Unknown 상세 정보

Unknown 상세 정보에서는 Unknown 탐지 목록에 대한 상세 정보를 확인할 수 있습니다. 알려지지 않은 악성 행위에 대한 탐지 정보가 트리 형태로 시각화되어 표시되며, 의심 행위 다이어그램에서 프로세스, 파일 등의 선택 시 각 객체에 대한 요약 정보가 화면 오른쪽에 표시됩니다. 또한 Unknown으로 탐지된 대상이 MITRE ATT&CK Matrix에 해당될 경우, MITRE ATT&CK Matrix의 ID와 공격 기법(Tatics)이 상세 정보에 표시되어 해당 페이지로 이동할 수 있습니다.

Unknown 상세 정보에서 확인할 수 있는 주요 내용은 다음과 같습니다.

Unknown 탐지 대상에 대한 주요/연관/부가 행위 확인
연관 관계 다이어그램 내 행위 메시지 확인
Suspicious/Abnormal Process 확인

참고

의심 행위 로그를 남기지 않는 예외 사항들에 의해 연관 관계 다이어그램 트리가 표현되지 못하는 경우가 있습니다. 대표적인 예외 사항은 다음과 같습니다.
1. 동일한 행위가 20분 내에 재 발생하면, 의심 행위 로그를 남기지 않습니다. 이 경우, 로그가 없어 트리가 끊어져서 표시되거나 트리가 표시되지 않을 수 있습니다.
2. 공유 폴더에서 실행된 의심 행위는 트리에서 시각화를 지원하지 않습니다.
3. USB 중 Mount point가 존재하지 않는 경우, 의심 행위 로그가 남지 않아 트리에서 표시되지 않습니다.
4. V3 의심 행위 백업 파일 교체 시점에 수집되지 않은 로그가 존재할 경우 트리가 끊어져서 표시될 수 있습니다.
5. 프로세스가 Whitelist에 속하거나 디지털 서명이 되어 있는 경우 로그를 남기지 않습니다.
6. 그 외, ASD 엔진에서 정한 예외 조건에 해당하는 경우 로그를 남기지 않습니다.

연관 관계 다이어그램

연관 관계 다이어그램에서는 프로세스 실행과 의심 행위 관계를 트리 형태로 시각화하여 표시합니다. 연관 관계 다이어그램 및 상세 목록에서는 주요/연관 행위 및 부가 정보를 다이어그램으로 표시합니다. 랜섬웨어 행위와 유사하거나 다른 프로세스에 인젝션하는 행위를 비롯하여 비정상적인 네트워크 접속 행위, 시스템 설정 변경 행위, 권한 상승 행위, 파일리스(Fileless) 행위 등을 확인할 수 있습니다. 연관 관계 다이어그램에서 시스템, 파일, 프로세스, 레지스트리, 네트워크의 각 항목을 클릭하면 오른쪽 화면에서 상세 정보를 확인할 수 있고, 대응하기 메뉴를 통해 탐지된 에이전트에 대응 명령을 내릴 수 있습니다. 대응하기 메뉴는 에이전트 시스템, 파일, 프로세스 선택에 따라 에이전트에 전달할 수 있는 명령은 달라질 수 있습니다. 연관 관계 다이어그램에서 행위 정보는 화살표로 표시되며 주요 행위는 빨간색, 연관 행위는 검정색, 부가 정보는 회색으로 표시됩니다.

주요 행위(): 시스템, 파일, 프로세스, 레지스트리, 네트워크 등을 통해 발생한 의심 행위 중, 탐지 요건에 부합하는 주요한 행위를 표시합니다.
연관 행위(): 주요 행위를 수행하기 위한 연관된 행위를 표시합니다. 예를 들어, 주요 행위인 인젝션 수행을 위한 프로세스 생성 등이 연관 행위에 표시될 수 있습니다.
부가 정보(): 연관 관계 다이어그램에서 주요 행위와 연관 행위를 나타내기 위한 부가적인 정보입니다.
Suspicious Process(): 악성에 가까운 의심 행위를 하는 프로세스를 나타냅니다. 다이어그램에서 악성으로 의심되는 Suspicious Process는 해당 프로세스 옆에 빨간색()이 표시됩니다.
Abnormal Process(): 정상적이지 않은 모든 행위의 프로세스를 나타내며, 주의가 필요한 프로세스입니다.
탐지된 현재 프로세스() : 탐지된 현재(Current) 프로세스입니다. Unknown 탐지 목록의 '파일 이름' 칼럼에 표시되는 프로세스입니다.

연관 관계 다이어그램 화면 설정

연관 관계 다이어그램 상단 왼쪽에는 탐지 대상의 파일 이름과 해시값이 표시되며, 오른쪽에는 위험도와 관리자 확인 상태가 표시됩니다.

위험도: Unknown 탐지 조건의 내부적인 점수에 따라 Low, Medium, High로 표시합니다.

Low: Unknown 탐지 조건의 내부적인 위험도 점수가 0~49점 사이의 위험도를 Low로 표시합니다.
Medium: Unknown 탐지 조건의 내부적인 위험도 점수가 50~79점 사이의 위험도를 Medium으로 표시합니다.
High: Unknown 탐지 조건의 내부적인 위험도 점수가 80~100점 사이의 위험도를 High로 표시합니다.

