Genian Insights E V2.0.4 Release Notes (2020년 05월)

신규 기능 & 기능개선

  • #3361 폐쇄망 환경에서 SSDEEP기반 유사도지표 제공

    폐쇄망 환경에서 SSDEEP정보를 이용하여 유사도지표를 확인할 수 있도록 추가하였습니다.
    해당 기능을 사용하기 위해서는 관리 > 환경설정> 악성코드 분석 에서 파일유사도 조회 > 로컬DB 사용 을 On 으로 설정하여야하고,
    유사도지표 데이터를 다운로드 받아 관리 > 시스템 > 업데이트 관리 > 유사도해시 업데이트 에서 파일을 업로드해야 합니다.

  • #3320 SSDEEP 유사도해시 결과 Goodware 에 대한 표시 개선

    유사도해시 결과가 malware 인 경우에만 악성코드 패밀리 정보가 출력되었으나 Goodware인 경우에도 패밀리 정보가 표시되도록 개선하였습니다.

  • #3340 삭제된 에이전트 상태를 확인할 수 있는 UI 추가

    엔드포인트 목록에서 에이전트 상태정보를 UP,DOWN,네트워크 격리 상태 정보만 제공했으나, 에이전트가 삭제된 경우에 대한 정보를 추가하고 상태정보 아이콘을 변경하였습니다.

  • #3486 오피스 프로세스에서 문서를 저장하는 경우 FileCreate를 중복 기록하지 않도록 개선

    오피스 프로세스에서 같은 문서를 저장하는 경우 FileCreate 를 1건만 기록하도록 개선하였습니다.

  • #3485 문서 파일의 FileDelete 이벤트는 중요이벤트로 기록되도록 기능 변경

    기본이벤트 수집 시 문서 파일의 FileDelete 이벤트도 중요이벤트로 기록되도록 개선하였습니다.

  • #3336 의존하는 위젯에 필요한 필드값으로 검색 조건을 넘기는 기능 추가

    대시보드 위젯에 링크 기능 사용 시, 의존하는 위젯에 필요한 필드값으로 검색 조건을 넘기는 기능이 추가되었습니다. (ex.NAC 의 UserName을 endpoint 의 AuthName 으로 검색할 때)
    해당 기능은 그리드 위젯, 빅넘버 위젯, 기본 차트 위젯에서 사용할 수 있습니다.

  • #3407 통합검색에서 JSON 구조의 데이터를 목록에서 볼 수 있게 개선

    통합검색 및 대시보드 그리드 위젯에서 컬럼 표시할 때 json 원본 데이터의 최대 5 Depth까지 표시가 가능하도록 개선되었습니다.

  • #3516 이벤트에 기록되는 FileType의 정확도 향상

    사용자가 문서 파일의 확장자를 변경한 경우 해당 파일이 문서가 아닌 다른 형식으로 기록될 수 있는데, FileCreate 이벤트의 경우 파일 Signature를 검사하지만
    FileMove 이벤트는 확장자만으로 판단하기 때문에 파일타입의 정확한 확인이 어려웠습니다.
    FileMove 이벤트 발생 시에도 파일의 Signature를 체크하도록 개선하였습니다.

  • #3511 nfilter.sys 무한리부팅 회피 기능

    에이전트에서 사용하는 드라이버(nfilter.sys)의 무한 리부팅을 방지하기 위해 직전에 사용한 드라이버 초기화 확인 후 부팅을 시도하도록 추가하였습니다.

  • #3488 수집 대상 레지스트리 및 Tag 정보 추가

    Bluetooth , 핸드폰 연결 시 MTP(media transfer protocol), USB 저장장치 연결 시 생성되는 레지스트리를 모니터링 할 수 있도록 추가하였습니다.

  • #3348 EventBypass 기능에 Hash / ML Feature를 구하지 않는 설정 추가 지원

    EventBypass 기능에 nohash 라는 action을 추가, 이벤트는 기록하고 hash만 구하지 않도록 하는 기능을 추가하였습니다.
    파일 확장자가 .tmp 인 경우 파일이 다 생성되지 않은 상태에서 feature값 생성 시 오진이 발생할 수 있어서 시간 delay를 2초 -> 120초 후 구하도록 수정하였습니다.

