Genian Insights E V2.0.5 Release Notes (2020년 06월) =================================================================== 신규 기능 & 기능개선 --------------------------------------------------------- - #3362 이상행위 룰 관리 화면 추가 | 이상행위 정책에 대한 사용 여부, 대응방법, 예외처리 대상을 설정할 수 있는 이상행위 룰 관리화면이 추가되었습니다. - #3346 분석 > 위협관리 목록에서 샘플 수집, 추가 분석 리포트 보유 위협은 아이콘으로 표시하도록 개선 | 분석 > 위협관리 목록에서 샘플 수집, 추가 분석 리포트 보유 위협에 아이콘을 표시하도록 추가하였습니다. - #3514 이벤트 조사화면 목록 UI 개선 | 분석 > 이벤트 조사 및 분석 > 엔드포인트목록 상세화면의 이벤트 조사 화면에서 컬럼 설정 및 설정이 개인화 되도록 개선하였습니다. | 최초 설치가 아닌 업그레이드 하는 경우, 컬럼 설정의 일부 컬럼명이 한글로 설정되어 있지않아 영문으로 표시될 수 있습니다. - #3515 통합검색 화면에 최근 검색기록, 즐겨찾기 기능 추가 및 검색필터 기능 제거 | 통합검색 화면에 최근 검색기록과 즐겨찾기 기능을 추가하였습니다. 데이터 입력 및 검색 후 즐겨찾기 버튼을 클릭하면 화면에 표시된 검색조건이 자동으로 입력된 즐겨찾기 추가 화면이 표시됩니다. | 즐겨찾기 저장 후 검색필터 클릭 시 추가했던 즐겨찾기 목록 및 최근 검색 기록을 확인할 수 있습니다.(각각 최대 50건) 최근 검색 기록은 브라우저 캐시가 삭제되면 기록도 삭제됩니다. - #3571 ES 구동 시 Template 등록을 Skip 할 수 있는 설정 추가 | ES 구동 시 Template 등록에 시간이 오래 걸리는 문제가 있었습니다. | /disk/sys/conf/ESTEMPLATESKIP 파일이 존재하는 경우 Template 등록을 생략하도록 수정하였습니다. | (cluster 환경에서는 master 서버 이외의 서버에 파일 생성) - #3527 IOC를 통한 위협 탐지시 IOC Feed 정보 추가 | CQ vista를 통한 IOC 탐지가 아닌 경우 (secudium) alert2,threat2,filemaster 인덱스의 feed 필드에 탐지 관련 정보를 추가하도록 개선하였습니다. - #3577 Tomcat 실행속도 개선 | tomcat 실행이 오래걸리는 문제가 있어서 사용하지 않는 파일은 검색하지 않고 불필요한 파일은 제거하여 실행속도를 개선하였습니다. - #3593 Tomcat 버전 업그레이드 8.0.53 -> 8.5.54 | tomcat 취약점으로 인해 tomcat 버전을 업그레이드하였습니다. - #3561 mysql 취약점 점검 관련 개선 | mysql 취약점 관련, 불필요한 파일은 삭제하고 파일 구동 시 파일 권한을 변경하였습니다. - #3562 이전 위협정보로 샘플수집 명령 전송해서 수집 실패 발생하는 문제 | 수동으로 샘플수집 명령 수행 시 마지막 위협정보를 가지고 샘플수집 명령을 수행하도록 되어있는데, EventTime과 DetectTime이 다른 경우 샘플수집에 실패하던 문제가 있었습니다. | 샘플수집 시 EventTime이 아닌 DetectTime(최근 탐지 시각)을 기준으로 수집하도록 수정하였습니다. - #3397 타솔루션 대응연동을 위한 REST API 개선 | 타솔루션과 위협대응 연동이 가능하도록 기본 REST API 를 추가하였습니다. - #3415 에이전트 설치/업데이트 시 오래된 로그 삭제 기준 변경 | 에이전트가 설치/업데이트 될 때 오래된 파일의 삭제 기준을 7일에서 30일로 변경하였습니다. - #3289 오진율 저감을 위한 XBA 진단 로직 개선 | 오진율 저감을 위한 XBA 진단 로직을 전반적으로 개선하였습니다. | 오피스 프로세스 실행, 오피스에 의한 비정상적인 실행파일 Drop, 의심 커맨드 관련 진단 로직은 일부 수정하고 오진이 발생하던 일부 이상행위는 오진 필터링 패턴을 추가하였습니다. - #3544 에이전트 패키지 이름에 Insights 버전을 알 수 있도록 개선 | 에이전트 빌드 시 패키지 명에 NAC 버전 정보만 표시하고 있어서, Insights 버전도 확인활 수 있도록 개선하였습니다. | 아래와 같이 플러그인 버전 및 날짜 정보가 추가되었습니다. - #3563 SSH 통신 포트 변경 기능 | CLI에서 SSH 통신포트를 변경할 수 있도록 추가했습니다. 