Genian Insights E V2.0.2 Release Notes (2020년 03월)

신규 기능 & 기능개선

  • #3204 openssl 최신버전으로 업그레이드 (OpenSSL 1.0.2r)

    기존 버전의 openSSL 유지보수 종료로 인해 openSSL 버전을 1.0.2r -> 1.1.1d로 업그레이드 하였습니다.
    2.0.2 버전으로 업그레이드 시 서버-> 에이전트 순서로 업그레이드가 필요합니다.

  • #3060 WebUI에서 파일 업로드로 IOC 업데이트 기능 추가

    폐쇄망 환경에서 IOC DB 업데이트 시 CLI를 통해 매월 데이터를 업데이트 해야하는 어려움이 있었습니다.
    IOC DB 초기화(initiocdb.sh)를 통해 전체 데이터를 업데이트 한 후, 관리콘솔에서 월별 IOC 파일을 업로드하여 업데이트 할 수 있는 기능이 추가되었습니다.
    관리콘솔을 이용한 업데이트 시 아래 순서대로 작업이 필요합니다.

  • #3177 CLI 비밀번호 주기적 변경 기능 추가

    CLI 비밀번호를 주기적으로 변경할 수 있도록 비밀번호 변경 주기 설정 기능이 추가되었습니다.

  • #2415 Event 오프라인/드라이브 볼륨마운트 BusType, VolumeType 정보 추가

    서버와 통신이 되지 않는 환경에서 발생하는 외부 매체 사용정보를 파악하기 위해 endpoint2 인덱스에 저장장치 정보를 추가하였습니다.

  • #2835 서버관리 메뉴 추가

    멀티서버 구성 시 각 서버에 대한 정보를 관리하기 위한 서버관리 메뉴를 추가하였습니다.

  • #3076 Tag 필드 검색에 wildcard 를 사용할 수 있도록 개선

    Tag 필드에 들어가는 데이터의 대소문자 구분없이 검색이 가능하도록 하고 wildcard를 사용하여 검색이 가능하도록 개선하였습니다.
    업그레이드 이전 날짜의 Tag 필드 wildcard 검색이 필요한 경우 아래와 같이 reindexing 작업이 필요하며, 데이터가 많아 많은 시간이 소요되므로 1주일 또는 해당 월 정도만 reindexing 하는 것을 권장합니다.

  • #3233 분석 > 위협관리 목록에서 대응 담당자 확인 컬럼 추가

    분석 > 위협관리 목록에서 위협 대응을 설정한 담당자 명을 확인할 수 있도록 개선하였습니다.

  • #3247 이상행위(XBA) 탐지시 분석 상세화면에 의심파일 관련 정보 표시하도록 개선

    이상행위 탐지 시 외부에서 유입된 악성코드로 의심되는 파일이 확인될 경우 SSDEEP 정보 및 파일 정보를 표시하도록 개선하였습니다.
    의심파일 정보는 분석 > 위협 관리 및 상세 화면에서 확인할 수 있습니다.

  • #3268 브라우저에서 다운로드된 실행파일이 생성 직후 실행된 경우 HttpDownload 이벤트가 남지않는 문제 개선

    파일 다운로드 시 Zone.Identifier ADS의 유입정보를 확인하는데, 파일 다운로드 직후 실행하는 경우 Zone.Identifier ADS정보가 삭제되어 다운로드 이벤트를 확인할 수 없던 문제가 있었습니다.
    Zone.Identifier ADS가 생성되었을 때 즉시 정보를 읽어 메모리에 보관하도록 하여 정보를 확인할 수 있도록 개선하였습니다.

  • #3282 이상행위(XBA) 의심 파일 지목 시 스크립트 실행프로세스 대신 시스템파일이 아닌 부모프로세스를 지목하도록 개선

    외부 실행파일이 sc.exe(윈도우 서비스 제어 관리) 등 스크립팅호스트가 아닌 커맨드를 실행하여 이상행위로 진단되는 경우, 외부 실행파일이 아닌 sc.exe가 의심파일로 지목되는 문제가 있었습니다.
    의심 파일 진단 시 스크림트 실행프로세스 대신 시스템파일이 아닌 부모프로세스를 찾아 진단하도록 개선하였습니다.