관리자 확인 상태: Unknown에서 설정한 관리자 확인 상태를 나타냅니다. 관리자 확인 상태는 미확인, 보류, 확인 완료, 예외 처리 중 관리자가 설정한 확인 상태가 표시됩니다.
주요/연관 행위만 보기: 주요/연관 행위 보기를 선택하면 다이어그램에서 탐지된 항목의 주요 행위와 연관 행위만 표시되고, 선택 해제하면 탐지된 항목의 주요 행위와 연관 행위, 부가 정보까지 다이어그램에 표시됩니다.
행위 메시지 보기: 행위 메시지 보기를 선택하면 다이어그램에서 탐지된 항목의 주요/연관 행위에 대한 메시지가 표시되고, 선택 해제하면 주요/연관 행위 메시지가 표시되지 않습니다.
전체 펼치기: 다이어그램의 모든 트리를 전체 펼칩니다.

전체 접기: 다이어그램의 트리에서 특정 객체에서 발생한 행위가 다수일 경우, 트리를 접어서 +로 표시합니다.
확대(): 화면에 보이는 연관 관계 다이어그램의 크기를 확대하여 표시합니다.
축소(): 화면에 보이는 연관 관계 다이어그램의 크기를 축소하여 표시합니다.
100%(): 다이어그램의 크기를 확대하거나 축소하기 전의 기본 크기로 표시합니다.
전체 보기(): 다이어그램을 한 화면내에서 볼 수 있도록 전체 다이어그램을 표시합니다. 다이어그램이 전체 펼쳐진 상태에서 전체 보기를 선택한 경우, 화면의 다이어그램이 작게 축소되어 보일 수 있습니다.

상세 정보

Unknown 탐지 행위에 대한 요약 정보와 전체 행위 정보를 확인할 수 있습니다. 요약에서는 기본 정보와 주요 행위를 확인할 수 있고, 전체 행위 정보에서는 주요 행위를 비롯하여 탐지된 모든 행위에 대한 정보를 확인할 수 있습니다.

요약

기본 정보

탐지 대상에 대한 기본 정보를 표시합니다. 기본 정보에는 탐지 시각, 파일 이름/경로, 해시값(MD5), 파일 크기, 전자 서명, 진단명, 행위 유형, 탐지 에이전트, 타임라인(Timeline), 위협 정보 확인 등의 정보가 표시됩니다. 유입 경로가 확인된 경우, 기본 정보 하위에 탐지 시각과 함께 표시됩니다.

탐지 시각: 악성 행위가 탐지된 시각을 표시합니다.
유입 경로: 탐지 대상의 유입 경로를 표시합니다. 유입 경로는 웹 브라우저, 네트워크 공유 폴더, 이동식 디스크, 메일(Outlook) 중 표시됩니다.
웹 브라우저(): 웹 브라우저를 통한 유입을 표시합니다. Internet Explorer, Chrome, FireFox 등의 웹 브라우저 프로세스가 유입 경로입니다.
네트워크 공유 폴더(): 네트워크 공유 폴더를 통한 유입을 표시합니다. 네트워크 공유 폴더를 통해 복사되어 생성된 파일 또는 실행 파일이 유입 경로입니다.
이동식 디스크(): 이동식 디스크를 통한 유입을 표시합니다. 이동식 디스크를 통해 복사되어 생성된 파일 또는 실행 파일이 유입 경로입니다.
메일(): 메일을 통한 유입을 표시합니다. Outlook 프로세스가 유입 경로입니다.
파일 이름/경로: 탐지된 대상의 파일 이름과 파일이 위치한 경로를 표시합니다.
해시값(MD5): 파일의 해시값 정보를 표시합니다. 해시값이 없을 경우, 정보 없음으로 표시됩니다.
파일 크기: 탐지된 파일의 크기를 표시합니다.(단위: bytes)

전자 서명: 탐지된 대상 파일의 전자 서명자 정보와 발급자 정보를 표시합니다. 전자 서명이나 발급자가 없는 경우, 없음으로 표시됩니다.
서명자: 전자 서명을 한 서명자가 표시됩니다. 서명자가 여러개인 경우 모두 표시됩니다. (예: AhnLab,Inc.)
발급자: 전자 서명 인증서를 발급한 발급자가 표시됩니다. 발급자가 여러개인 경우 모두 표시됩니다. (예: VeriSign Class 3 Code Signing 2010 CA)

진단명: Unknown 탐지 대상에 대한 진단명과 상세한 행위 메시지가 표시됩니다. (예: Suspicious/EDR.Inject.M2710, 악성코드와 유사한 방법으로 인젝션을 수행하는 행위를 탐지했습니다. 시스템에 악성코드 위협이 존재할 가능성이 높으므로 시스템 전체에 대한 악성코드 검사를 수행하십시오.)
행위 유형: 주요 악성 행위 유형별 탐지 행위를 표시합니다. 행위 유형에는 랜섬웨어, 인젝션, 네트워크 접속, 정보 탈취, 시스템 설정 변경, 권한 상승, 파일리스(Fileless), 취약점, 기타 행위가 표시됩니다.