별도로 설정하지 않는 경우 기본 포트인 3910 으로 동작합니다. - #3615 위협 상세화면에 표시되지 않는 위협 관련 정보 추가 및 정리 | 위협 상세화면에 위협관리 설정에 대한 내용을 확인할 수 있는 위협 관리 정보 를 추가하였습니다. - #3573 빅데이터 환경에서 이벤트 조사 화면 사용성 개선을 위한 옵션 다양화 | 빅데이터 환경에서 데이터 검색 시, 시스템 성능에 영향이 있어서 최초에 관리콘솔에 진입하는 경우 데이터 자동 검색을 하지 않는 옵션 설정을 추가하였습니다. | 데이터 검색 기간 또한 범위를 좁혀서 검색이 가능하도록 기간 옵션을 추가하였습니다. - #3570 위협 모니터링 이벤트 발생량 추이 차트 성능 개선 | 위협 모니터링 화면에 이벤트 발생량 추이 그래프 출력 시, 검색하는 데이터 양이 많은 경우 화면 전체 표시 속도가 느린 문제가 있었습니다. | 데이터 조회 시 매일 최초에 한 번만 질의하고 local Storage에 캐시처리하도록 개선하였습니다. - #3363 Python Plugin 관리 UI | 외부 연동 플러그인을 관리콘솔에서 등록 및 설정을 관리할 수 있는 화면이 추가되었습니다. | 해당 이미지 이전에 연동설정이 되어있던 외부 연동 플러그인은 삭제 후 재설정이 필요하며, master 서버에서만 동작하도록 되어 있습니다. - #3584 XBA 진단룰 ShadowCopy 삭제(Ransomware.DeleteShadowCopy) 의 대응 방식 변경 | ShadowCopy를 Delete하는 커맨드가 실행되는 경우, 실행된 커맨드(자식 프로세스) 뿐만 아니라 부모 프로세스도 함께 종료되도록 개선하였습니다. - #3578 FileRead / FileCreate 이벤트를 기반으로 FileUpload를 탐지 | FileUpload 탐지 정확도를 향상하기 위해 사전에 탐지 대상 site를 정의하고, 탐지하도록 개선하였습니다. - #3292 XBA 의심스러운 certutil 실행(Anomaly.DeobfuscateCommand) 추가 | certutil.exe 라는 윈도우에서 기본적으로 제공하는 인증서관련 유틸을 이용하는 행위(난독화된 페이로드를 복호화(decord)할때 진단) 진단하는 기능을 추가하였습니다. 버그 수정 ------------------------------------ - #3638 windows7 이전 버전의 공유폴더 접근 시 PC 성능이 저하되는 문제가 수정되었습니다. - #3651 에이전트 Shutdown 과정에서 Deadlock 발생, 에이전트 중지/업데이트 시 시간이 오래 걸리던 문제가 수정되었습니다. - #3505 위협분석에서 ReversingLabs 연동 시 정보를 수정하면 DB설정 정보가 즉시 반영되지 않던 문제가 수정되었습니다. - #3559 관리자가 등록한 일부 XBA 예외 설정이 동작하지 않는 문제가 수정되었습니다. | 파일 경로가 예외조건에 추가되어 있고 일부 이벤트 타입에 해당하는 경우 예외처리가 동작하지 않던 문제가 수정되었습니다. - #3604 gsagent.exe - x86에서 로그 기록 중 크래시 발생 문제가 수정되었습니다. - #3602 레지스트리 이벤트가 XBA 행위기반 진단된 경우 관리자 예외 처리가 동작하지 않던 문제가 수정되었습니다. - #3590 잘못된 레지스트리 Tag 제거 | 잘못 기록된 레지스트리 Tag를 제거하였습니다. - #3747 Kafka 미연결시 에이전트 종료가 지연되던 문제가 수정되었습니다. - #3806 lsass.exe(로컬 보안 인증 하위 시스템 서비스)가 불필요한 이벤트를 너무 많이 발생시켜서 RegSetValue에 대한 이벤트는 예외처리하도록 수정하였습니다. - #3816 GoogleDrive 동기화 앱의 FileUpload 이벤트가 정확히 남지 않던 문제가 수정되었습니다. - #3817 XBA 룰 "히든파일실행" 에 대한 관리자 예외처리가 동작하지 않던 문제가 수정되었습니다.