이벤트 수집

Note

이벤트 수집 관리 및 예외 설정은 정책 > 이벤트 수집 관리에서 설정 가능합니다.

엔드포인트 이벤트 수집

단말의 에이전트 설치가 완료되면 엔드포인트에서 발생하는 이벤트를 EDR 서버로 전송합니다.
Genian EDR 서버 설정에 따라 중요하다고 판단하는 이벤트(프로세스 실행,실행/문서/압축 파일 생성)를 수집하며, 더 필요한 정보는 서버 설정에서 변경할 수 있습니다.

엔드포인트에서 수집된 이벤트는 통합검색에서 확인 가능합니다. 기본 인덱스는 아래와 같습니다.

  • Endpoint2: 엔드포인트에서 발생하는 이벤트(file, process, module, network, registry) 정보
  • Alert2: Threat Detector 에 의해 위협으로 탐지되어 알람이 발생한 정보 및 이상행위탐지(XBA)엔진에서 탐지한 위협 정보를 이벤트 기반으로 표시
  • Threat2: Threat Detector 에 의해 위협으로 탐지되어 알람이 발생한 정보 및 이상행위탐지(XBA)엔진에서 탐지한 위협 정보를 상태 기반으로 표시
  • Inflow: 파일 유입 정보
  • Volume: 외부 저장장치 마운트 정보
  • FileMaster: PE, Script 관리
  • system-info: Endpoint 목록의 상세화면-리소스 현황에 표시되는 cpu,memory, storage(agent installed drive) 정보
  • system_info: Endpoint 목록의 상세화면-시스템 정보에 표시되는 장치정보, 운영체제,저장장치, 네트워크 인터페이스 정보
  • Filelist: Agent에서 수집한 Endpoint의 파일 목록
  • winevt:* Endpoint에서 발생하는 Windows Event 정보
  • artifact: aritifact 수집 시, 수집한 파일 관련 정보
  • uploadlist: 서버에 업로드되어 수집 관리 메뉴에 표시되는 파일 목록
  • filestatic-analyze: 파일 상세 분석 메뉴를 통해 업로드하여 파일 정적 분석 도구를 이용한 분석 결과 저장 정보

윈도우 이벤트(ETW)

Note

정책 > 그룹 정책 관리 > 수집에서 수집 대상 윈도우 이벤트 설정이 가능합니다.

Genian EDR에서는 관리자가 원하는 윈도우 이벤트를 등록하면 해당 이벤트를 수집하여 검색할 수 있도록 기능을 제공합니다.
관련 이벤트는 winevt 인덱스에 저장되어 통합 검색에서 검색 가능합니다.

  • WindowEvent: 엔드포인트에서 발생하는 Windows Event 정보

이벤트 조사

분석 > 조사 > 이벤트 조사 페이지에서는 특정 엔드포인트가 아닌, 전체 엔드포인트에서 발생한 이벤트를 확인하고 분석할 수 있습니다.

이벤트 검색

  • 이벤트 조사 화면에서 단일 키워드로 파일에 관련된 모든 필드를 한번에 검색할 수 있습니다. 필드명을 입력하지 않고 검색이 가능한 필드는 검색창 클릭 시 파란색 별표로 표시되어 있습니다.
  • 다른 메뉴의 검색창에서는 데이터 검색 시 필드명:데이터 와 같은 형태로 검색해야 하지만 이벤트 조사 화면에서는 키워드 검색이 가능합니다.
  • 검색할 키위드에 공백이 포함된 경우 큰따옴표(Double Quatation)로 키워드를 감싼 후 검색합니다.
  • AuthName, AuthDeptName, HostName 필드는 키워드 검색 시 full text로 입력해야 합니다. 예를 들어 AuthName 이 홍길동 이라면 검색시 홍길 이라는 단어만 입력한다면 검색되지 않습니다.

이벤트 조사

이벤트 조사 리스트는 전체 엔드포인트에서 발생한 Event 히스토리를 확인할 수 있습니다.

  • 설정한 날짜(ex.Today,1d,3d 등)의 히스토리가 차트로 표시되며, 차트 내에서 마우스 클릭하여 드래그 시 이벤트 날짜 기간을 좁혀서 상세 정보를 확인할 수 있습니다.

이벤트 목록 클릭 시 이벤트 상세정보 화면이 나타납니다.

  • 이벤트 상세 화면에서 예외처리 아이콘 클릭 시, 해당 이벤트를 수집하지 않도록 등록할 수 있습니다.
  • 오른쪽 화면에서 도킹 팝업 클릭 시, 별도의 팝업창이 발생합니다.
    이벤트 상세정보 화면에서는 클릭한 항목이 최초에 어떤 프로세스에 의해 실행되었으며, 연결 정보가 존재하는 경우 Destination IP 정보까지 파악할 수 있습니다.
  • 플로팅 아이콘 클릭 시 클릭한 항목과 관련이 있는 Process, File, Module, Network, Registry 정보를 최초 발생 시간 기준으로 표시합니다.
    (정책 > 그룹 정책 > 엔드포인트가 포함된 정책의 수집 대상 이벤트 설정에 따라 수집 되지 않은 데이터는 표시되지 않습니다.)
  • 이벤트 상세정보에서 선택한 이벤트에 대해 엔드포인트 정보부터 선택한 이벤트가 실행되기까지 직접적인 관련이 있는 이벤트만 보거나,
    이벤트 종류를 기준으로 연관된 이벤트를 모두 표시하도록 설정할 수 있습니다.

이벤트 조사 컬럼 설정

이벤트 조사 화면에서 컬럼 설정을 통해 관리자가 확인하고 싶은 정보만 표시할 수 있습니다.

  1. 분석 > 조사 > 이벤트 조사에서 오른쪽 상단의 설정 아이콘을 클릭하여 컬럼 설정 선택 시 컬럼 설정 화면이 표시됩니다.
  2. 표시하고 싶은 컬럼 항목을 오른쪽으로 이동 후 저장 버튼을 클릭 시 관리자가 설정한 컬럼으로 표시됩니다.