랜섬웨어: 랜섬웨어로 진단되진 않았으나, 랜섬웨어와 유사한 행위를 수행하는 대상을 표시합니다. 인젝션된 프로세스 혹은 특정 프로세스가 일반적으로 접근하지 않는 시스템의 기본 문서 파일에 접근하거나 연속된 문서 파일을 변경하는 행위, 랜섬웨어 유인 용도의 디코이(Decoy) 파일에 접근하여 파일을 변경하는 행위등을 랜섬웨어 유사 행위에서 표시합니다.

인젝션: 시스템 파일에 인젝션하거나 시스템 프로세스 메모리 영역에 데이터 쓰기를 시도하는 대상을 인젝션 행위에서 표시합니다.
네트워크 접속: DDoS와 같은 네트워크의 비정상적인 트래픽 행위나 C2 서버 접근 행위를 네트워크 접속에서 표시합니다.
정보 탈취: 사용자 계정이나 시스템 정보 등을 수집하는 행위를 정보 탈취에서 표시합니다.
시스템 설정 변경: 레지스트리를 수정하여 시스템의 보안 수준 설정을 변경하거나 Windows 방화벽 설정 변경 등의 행위를 표시합니다.
권한 상승: 상위 권한으로 프로세스가 실행되거나, 권한이 변경되는 행위 등의 의심스러운 행위를 표시합니다.
파일리스(Fileless): 시스템 내 파일 생성 과정 없이, 프로세스 메모리 영역에서 동작하는 의심스러운 행위를 파일리스에서 표시합니다.
취약점(Exploit): 정상 프로그램의 설계적 결함을 악용하여 프로그램이 의도하지 않은 코드가 실행되는 행위를 취약점에서 표시합니다.
기타: 랜섬웨어, 인젝션, 네트워크 접속, 정보 탈취, 시스템 설정 변경, 파일리스(Fileless), 취약점 이외의 의심 행위를 기타에서 표시합니다.

탐지 에이전트: 설정된 기간내에 탐지된 의심 행위가 발생한 에이전트 수를 표시합니다. [목록 보기]를 클릭하면 관리 > 에이전트 현황으로 이동하여 탐지된 에이전트가 설치된 시스템의 상세 정보를 확인할 수 있습니다.
타임라인(Timeline): 탐지 행위가 발생된 시간을 기준으로 전, 후 30분내에 발생한 행위 정보를 표시합니다. 타임 라인에서 표시는 정보는 문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드 등이 있습니다. [상세 보기]를 클릭하면 탐지 시각을 기준(AT)으로 전, 후 30분 동안 탐지된 Artifacts 행위를 표시합니다.

시각: 문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드 등의 행위가 발생한 시각을 표시합니다.
행위 유형: 탐지 행위가 발생된 시간을 기준으로 전, 후 30분내에 발생한 행위 정보를 표시합니다. 행위 유형에 표시되는 정보는 문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드 등이 있습니다.
문서 파일 열기() : 탐지 시각을 기준으로 전, 후 30분 동안 문서 파일 열기를 탐지한 횟수를 표시합니다.

참고

문서 파일 열기는 Windows 10 이상부터 지원합니다.

브라우저를 통한 웹 연결() : 탐지 시각을 기준으로 전, 후 30분 동안 브라우저를 통한 웹 연결을 탐지한 횟수를 표시합니다.
파일 다운로드() : 탐지 시각을 기준으로 전, 후 30분 동안 파일 다운로드를 탐지한 횟수를 표시합니다.
내용: 행위 유형에 따라 파일 경로나 웹 URL 정보가 표시됩니다.
사용자: 행위가 발생한 사용자 컴퓨터의 컴퓨터 이름과 계정 정보가 표시됩니다.
부가 정보: 행위 유형(문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드)에 따른 부가적인 정보를 표시합니다.
문서 파일 열기: 실행한 프로그램과 유입 경로(Source)등이 표시될 수 있습니다.
브라우저를 통한 웹 연결: 브라우저 탭에 표시되는 내용이 표시될 수 있습니다.
파일 다운로드: 파일 크기, 파일 이름, 파일 경로 등이 표시될 수 있습니다.

관련 프로세스: 탐지된 프로세스 중, EDR 탐지룰과 관련 있는 정보는 연관 관계 다이어그램에 표시되고, 그 이외의 프로세스는 관련 프로세스 목록에서 확인할 수 있습니다. [상세 보기]를 클릭하면 <관련 프로세스 상세 보기>에서 관련 프로세스 정보를 확인할 수 있고 On-Demand 검사를 수행하거나 해당하는 MITRE ATT&CK 정보를 확인할 수 있습니다.

On-Demand 검사: 선택한 프로세스에 On-Demand 검사 명령을 내릴 수 있습니다. On-Demand 검사를 수행하려면 [검사하기]를 클릭하여 선택한 프로세스에 On-Demand 검사 명령을 내리시겠습니까?라는 메시지가 표시되면 예를 클릭합니다.