  • #3284 탐지 발생 시 탐지 정보에 MAC Address 추가

    위협 발생 시 threat2, alert2 인덱스에 엔드포인트의 MAC Address 정보를 추가하도록 개선하였습니다.
    관리 > 인덱스 관리 에서 threat2와 alert2 의 인덱스 다시불러오기를 완료해야 통합검색에 표시 및 syslog 전송 시 MAC 컬럼이 표시됩니다.

  • #3288 이상행위(XBA)-실행코드 인젝션(PortableExecutableInjection) 진단로직 수정

    실행코드 인젝션의 경우 인젝션 Target Process가 이미 시스템에 존재하는 실행파일인 경우가 대부분인데, 시스템 프로세스가 아닌 경우에 대한 오진이 발생하는 경우가 많았습니다.
    아래와 같이 Target Process가 시스템 프로세스가 아닌 경우에는 진단하지 않도록 개선하였습니다.

  • #3291 이상행위(XBA)-의심스러운 언어코드 / 의심스러운 파워쉘 커맨드 진단 예외 추가

    이상행위(XBA)-의심스러운 언어코드 및 의심스러운 파워쉘 커맨드 진단 시 확인된 오진(ASUSTeK)에 대한 예외 패턴을 추가하였습니다.

  • #3293 모든 이상행위(XBA) 정책에 예외처리되는 프로세스 인증서 추가

    이상행위 탐지 시 오진을 최소화하기 위해 신뢰할 수 있는 인증서로 서명된 프로세스는 모든 정책에 대해 예외처리 되도록 개선하였습니다.

  • #3178 서버-에이전트 UDP통신 시 대칭키 암호화를 AES/CBC/128->AES/CBC/256으로 처리하도록 개선하였습니다.

  • #3166 AnalyzeService의 파일평판 조회 결과를 filemaster에 저장하도록 변경

버그 수정

  • #3243 chrome에서 다운로드된 실행파일이 생성 직후 실행되는 경우 유입경로 추적에 실패하던 문제가 수정되었습니다.

  • #3248 관리> 인덱스 관리> 인덱스 생성 화면에서 시간 기반 설정 시, 시간 필드에 불특정 필드값이 들어가던 문제가 수정되었습니다.

  • #3269 에이전트 설치 전에 연결된 NetworkConnect 이벤트의 Direction 항목에 "UNKNOWN"으로 기록되는 문제가 수정되었습니다.

  • #3277 CLI 접속 허용 IP 제거 후 재 설정 시 CLI 접속이 되지 않던 문제가 수정되었습니다.

  • #3281 이상행위(XBA) 진단 시 악성코드 의심파일이 삭제된 경우 파일정보가 구해지지 않던 문제가 수정되었습니다.

  • #3287 cluster 구성된 환경에서 backup 사용여부 설정 변경 시 backup이 중복으로 수행되는 문제가 수정되었습니다.

  • #3294 분석탭에서 특정 메뉴 선택 후 메뉴 접기-> 펼침 시 선택했던 메뉴의 스타일이 사라지던 문제가 수정되었습니다.

  • #3475 의존 모드 검색 후 그리드 위젯 엑셀 내보내기시 의존 모드의 영향 없는 전체 데이터가 생성되는 문제가 수정되었습니다.

  • #3481 위협 상세화면에서 유사도 지표 데이터가 있음에도 표시되지 않던 문제가 수정되었습니다.

  • #3492 사용자정의 IOC 에 good IP 등록 시 예외처리 되지 않는 문제가 수정되었습니다.

  • #3473 위협 대응 시 파일 삭제가 되면 SSDEEP 수집에 실패, 이전에 다른 위협 파일의 SSDEEP 정보를 전송하던 문제가 수정되었습니다.

  • #3503 IE 브라우저 11에서 위협 상세 화면 깨지는 문제를 수정하였습니다.

  • #3523 레지스트리 Key,value 정보를 확인하도록 정의된 경우에 키,value 정보 변경 시 관련 레지스트리 정보를 수집하지 못하던 문제가 수정되었습니다.

  • #3526 FileMove 인 경우 Filepath 정보를 잘못 확인하여 SSDEEP 정보를 구하지 못하던 문제가 수정되었습니다.

  • #3512 웹콘솔에서 ES 관리콘솔이 표시되지 않는 문제가 수정되었습니다.