Genian Insights E V2.0.5 Release Notes (2020년 06월)
신규 기능 & 기능개선
#3362 이상행위 룰 관리 화면 추가
이상행위 정책에 대한 사용 여부, 대응방법, 예외처리 대상을 설정할 수 있는 이상행위 룰 관리화면이 추가되었습니다.#3346 분석 > 위협관리 목록에서 샘플 수집, 추가 분석 리포트 보유 위협은 아이콘으로 표시하도록 개선
분석 > 위협관리 목록에서 샘플 수집, 추가 분석 리포트 보유 위협에 아이콘을 표시하도록 추가하였습니다.#3514 이벤트 조사화면 목록 UI 개선
분석 > 이벤트 조사 및 분석 > 엔드포인트목록 상세화면의 이벤트 조사 화면에서 컬럼 설정 및 설정이 개인화 되도록 개선하였습니다.최초 설치가 아닌 업그레이드 하는 경우, 컬럼 설정의 일부 컬럼명이 한글로 설정되어 있지않아 영문으로 표시될 수 있습니다.#3515 통합검색 화면에 최근 검색기록, 즐겨찾기 기능 추가 및 검색필터 기능 제거
통합검색 화면에 최근 검색기록과 즐겨찾기 기능을 추가하였습니다. 데이터 입력 및 검색 후 즐겨찾기 버튼을 클릭하면 화면에 표시된 검색조건이 자동으로 입력된 즐겨찾기 추가 화면이 표시됩니다.즐겨찾기 저장 후 검색필터 클릭 시 추가했던 즐겨찾기 목록 및 최근 검색 기록을 확인할 수 있습니다.(각각 최대 50건) 최근 검색 기록은 브라우저 캐시가 삭제되면 기록도 삭제됩니다.#3571 ES 구동 시 Template 등록을 Skip 할 수 있는 설정 추가
ES 구동 시 Template 등록에 시간이 오래 걸리는 문제가 있었습니다./disk/sys/conf/ESTEMPLATESKIP 파일이 존재하는 경우 Template 등록을 생략하도록 수정하였습니다.(cluster 환경에서는 master 서버 이외의 서버에 파일 생성)#3527 IOC를 통한 위협 탐지시 IOC Feed 정보 추가
CQ vista를 통한 IOC 탐지가 아닌 경우 (secudium) alert2,threat2,filemaster 인덱스의 feed 필드에 탐지 관련 정보를 추가하도록 개선하였습니다.#3577 Tomcat 실행속도 개선
tomcat 실행이 오래걸리는 문제가 있어서 사용하지 않는 파일은 검색하지 않고 불필요한 파일은 제거하여 실행속도를 개선하였습니다.#3593 Tomcat 버전 업그레이드 8.0.53 -> 8.5.54
tomcat 취약점으로 인해 tomcat 버전을 업그레이드하였습니다.#3561 mysql 취약점 점검 관련 개선
mysql 취약점 관련, 불필요한 파일은 삭제하고 파일 구동 시 파일 권한을 변경하였습니다.#3562 이전 위협정보로 샘플수집 명령 전송해서 수집 실패 발생하는 문제
수동으로 샘플수집 명령 수행 시 마지막 위협정보를 가지고 샘플수집 명령을 수행하도록 되어있는데, EventTime과 DetectTime이 다른 경우 샘플수집에 실패하던 문제가 있었습니다.샘플수집 시 EventTime이 아닌 DetectTime(최근 탐지 시각)을 기준으로 수집하도록 수정하였습니다.#3397 타솔루션 대응연동을 위한 REST API 개선
타솔루션과 위협대응 연동이 가능하도록 기본 REST API 를 추가하였습니다.#3415 에이전트 설치/업데이트 시 오래된 로그 삭제 기준 변경
에이전트가 설치/업데이트 될 때 오래된 파일의 삭제 기준을 7일에서 30일로 변경하였습니다.#3289 오진율 저감을 위한 XBA 진단 로직 개선
오진율 저감을 위한 XBA 진단 로직을 전반적으로 개선하였습니다.오피스 프로세스 실행, 오피스에 의한 비정상적인 실행파일 Drop, 의심 커맨드 관련 진단 로직은 일부 수정하고 오진이 발생하던 일부 이상행위는 오진 필터링 패턴을 추가하였습니다.#3544 에이전트 패키지 이름에 Insights 버전을 알 수 있도록 개선