검사 상태: On-Demand 검사 상태를 표시합니다. On-Demand 검사가 진행 중인 경우 진행 중(), 검사가 완료된 경우 [결과 보기], On-Demand 검사가 실패한 경우 실패로 표시됩니다. [결과 보기]를 클릭하면 On-Demand 검사 결과 페이지로 이동하여 해당 프로세스에 대한 연관 관계 다이어그램이나 상세 정보를 확인할 수 있습니다.
위험도: 관련 프로세스의 위험도가 표시됩니다. 위험도는 탐지 조건의 내부적인 점수에 따라 Low, Medium, High로 표시됩니다.
Low: Unknown 탐지 조건의 내부적인 위험도 점수가 0~49점 사이의 위험도를 Low로 표시합니다.
Medium: Unknown 탐지 조건의 내부적인 위험도 점수가 50~79점 사이의 위험도를 Medium으로 표시합니다.
High: Unknown 탐지 조건의 내부적인 위험도 점수가 80~100점 사이의 위험도를 High로 표시합니다.
MITRE ATT&CK: 관련 프로세스에 대한 MITRE ATT&CK ID와 공격 기법(Tactics)이 표시됩니다.
행위 메시지: 관련 프로세스에 대한 행위 메시지가 표시됩니다.
프로세스 정보: 관련 프로세스의 프로세스 이름이 표시됩니다.
해시값: 관련 프로세스의 해시값이 표시됩니다.
파일 크기: 관련 프로세스의 파일 크기가 표시됩니다.
탐지 시각: 관련 프로세스가 탐지된 시각을 표시합니다.

위협 정보 확인: 탐지된 IP 주소, URL, 해시값(MD5), 프로세스에 대한 위협 정보를 확인할 수 있습니다. 위협 정보 확인 사이트는 VirusTotal, malwares.com, Google이 있습니다.

참고

해시값(MD5)이 없는 경우 VirusTotal, malwares.com는 화면에 표시되지 않습니다.

VirusTotal: 탐지된 해시값(MD5)이나 IP 주소, URL 정보를 이용하여 VirusTotal 페이지로 연결됩니다.
malwares.com: 탐지된 해시값(MD5)이나 IP 주소, URL 정보를 이용하여 malwares.com 페이지로 연결됩니다.
Google: 탐지된 프로세스 정보를 이용하여 Google 페이지로 연결됩니다.

주요 행위

주요 의심 행위를 내부적인 위험도 기준에 따라 Low, Medium, High로 구분하여 표시합니다. Unknown으로 탐지된 행위가 MITRE ATT&CK Matrix에 해당되는 내용일 경우, MITRE ATT&CK Matrix의 ID와 기법(Tactics)이 표시됩니다.

참고

MITRE ATT&CK Matrix의 ID와 기법(Tactics)은 아래 MITRE ATT&CK Matrix 표를 참고하십시오.

MITRE ATT&CK Matrix의 ID(예: T1090: Connection Proxy)를 클릭하면 MITRE ATT&CK Matrix의 웹 페이지로 이동하여 각 기법(Tactics)에 대한 상세 정보를 확인할 수 있고, 기법(Tactics) 하위에는 탐지 행위와 탐지된 프로세스의 이름과 프로세스 ID(PID)가 표시됩니다.

Low: 주요 의심 행위의 내부적인 위험도 점수가 0~49점 사이의 위험도를 Low로 표시합니다.
Medium: 주요 의심 행위의 내부적인 위험도 점수가 50~79점 사이의 위험도를 Medium으로 표시합니다.
High: 주요 의심 행위의 내부적인 위험도 점수가 80~100점 사이의 위험도를 High로 표시합니다.

MITRE ATT&CK Matrix

MITRE ATT&CK Matrix는 MITRE라는 비영리 회사에서 발표한 자료로 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)은 사이버 공격자가 침투 이전 혹은 이후의 활동 사례를 분석하여, 공격자의 공격 기법(Tactics)과 침투 기술(Techniques)을 매트릭스(Matrix)화 한 자료입니다. Unknown으로 탐지한 대상이 MITRE ATT&CK에 해당하는 내용의 경우, 공격 기법(Tatics)을 클릭하여 MITRE ATT&CK 웹 페이지의 상세 내용으로 이동할 수 있습니다. MITRE ATT&CK Matrix에서 정의된 Enterprise Tactics는 다음과 같습니다.