  • #3034 Connect 성공/실패가 혼재된 경우 따로 Grouping 하도록 개선

    Network connection에 대한 성공/실패가 혼재되어 있어 현재 연결정보를 확인하기가 어려웠습니다. network connect, disconnect 할 때 정보를 각각 기록하고 표시하도록 개선하였습니다.

  • #3504 숫자 표시 컨버터 및 빅넘버 포맷 설정 기능 개선

    빅넘버 위젯에서 포맷설정-> 소수점 자리 수 숫자 입력 시 소수점 자리 만큼 바로 표시가 가능하도록 개선되었습니다.

  • #3337 Hot-Warm 아키텍처 사용시, Warm 인덱스에 검색하는 경우 검색 속도 경고 출력 기능

    Hot-Warm 아키텍처 사용시, Warm 인덱스에 검색하는 경우 검색 속도가 느리다는 경고창이 출력되도록 추가하였습니다.
    경고창은 검색 기간이 변경될 때마다 표시되며, 관리 > 설정 > 환경설정 > 시스템 > Hot-Warm 아키텍쳐 사용 On, Warm 노드 검색 경고 설정에서 On으로 설정해야 합니다.

  • #3542 수집대상 레지스트리 및 Tag 추가

    cmd 실행 및 터미널 서비스 관련 레지스트리가 변경될 경우 Tag 정보를 추가하였습니다.

  • #3472 비밀번호 변경 및 사용자 정보 수정 시 기존비밀번호 확인하도록 개선

    비밀번호 변경 및 관리자 정보 변경 시 현재 로그인한 관리자 의 비밀번호를 한번 더 입력받도록 개선하였습니다.

  • #3535 위협 관리 화면에 이상행위 탐지시 이상행위 프로세스 정보 추가

    이상행위 탐지 시 위협 분석 상세화면에 이상행위 프로세스에 대한 정보가 있는데, 상세화면이 아닌 위협 관리화면에서도 표시되도록 개선하였습니다.

  • #2674 ReversingLabs A1000을 통한 악성코드분석 연동

    ReversingLabs A1000 연동을 통한 악성코드 분석기능이 추가되었습니다. (ReversingLabs A1000 제품 보유 고객에 해당)
    관리 > 설정 > 악성코드 분석 에서 ReversingLabs A1000 연동 정보를 설정합니다.
    위협 분석 상세 화면에서 위협분석 요청 버튼을 클릭, 분석이 완료되면 위협분석 결과 버튼으로 변경되며, 클릭 시 분석 결과가 팝업창으로 표시됩니다.

  • #3507 virustotal 외부 링크를 최신 URL 로 변경하였습니다.

  • #3653 openssl 최신버전으로 업그레이드 (OpenSSL 1.1.1g)

  • #3399 에이전트 Kafka 버전 업그레이드

  • #3458 SYSLOG 전송 시 특정 필드값이 존재하지 않을 경우 NULL 문자열을 전송하도록 개선하였습니다.

버그 수정

  • #3430 Secudium IOC 연동 후 전체 수량을 표시 하지 않던 문제가 수정되었습니다.

  • #3468 Endpoint 플랫폼 필터 검색시 결과가 다르게 표시되는 문제가 수정되었습니다.

  • #3495 File이벤트를 EventBypass 설정한 경우에도 FileHash를 구하면서 CPU를 과점유하는 문제가 수정되었습니다.

  • #3478 유입된지 하루 이상 지난 경우 ProcessStart 등의 이벤트에 유입경로가 표시되지 않던 문제 수정

    유입된지 하루 이상 지난 경우 inflowidx 에 유입날짜를 기록, 유입경로 이벤트 표시에 참고할 수 있도록 수정하였습니다.

  • #3591 서버 관리 화면의 단말 컬럼 링크를 통해 엔드포인트 목록 조회시 정상 동작 하지 않는 문제가 수정되었습니다.

  • #3600 빅넘버 위젯에서 수치를 최대 또는 최소로 표시할 때, 원본 데이터와 변환된 데이터 검색 오류로 링크 기능이 정상 동작 하지 않던 문제가 수정되었습니다.

  • #3624 대시보드 > 연결된 위젯에 출력 기능이 정상동작하지 않는 문제

    분석모드 또는 위젯 간 의존된 상태에서, Backslash가 들어간 데이터를 클릭하여 연결된 위젯에 데이터를 출력할 때 검색결과가 조회되지 않는 문제가 수정되었습니다.