탐지 현황

탐지 현황은 V3 제품의 ASD 2.0 엔진에서 탐지한 의심 행위를 기반으로 합니다. 의심 행위 수집이 완료되면 탐지 현황 상세 정보에서 상세한 탐지 현황 정보를 확인할 수 있습니다.

탐지 현황에서 확인할 수 있는 주요 내용은 다음과 같습니다.

• 탐지 현황 확인
• 탐지된 악성코드의 주요 악성 행위 확인
• IOC에 의한 탐지 확인
• 탐지 현황 정보를 파일(csv, xlsx, pdf)로 내보내기
• 탐지 현황 목록을 클릭하여 연관 관계 다이어그램 확인

탐지 현황

탐지 현황 목록에서는 악성코드를 탐지한 로그가 발생한 파일 이름(해시값), 진단명, 탐지 에이전트, 의심 행위 수, 주요 악성 행위, IOC 탐지, 탐지 시각 정보를 확인할 수 있습니다. 탐지 현황을 확인하는 방법은 다음과 같습니다.

1. 웹 화면 위쪽에 있는 탐지를 선택합니다.

2. 메뉴에서 탐지 > 탐지 현황을 선택합니다.

3. 검색이나 기간 설정을 통해 원하는 탐지 정보를 확인할 수 있습니다. 검색 기능을 통하여 원하는 탐지 정보만 확인할 수 있습니다.

• 시간순: 탐지된 시간 순서대로 탐지 현황을 표시합니다. 시간순을 선택하면 목록의 오른쪽 상단에 탐지된 전체 개수가 표시됩니다.

• 파일별: 파일별로 탐지 현황을 표시합니다. 파일별을 선택하면 목록의 오른쪽 상단에 전체 탐지 파일 수와 전체 탐지 횟수가 표시됩니다.

• 진단 유형별: 진단 유형별로 탐지 현황을 표시합니다. 하나의 진단명에 탐지 횟수와 탐지 에이전트 수, 탐지 파일 개수가 표시됩니다. 진단 유형별을 선택하면 목록의 오른쪽 상단에 전체 탐지 진단명과 전체 탐지 횟수가 표시됩니다.

• 파일 이름(해시값): 탐지된 파일 이름과 해시값 정보를 표시합니다. 해시값은 악성코드 감염 로그에 해시값이 포함된 경우 표시됩니다. 감염 로그에서 치료 완료(파일 삭제)인 경우, 파일 삭제 아이콘()을 표시합니다.

• 진단명: 탐지된 파일의 진단명이 있을 경우, 진단명이 표시됩니다.

• 탐지 에이전트: 의심 행위가 탐지된 에이전트입니다. 탐지된 에이전트의 연결 상태, IP 주소, 컴퓨터 이름을 표시합니다. 에이전트가 서버에 연결된 상태이면 녹색()으로 표시됩니다.

• 의심 행위 수: 의심 행위 횟수를 나타냅니다. 악성 코드를 탐지하는 과정에서 집계한 발생한 행위의 수를 프로세스와 파일로 구분하여 나타내며, 검사 로그(ASD 로그)가 수집되기 전에는 수집 중으로 표시됩니다. 의심 행위 수집이 완료되면 탐지 현황 상세 화면으로 이동할 수 있습니다.

• 주요 악성 행위: 주요 악성 행위별 탐지 행위를 표시합니다. 주요 악성 행위는 랜섬웨어 행위, 인젝션 행위, 네트워크 접속, 시스템 설정 변경등의 행위가 표시됩니다.

• 랜섬웨어 행위(): 특정 프로세스가 랜섬웨어 유인을 위해 만든 디코이(Decoy) 파일 및 다수의 문서 파일을 변경(이름 변경, 내용 변경, 파일 삭제)하거나 Windows 샘플 그림 파일을 변경하는 등의 랜섬웨어 행위를 탐지했습니다. 랜섬웨어 행위는 V3의 행위 기반 진단 기법을 통해 랜섬웨어의 특정한 행동을 모니터링하여, 사용자 PC내 랜섬웨어의 행위를 탐지합니다. 랜섬웨어 행위를 진단하는 행위 기반 진단 방법은 시그니처 업데이트가 아닌 특정 행위만으로 악성코드를 진단합니다. V3는 행위 기반 진단을 기반으로 '디코이(Decoy)' 파일을 이용한 랜섬웨어 진단 기법'을 통해 랜섬웨어를 탐지합니다.

• 인젝션 행위(): 시스템에 존재하는 대상(화면 보호기, IE 도구 모음, IE BHO, 자동 시작 프로그램등)의 메모리 영역에 데이터를 쓰는 행위를 수행합니다. 악성코드가 인젝션 대상에 악성행위를 할 수 있습니다. 시스템에 인젝션하거나 시스템 프로세스 메모리에 쓰는 행위를 탐지합니다.

• 네트워크 접속(): DDoS와 같은 네트워크의 비정상적인 트래픽 행위 및 알려지지 않은 프로그램이 처음으로 해외 IP등의 인터넷에 연결하는 행위를 탐지합니다.  신뢰할 수 없는 프로그램의 인터넷 연결은 악성행위 일수 있어 주의가 필요합니다.

• 시스템 설정 변경(): 의심스러운 방법으로 다른 프로세스(rundll32.exe, svchost.exe등)를 실행하는 행위 및 레지스트리를 수정하여 보안 수준을 변경(Windows 방화벽 설정 변경, 네트워워크 보안 설정 변경, 부팅 설정 파일 변경등)하는 행위를 탐지했습니다. 취약성을 이용한 악성코드이거나, 프로세스를 이용한 자신의 은폐 행위일 수 있습니다.

• IOC 탐지: IOC에 의한 탐지 여부를 나타냅니다.

• 탐지 시각: 악성코드가 탐지된 시각을 표시합니다.

참고

 IOC가 업로드되지 않은 상태에서는 IOC 탐지 컬럼이 표시되지 않습니다.

4. 탐지 현황 목록을 클릭하면 탐지 현황 상세 정보에서 연관 관계 다이어그램과 상세 정보를 확인할 수 있습니다.

검색

검색어를 입력하고 검색( )을 클릭하면 원하는 탐지 정보만 검색됩니다. 검색 시 입력 정보는 파일 이름(해시값), 진단명, 에이전트 IP 주소로 검색할 수 있습니다.

기간 설정

탐지 현황에서는 기간을 지정하여 그 기간 내의 탐지 현황을 확인할 수 있습니다. 기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.  

내보내기

검색 하위에 있는 내보내기 메뉴를 선택하면 화면의 탐지 현황 정보를 csv, xlsx, pdf 형태의 파일로 저장할 수 있습니다. 시간순, 파일별, 진단 유형별로 내보내기 할 수 있습니다.

관련 정보

• 탐지 현황 상세 정보