ID	공격 기법(Tatics)	설명
TA0001	초기 접속(Initial Access)	공격자가 네트워크에 접속을 시도합니다. 초기 접속(Initial Access)은 다양한 진입 요소(vector)를 사용하여 네트워크 내에서 초기 거점(Foothold)을 확보하는 기술입니다. 거점을 마련하는 데 사용되는 기법에는 표적 공격인 스피어피싱(Spearphishing) 및 공개 웹 서버의 취약점을 악용하는 수법 등이 있습니다. 초기 접속(Initial Access)을 통해 확보된 거점(Foothold)은 유효한 계정 및 외부 원격 서비스 사용을 통해 지속적인 접속을 허용하게 하거나, 비밀번호 변경 시 제한적으로 사용됩니다.
TA0002	실행(Execution)	공격자가 악성코드를 실행하려고 합니다. 악성 행위 실행(Execution)은 로컬 또는 원격 시스템에서 공격자 제어 코드를 실행하는 기술들로 구성됩니다. 악성 코드를 실행하는 기술은 네트워크 탐색이나 데이터 도용과 같은 광범위한 목표를 달성하기 위한 다른 모든 수법과 짝을 이룹니다. 예를 들어, 공격자는 원격 접속 툴을 사용하여 원격 시스템 검색을 수행하는 PowerShell 스크립트를 실행할 수 있습니다.
TA0003	지속적인 공격(Persistence)	공격자가 거점(foothold)을 유지하려고 합니다. 지속적인 공격(Persistence)은 공격자가 시스템 재 시작 및 변경된 자격 증명, 그리고 기타 접속을 차단할 수 있는 공격을 통해 시스템 접속을 계속 유지할 수 있도록 하는 기법으로 구성됩니다. 지속적인 공격(Persistence)에 사용되는 기술에는 코드 교체, 시작 코드 추가, 하이재킹(Hijacking)과 같이 시스템에 거점을(Foothold) 유지할 수 있도록 하는 접근(Access), 설정 변경, 작업(Action) 등이 있습니다.
TA0004	권한 상승(Privilege Escalation)	공격자가 높은 수준의 권한을 얻으려고 합니다. 권한 상승(Privilege Escalation)은 공격자가 시스템 또는 네트워크 상에서 상위 권한을 획득하기 위한 기법입니다. 공격자는 접근 권한만 획득한 상태로 네트워크에 진입하여 탐색하고, 공격 목표를 달성하기 위해 시스템 취약점 및 환경 구성 오류를 이용하여 상위 권한으로 접근합니다. (예: 시스템/루트 레벨, 로컬 관리자, 관리자와 같은 접근 권한이 있는 사용자 계정 등)
TA0005	보안 우회(Defense Evasion)	공격자가 탐지를 회피하려고 합니다. 보안 우회(Defense evasion)는 침해를 시도하는 동안 탐지를 회피하기 위해 사용하는 기술입니다. 보안 우회를 위해 사용되는 기술에는 보안 소프트웨어 제거 및 비활성화, 데이터나 스크립트 난독화 또는 암호화 등이 포함됩니다. 공격자는 신뢰할 수 있는 프로세스를 악용하여 멀웨어를 숨기거나 가장합니다.
TA0006	계정 탈취(Credential Access)	공격자가 사용자 계정과 비밀번호를 탈취하려고 합니다. 계정 탈취(Credential Access)는 계정 이름이나 비밀번호와 같은 자격 증명 정보를 탈취하는 기술입니다. 자격 증명을 얻는데 사용되는 기술에는 키 로깅(Keylogging) 또는 크리덴셜 덤핑(Credential Dumping)이 있습니다.
TA0007	정찰(Discovery)	공격자가 사용자의 시스템 환경을 파악하려고 합니다. 정찰(Discovery)은 공격자가 시스템과 내부 네트워크에 대한 정보를 얻기 위한 기술입니다. 이러한 기술은 공격자가 공격 방법을 결정하기 전에 환경을 파악하고 방향을 정하도록 도와줍니다. (예: 포트 스캔, 공유 폴더 확인 등)
TA0008	내부망 이동(Lateral Movement)	공격자가 사용자 환경 내에서 이동을 시도합니다. 내부망 이동(Lateral Movement)은 네트워크 상에서 공격자가 원격 시스템을 접속, 제어 하기 위해 사용하는 기술입니다. 공격자가 목적을 수행하려면 공격 목표를 찾기 위해 네트워크를 탐색하고 접근해야 합니다. 공격자는 내부망 이동을 위해 자신의 원격 접속툴을 설치하거나 기본 네트워크 및 운영 체제 도구와 함께 자격 증명을 이용할 수 있습니다.
TA0009	수집(Collection)	공격자가 탈취하고자 하는 정보를 수집하려고 합니다. 수집(Collection)은 공격자가 정보나 공격자의 목적을 수행하는데 필요한 소스를 수집하는 기술입니다. 데이터를 수집한 후에는 데이터를 탈취하는 것을 목표로 합니다. 타겟 소스로는 브라우저, 오디오, 비디오 및 이메일 등 다양한 종류가 있고, 수집 방법으로는 스크린샷 캡처나 키보드 입력이 있습니다.
TA0011	명령 및 제어(Command and Control)	공격자가 사용자 시스템을 제어하기 위해 보안이 취약한 시스템으로 통신하려고 합니다. 명령 및 제어(Command and Control)를 통해 공격 대상 네트워크 내에 자신이 제어 할 수 있는 시스템과 통신하기 위해 사용할 수 있는 기술로 구성됩니다. 공격자는 일반적으로 탐지를 피하기 위해 정상 트래픽을 모방합니다. 희생자(victim)의 네트워크 구조와 방어에 따라 공격자가 다양한 수준으로 사용자가 인지하지 못하게 스텔스(stealth)로 명령하고 제어할 수 있는 방법이 있습니다.
TA0010	유출(Exfiltration)	공격자가 데이터를 탈취하려고 합니다. 중요 정보 유출(Exfiltration)은 공격자가 사용자 네트워크에서 데이터를 탈취하기 위해 사용할 수 있는 기술들로 구성됩니다. 데이터를 수집한 후, 공격자는 탐지를 피하기 위해 데이터를 압축하거나 암호화 합니다. 표적 네트워크로부터 데이터를 수집하는 기법에는 일반적으로 C&C 채널 또는 다른 채널을 통해 데이터를 전송하는 것과, 전송 크기에 제한을 두는 것이 있습니다.
TA0040	충격(Impact)	공격자가 사용자 데이터 및 시스템을 조작, 제어, 파괴하려고 합니다. 충격(Impact)은 공격자가 비즈니스 및 운영 프로세스를 조작하여 사용성이나 무결성을 손상시키는데 사용하는 기술로 구성됩니다. 데이터 파괴, 조작, 변조와 같은 수법이 있으며, 공격 대상의 비즈니스 프로세스가 정상적으로 보이지만 공격자의 목적에 맞게 조작되었을 수 있습니다.

