아티팩트 수집
Genian EDR은 XBA 진단 시 아티팩트 자동 수집 기능을 제공하고 있습니다.
아티팩트 수집 설정
아티팩트 수집 설정은 관리 > 설정 > 탐지 및 대응 중 아티팩트 수집 대상에서 설정 가능합니다.
수집 대상은 아래와 같습니다.
| 수집 대상 | 설명 |
|---|---|
| system 정보 | 시스템 정보 수집 |
| Autorun | 자동실행 항목 수집 |
| 브라우저 방문 기록 | 브라우저 방문 기록 수집 |
| 레지스트리 | 레지스트리 하이브 수집 |
| 윈도우 이벤트 | 윈도우 이벤트 로그 수집 |
| Prefetch 파일 | Prefetch 파일 수집 |
| FileSystem 정보 | 의심 파일 수집 |
Registry, File, Process은 아티팩트 자동 수집 대상입니다.
아티팩트 샘플 수집
샘플 수집
- 분석 > 위협 관리에서 이상행위로 탐지된 위협 목록 중 아티팩트 수집 요청이 가능한 위협의
위협 분석버튼을 클릭합니다. 상세 화면에서 아티팩트수집 버튼을 클릭합니다. - 분석 > 엔트포인트 목록에서 원하는 단말 목록 선택 후 작업선택 > 아티팩트 수집 버튼을 클릭합니다.
- 분석 > 엔트포인트 그룹 관리에서 원하는 그룹 목록 선택 후 작업선택 > 아티팩트 수집 버튼을 클릭합니다.
수집된 아티팩트 확인
Note
수집된 아티팩트는 분석 > 수집 관리에서 확인 가능합니다.
- 아티팩트 수집 시, 수집 관리 목록에서
데이터 로드버튼을 클릭합니다. 수집 데이터 로드가 끝난 후G-Report버튼이 생성됩니다. G-Report버튼 클릭 시 G-Report 창이 생성되며, 아티팩트 수집된 데이터를 리포트 형태로 확인할 수 있습니다.