup 사용여부 설정 변경 시 backup이 중복으로 수행되는 문제가 수정되었습니다. - #3294 분석탭에서 특정 메뉴 선택 후 메뉴 접기-> 펼침 시 선택했던 메뉴의 스타일이 사라지던 문제가 수정되었습니다. - #3475 의존 모드 검색 후 그리드 위젯 엑셀 내보내기시 의존 모드의 영향 없는 전체 데이터가 생성되는 문제가 수정되었습니다. - #3481 위협 상세화면에서 유사도 지표 데이터가 있음에도 표시되지 않던 문제가 수정되었습니다. - #3492 사용자정의 IOC 에 good IP 등록 시 예외처리 되지 않는 문제가 수정되었습니다. - #3473 위협 대응 시 파일 삭제가 되면 SSDEEP 수집에 실패, 이전에 다른 위협 파일의 SSDEEP 정보를 전송하던 문제가 수정되었습니다. - #3503 IE 브라우저 11에서 위협 상세 화면 깨지는 문제를 수정하였습니다. - #3523 레지스트리 Key,value 정보를 확인하도록 정의된 경우에 키,value 정보 변경 시 관련 레지스트리 정보를 수집하지 못하던 문제가 수정되었습니다. - #3526 FileMove 인 경우 Filepath 정보를 잘못 확인하여 SSDEEP 정보를 구하지 못하던 문제가 수정되었습니다. - #3512 웹콘솔에서 ES 관리콘솔이 표시되지 않는 문제가 수정되었습니다.