전체 행위 정보

전체 행위 정보에서는 객체별 탐지 내용에 대한 상세 정보를 표시합니다. 전체 행위 정보옆에 위치하는 을 클릭하면 전체 행위 정보를 행위 발생 순서로 보기, 최근 행위 순서로 보기, 행위 분류별 보기에서 선택하여 볼 수 있습니다.

참고

연관 관계 다이어그램에서 주요 행위에 해당하는 빨간색 화살표를 클릭하면, 전체 행위 정보에서 해당 주요 행위에 대한 프로세스 정보와 대상에 대한 상세 정보가 선택되어 표시됩니다.

전체 행위 정보 보기 설정() : 전체 행위 정보 보기를 설정 할 수 있습니다.
행위 발생 순서로 보기: 행위가 발생한 시간 순서대로 행위 정보를 위에서 부터 표시합니다.
최근 행위 순서로 보기: 가장 최근에 발생한 행위 순서대로 행위 정보를 위에서 부터 표시합니다.
행위 분류별 보기: 상세 행위 정보를 행위 분류별로 표시합니다. 전체를 선택하면 프로세스, 파일, 레지스트리, 네트워크, 시스템에 대한 전체 행위를 상세 행위 정보에 표시합니다.
프로세스: 프로세스에 대한 행위만 상세 행위 정보에 표시합니다.
파일: 파일에 대한 행위만 상세 행위 정보에 표시합니다.
레지스트리: 레지스트리에 대한 행위만 상세 행위 정보에 표시합니다.
네트워크: 네트워크에 대한 행위만 상세 행위 정보에 표시합니다.
시스템: 시스템 관련 행위만 상세 행위 정보에 표시합니다.

전체 행위 정보 상세 보기: 전체 행위 정보 하위의 프로세스나 파일명을 클릭하면 행위 정보의 상세 정보를 확인할 수 있습니다.

구분: 구분에는 행위 객체에 해당하는 프로세스/파일/레지스트리/네트워크/시스템이 표시될 수 있습니다.
행위 발생 시각: 의심 행위가 발생된 시각을 표시합니다.

참고

구분에 표시되는 행위 객체에 따라 [프로세스 정보]와 [대상]에 표시되는 정보는 달라질 수 있습니다.

[프로세스 정보]
파일 이름: 행위 주체가 되는 파일의 이름입니다. 파일 이름을 클릭하면 객체별 상세 정보를 확인할 수 있습니다.
프로세스 ID: 행위 주체가 되는 프로세스의 ID입니다.
해시값: 행위 주체가 되는 파일의 해시값 정보입니다. 해시값은 파일을 식별하는 역할을 합니다.
파일 경로: 행위 주체가 되는 파일이 위치한 경로입니다.
파일 크기: 행위 주체가 되는 파일의 크기입니다. (단위: bytes)

위험도: 탐지된 주요 의심 행위는 내부적인 위험도 기준에 따라 Low, Medium, High로 구분되어 표시됩니다.
MITRE ATT&CK Matrix ID/Tactics: 탐지된 행위가 MITRE ATT&CK Matrix에 해당되는 내용일 경우, MITRE ATT&CK Matrix의 ID와 기법(Tactics)이 표시됩니다.
상세 행위 메시지: 행위에 대한 상세 메시지가 표시됩니다. (예: 프로세스(svchost.exe)가 다른 프로세스를 실행하는 행위를 탐지했습니다.)
[대상]
파일 이름: 프로세스 정보에 표시되는 파일이나 프로세스가 접근하는 대상 파일의 이름입니다. 파일 이름을 클릭하면 객체별 상세 정보를 확인할 수 있습니다.
해시값: 대상 파일의 해시값입니다.
프로세스 ID: 대상 파일의 프로세스 ID입니다.
파일 경로: 대상 파일의 경로입니다.
Cmd line: 대상이 되는 파일이 실행될 때의 실행 인자입니다. 실행 인자가 없는 경우, 표시되지 않을 수 있습니다.
파일 크기(bytes): 대상 파일의 크기입니다.
원격 IP 주소: 프로세스 정보에 표시되는 파일이나 프로세스가 접근하는 원격의 IP 주소입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
원격 포트 번호: 프로세스 정보에 표시되는 파일이나 프로세스가 접근하는 원격의 포트 번호입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
로컬 IP 주소: 프로세스 정보에 표시되는 파일이나 프로세스가 접근하는 로컬의 IP 주소입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
로컬 포트 번호: 프로세스 정보에 표시되는 파일이나 프로세스가 접근하는 로컬의 포트 번호입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
Host 주소: 네트워크 연결 행위가 발생한 경우, Host 주소입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
IP 주소: 네트워크 연결 행위가 발생한 경우, 연결된 IP 주소 정보입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
포트 번호: 네트워크 연결에 사용된 포트 번호입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.
URL: 네트워크 연결 행위가 발생하여 접속한 URL 정보입니다. 탐지된 행위가 네트워크 행위인 경우 표시될 수 있습니다.