에이전트 빌드 시 패키지 명에 NAC 버전 정보만 표시하고 있어서, Insights 버전도 확인활 수 있도록 개선하였습니다.아래와 같이 플러그인 버전 및 날짜 정보가 추가되었습니다.#3563 SSH 통신 포트 변경 기능
CLI에서 SSH 통신포트를 변경할 수 있도록 추가했습니다. 별도로 설정하지 않는 경우 기본 포트인 3910 으로 동작합니다.#3615 위협 상세화면에 표시되지 않는 위협 관련 정보 추가 및 정리
위협 상세화면에 위협관리 설정에 대한 내용을 확인할 수 있는 위협 관리 정보 를 추가하였습니다.#3573 빅데이터 환경에서 이벤트 조사 화면 사용성 개선을 위한 옵션 다양화
빅데이터 환경에서 데이터 검색 시, 시스템 성능에 영향이 있어서 최초에 관리콘솔에 진입하는 경우 데이터 자동 검색을 하지 않는 옵션 설정을 추가하였습니다.데이터 검색 기간 또한 범위를 좁혀서 검색이 가능하도록 기간 옵션을 추가하였습니다.#3570 위협 모니터링 이벤트 발생량 추이 차트 성능 개선
위협 모니터링 화면에 이벤트 발생량 추이 그래프 출력 시, 검색하는 데이터 양이 많은 경우 화면 전체 표시 속도가 느린 문제가 있었습니다.데이터 조회 시 매일 최초에 한 번만 질의하고 local Storage에 캐시처리하도록 개선하였습니다.#3363 Python Plugin 관리 UI
외부 연동 플러그인을 관리콘솔에서 등록 및 설정을 관리할 수 있는 화면이 추가되었습니다.해당 이미지 이전에 연동설정이 되어있던 외부 연동 플러그인은 삭제 후 재설정이 필요하며, master 서버에서만 동작하도록 되어 있습니다.#3584 XBA 진단룰 ShadowCopy 삭제(Ransomware.DeleteShadowCopy) 의 대응 방식 변경
ShadowCopy를 Delete하는 커맨드가 실행되는 경우, 실행된 커맨드(자식 프로세스) 뿐만 아니라 부모 프로세스도 함께 종료되도록 개선하였습니다.#3578 FileRead / FileCreate 이벤트를 기반으로 FileUpload를 탐지
FileUpload 탐지 정확도를 향상하기 위해 사전에 탐지 대상 site를 정의하고, 탐지하도록 개선하였습니다.#3292 XBA 의심스러운 certutil 실행(Anomaly.DeobfuscateCommand) 추가
certutil.exe 라는 윈도우에서 기본적으로 제공하는 인증서관련 유틸을 이용하는 행위(난독화된 페이로드를 복호화(decord)할때 진단) 진단하는 기능을 추가하였습니다.
버그 수정
#3638 windows7 이전 버전의 공유폴더 접근 시 PC 성능이 저하되는 문제가 수정되었습니다.
#3651 에이전트 Shutdown 과정에서 Deadlock 발생, 에이전트 중지/업데이트 시 시간이 오래 걸리던 문제가 수정되었습니다.
#3505 위협분석에서 ReversingLabs 연동 시 정보를 수정하면 DB설정 정보가 즉시 반영되지 않던 문제가 수정되었습니다.
#3559 관리자가 등록한 일부 XBA 예외 설정이 동작하지 않는 문제가 수정되었습니다.
파일 경로가 예외조건에 추가되어 있고 일부 이벤트 타입에 해당하는 경우 예외처리가 동작하지 않던 문제가 수정되었습니다.#3604 gsagent.exe - x86에서 로그 기록 중 크래시 발생 문제가 수정되었습니다.
#3602 레지스트리 이벤트가 XBA 행위기반 진단된 경우 관리자 예외 처리가 동작하지 않던 문제가 수정되었습니다.
#3590 잘못된 레지스트리 Tag 제거
잘못 기록된 레지스트리 Tag를 제거하였습니다.#3747 Kafka 미연결시 에이전트 종료가 지연되던 문제가 수정되었습니다.
#3806 lsass.exe(로컬 보안 인증 하위 시스템 서비스)가 불필요한 이벤트를 너무 많이 발생시켜서 RegSetValue에 대한 이벤트는 예외처리하도록 수정하였습니다.
#3816 GoogleDrive 동기화 앱의 FileUpload 이벤트가 정확히 남지 않던 문제가 수정되었습니다.
#3817 XBA 룰 "히든파일실행" 에 대한 관리자 예외처리가 동작하지 않던 문제가 수정되었습니다.