Genian Insights E V2.0.1 Release Notes (2020년 02월)

신규 기능 & 기능개선

  • #3085 SSDEEP정보를 이용한 유사도지표 기능 추가

    머신러닝으로 탐지된 의심 악성코드의 SSDEEP 정보를 수집, 알려진 악성코드의 SSDEEP 정보와 비교하여 유사도를 측정하고
    의심 파일이 악성 파일의 변종인지 여부를 판단할 수 있는 유사도지표 기능이 추가되었습니다.
    유사도지표 기능은 관리 > 설정 > 악성코드 분석 메뉴에서 유사도해시 수집 및 파일유사도 조회 설정을 On 으로 설정하고 Ecosystem과 통신이 가능한 환경에서 동작합니다.

  • #3213 이상행위(XBA) 대응 시 종료 대상 프로세스가 스크립팅 호스트인 경우 부모 프로세스까지 종료하도록 개선

    프로세스 강제 종료대상이 스크립팅 호스트(powershell.exe, wscript.exe, cmd.exe)인 경우, 해당 프로세스 뿐만 아니라 스크립트를 실행한 부모 프로세스까지 강제종료하도록 개선하였습니다.

  • #3199 Wireless AP 관련 레지스트리 수집 및 태그 추가

    무선AP 관련 레지스트리가 수정되면 'WirelessAP' 가 태그되도록 추가하였습니다.

  • #3129 공유폴더 'FolderShare' 태그 추가

    공유폴더 레지스트리가 수정되면 'FolderShare' 가 태그되도록 추가하였습니다.

  • #3236 블루투스 프로세스 실행 시 'Bluetooth' 태그 추가

    Bluetooth 관련 프로세스(fsquirt.exe)가 실행되면 'Blutooth' 태그가 되도록 추가하였습니다.

  • #3172 이상행위 진단 Rule 세분화

    이상행위 정책 중 의심스러운 윈도우즈 커맨드(Anomaly.RarelyUsedCommand)에 시스템 변경사항을 감지하는 여러 정책들이 포함되어 있었습니다.
    여러 변경사항에 대한 상세한 정보 제공 및 대응을 위해 정책을 세분화 하였습니다.

  • #3166 코드사인 기반 예외처리 목록 업데이트

    머신러닝(ML)에 의한 탐지 시 코드사인을 기반으로 예외처리하는 목록이 추가되었습니다.

  • #3183 위협 관리 화면에서 사용자 IP 클릭시, 엔드포인트 목록 > 이벤트 조사 화면으로 이동하도록 개선

  • #3222 위협관리 화면 사용성 개선

  • #3142 제품 설치 시 threat detector가 설정되면 Insights E 관련 메뉴가 기본으로 활성화되도록 개선

  • #3203 이상행위(XBA) 진단 예외 체크 과정에서 공백 제거(trim) 적용

  • #3200 svchost 관련 태그 제거 (ServiceName, ServiceGroup)

  • #3212 이상행위(XBA) ThreatKey 생성 로직 개선 (RemoteIP 관련)

  • #3207 이상행위(XBA) ThreatKey 생성 로직 개선

  • #3196 "문서 확장자 Rename 임계치 초과" 진단로직 개선

  • #3195 윈도우 계정 권한 탈취 시도 (WindowsCredentialTheft) 이상행위 예외처리 추가

  • #3174 에이전트 설정 저장 폴더(config)의 json 설정파일 암호화

  • #3124 실행파일 스푸핑 (Fake.ExecutableSpoofing) 진단 예외처리 추가

  • #3117 동일한 위협 탐지시 이전 위협정보를 재활용하도록 처리

  • #3063 에이전트의 logs폴더에 생성되는 로그 파일명 정리

  • #3234 TiWorker.exe 관련 이벤트 예외처리(EventBypass) 패턴 추가

  • #3235 AD 로그인 스크립트(gpscript.exe)에 의한 행위가 이상행위로 진단되지 않도록 수정

  • #3237 chrome 프로세스의 RelatedFile 이벤트를 기록하지 않도록 수정

  • #2959 에이전트가 Windows Server 2008 R2 이상에서만 설치되도록 수정

  • #3211 시스템 로그 수집 스크립트(syscollect.sh) 에 lsof(list open files) 정보 수집 명령어 추가

버그 수정

  • #3098 FileSize가 0인 FileCreate 이벤트가 기록되지 않는 문제가 수정되었습니다.

  • #3171 UAC 우회 - Event뷰어(UacBypass.Eventvwr)를 체크하는 레지스트리가 누락되어 진단되지 않던 문제가 수정되었습니다.

  • #3159 WatchDog에 의한 중복설치로 에이전트가 동작하지 않는 문제가 수정되었습니다.

  • #3123 이상행위(XBA) 진단 시 스토리라인이 표시되지않던 문제가 수정되었습니다.

  • #3080 RLO(Right to Left Override) 특수문자를 이용한 이상행위 탐지 시 유니코드로 인해 관리콘솔의 텍스트가 반대로 표시되는 문제가 수정되었습니다.

  • #3062 FileCreate와 FileMove 이벤트 순서가 역전된 경우 이벤트가 정상적으로 병합되지않던 문제가 수정되었습니다.

  • #3046 Cloud 버전의 위협탐지엔진에서 리소스번들 읽어오지 못하는 문제가 수정되었습니다.