객체별 상세 정보 및 대응하기

탐지 에이전트 시스템()

연관 관계 다이어그램에서 탐지 에이전트 시스템을 클릭하면 화면 오른쪽에 탐지된 에이전트 시스템에 대한 정보가 표시됩니다. 탐지 시스템의 컴퓨터 이름 옆, 아이콘을 클릭하면 탐지 > 에이전트 상세 정보로 이동하여 탐지된 에이전트 시스템에 대한 상세 정보를 확인할 수 있습니다. 또한 대응하기 메뉴를 통해 탐지된 에이전트 시스템 대응 명령을 내릴 수 있습니다.

대응하기: 탐지된 에이전트 시스템을 대상으로 행위 정보를 수집하기 위한 명령을 내리거나 정보를 조회할 수 있습니다.
EDR 네트워크 차단: 탐지된 에이전트 시스템의 네트워크를 차단합니다.
EDR 네트워크 차단 해제: 차단한 에이전트 시스템의 네트워크를 차단 해제합니다.
Ahnreport 수집: 탐지된 에이전트 시스템에 대해 Ahnreport 수집 명령을 내립니다. Ahnreport 수집에서는 파일, 레지스트리, 시스템, 네트워크, 하드웨어, 설치된 프로그램 정보를 수집합니다. Ahnreport 수집 시 수집 정보 유형을 선택할 수 있고, 수집 명령 전달 후 대기 시간을 설정할 수 있습니다.
수집 정보 유형: Ahnreport 수집 정보 유형을 선택합니다. 제품 오류 선택 시, 제품의 동작상에 오류가 발생한 경우 원인 분석을 위한 시스템 정보, 제품 정보 및 로그 정보를 수집합니다. 악성코드 선택 시, 악성코드 분석을 위한 시스템 정보, 의심 파일, 제품의 엔진 정보등 다양한 정보를 수집합니다.
명령 전달 대기 시간: Ahnreport 수집 명령을 내리는 경우, 명령 전달 대기 시간을 설정할 수 있습니다. 예를 들어 명령 전달 대기 시간을 20분으로 설정한 경우, 20분이 경과하도록 에이전트에서 응답이 없는 경우 명령 전달에 실패한 것으로 판단합니다.

Artifact 수집: 탐지된 에이전트 시스템에 대해 Artifact 수집 명령을 내립니다. Artifact 수집에서는 운영체제나 어플리케이션을 사용하면서 생성되는 흔적을 주로 수집합니다. 각종 로그 정보, 히스토리 정보, Timeline, 레지스트리 정보 등을 수집합니다. Artifact에서 수집하는 상세 정보는 Artifact 수집 정보에서 확인할 수 있습니다.

기본 항목: Artifact의 기본 항목을 에이전트가 설치된 시스템에서 수집합니다. 수집하는 기본 항목에는 프로세스, 시스템, 네트워크, 하드웨어, 프로그램, Timeline 등이 있습니다.
사용자 정의 항목: 템플릿을 이용하여 Artifact 정보를 수집하거나 구문을 직접 작성하여 사용자가 원하는 Artifact만 수집할 수 있습니다. 템플릿을 이용하는 경우, 원하는 템플릿 선택 후 삽입하기를 클릭하십시오. 템플릿을 이용하여 수집할 수 있는 Artifact 정보는 시스템 공유 폴더 정보, 네트워크 어댑터 정보, 네트워크 연결(TCP/UDP) 정보, DNS Cache 정보, 서비스 정보, 로드된 모듈 정보가 있습니다.

참고

YAML 구문 입력 방법은 사용자 정의 Artifact 수집을 참고하십시오.

EDR 이력 조회: 탐지된 에이전트 시스템의 EDR 이력을 확인할 수 있습니다. EDR 이력 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 EDR 이력 정보를 확인할 수 있습니다.
악성코드 감염 정보 조회: 탐지된 에이전트 시스템의 악성코드 감염 내역을 확인할 수 있습니다. 악성코드 감염 정보 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 악성코드 감염 정보를 확인할 수 있습니다.
에이전트 상세 정보 보기: 관리 > 에이전트 현황의 에이전트 상세 정보로 이동하여 탐지된 에이전트 단말의 상세 정보를 확인할 수 있습니다.
공지 사항 보내기: 관리자가 에이전트 사용자 단말에 실시간으로 메시지를 보내는 기능입니다. 공지 사항을 보내면 에이전트 단말의 작업 표시줄에 있는 에이전트 아이콘의 공지 사항 보기를 통해 메시지 내용을 확인할 수 있습니다.
악성코드 검사: 악성코드가 탐지된 에이전트 컴퓨터의 악성코드 감염 여부를 검사합니다. 서버에서 에이전트 단말에 악성코드 검사 명령을 전달하면 에이전트 컴퓨터에 설치된 보안 제품이 검사 설정에 따라 에이전트 컴퓨터를 검사합니다. 악성코드 검사 방법과 치료 방법은 보안 제품에 설정된 검사 방법과 치료 설정에 따라 처리합니다.
수동 업데이트: 악성코드가 탐지된 에이전트 컴퓨터에 수동 업데이트를 실행합니다. 업데이트할 대상 제품이 설치되어 있는 경우 업데이트를 실행합니다.
공유 폴더 해제: 에이전트 단말에 설정된 모든 공유 폴더를 해제합니다. 공유 폴더 해제 명령을 내릴 경우, 관리 목적 공유 폴더에 대한 제외 여부를 선택할 수 있습니다. 관리 목적 공유는 Windows가 기본적으로 제공하는 공유 폴더입니다.
패치 실행: 에이전트 단말에 패치를 적용하고 패치 정보를 가져옵니다.
가상 그룹: 에이전트를 가상 그룹(감시 그룹, 예외 그룹, 패치 테스트 그룹, 사용자 정의 가상 그룹)에 추가합니다. 가상 그룹에서는 감시 에이전트로 설정하여 특별 관리하거나, 예외 에이전트로 설정하여 서버에서 전달하는 모든 명령과 정책이 적용되지 않도록 설정할 수 있습니다.

컴퓨터 이름: 탐지된 에이전트 시스템의 컴퓨터 이름입니다.
IP 주소: 탐지된 에이전트가 설치된 단말의 IP 주소입니다.
연결된 IP 주소: 서버에 연결된 에이전트가 설치된 단말의 IP 주소입니다.
사용자 이름: 에이전트가 설치된 단말의 사용자 이름입니다.
소속 부서: 에이전트가 설치된 단말의 사용자가 소속된 부서의 이름입니다.
운영체제: 에이전트가 설치된 단말 시스템의 운영체제입니다.
V3 제품: 에이전트가 설치된 단말에 설치되어 있는 V3의 제품명입니다.
엔진 버전: 에이전트가 설치된 단말에 설치되어 있는 V3 제품의 엔진 버전입니다.
최근 수동 검사: 에이전트가 설치된 단말에 설치되어 있는 V3 제품이 마지막으로 수동 검사를 수행한 날짜입니다.

프로세스()

연관 관계 다이어그램에서 프로세스 아이콘을 클릭하면 화면 오른쪽에 탐지된 프로세스에 대한 정보가 표시됩니다. 탐지된 프로세스에 대한 대응으로 프로세스 종료 명령을 내릴 수 있습니다.

대응하기: 탐지된 프로세스에 대한 파일을 수집하거나, 검색 및 프로세스 종료 명령을 내릴 수 있습니다.
파일 검색: 탐지된 프로세스 정보를 기반으로 파일 검색을 수행 할 수 있습니다. 파일은 도메인/그룹, 에이전트, IP 주소 대역을 대상으로 검색할 수 있습니다. 파일 검색 결과는 대응 > 파일 검색 화면에서 확인할 수 있습니다.
파일 수집: 탐지된 프로세스에 대한 파일 수집 명령을 내릴 수 있습니다. 파일 수집을 클릭하면 선택한 파일을 수집하시겠습니까?라는 메시지가 나타납니다. 예를 클릭하면 탐지된 에이전트 단말에 파일 수집 명령을 내립니다. 파일 수집 명령에 대한 결과는 대응 > 파일 수집 화면에서 확인할 수 있습니다.
프로세스 종료: 탐지된 프로세스에 대해 종료 명령을 내립니다. 프로세스 종료를 클릭하면 선택한 프로세스를 종료하시겠습니까?라는 메시지가 나타납니다. 예를 클릭하면 탐지된 에이전트 단말에 프로세스 종료 명령을 내립니다.
파일 삭제: 탐지된 파일에 대한 삭제 명령을 내릴 수 있습니다. 파일 삭제를 클릭하면 선택한 파일을 삭제하시겠습니까? 삭제한 파일은 대응 > 검역소에서 복원할 수 있습니다.라는 메시지가 나타납니다. 예를 클릭하면 에이전트에 파일 삭제 명령을 내립니다. 삭제된 파일은 대응 > 검역소에서 확인할 수 있습니다.

프로세스 이름: 탐지된 프로세스의 이름입니다.
프로세스 ID: 탐지된 프로세스의 프로세스 아이디(PID)입니다.
파일 경로: 탐지된 프로세스의 경로를 나타냅니다.
해시값: 탐지된 프로세스의 해시값 정보입니다.
전자 서명: 탐지된 프로세스의 전자 서명 정보를 표시합니다. 전자 서명이 없는 경우, 없음으로 표시됩니다.
서명자: 탐지된 프로세스의 서명자가 표시됩니다. 예) Microsoft Windows
발급자: 전자 서명 인증서를 발급한 발급자가 표시됩니다. 예) Microsoft Windows Production PCA 2011
탐지 시각: 악성 행위를 한 프로세스가 탐지된 시각을 나타냅니다.

파일()

연관 관계 다이어그램에서 파일 아이콘을 클릭하면 화면 오른쪽에 탐지된 파일에 대한 정보가 표시됩니다. 탐지된 파일에 대한 대응으로 파일 검색과 파일 수집을 명령을 내릴 수 있습니다.

대응하기: 탐지된 파일에 대한 정보를 기반으로 파일을 검색하고 수집할 수 있습니다.
파일 검색: 탐지된 파일 정보를 기반으로 파일 검색을 수행 할 수 있습니다. 파일은 도메인/그룹, 에이전트, IP 주소 대역을 대상으로 검색할 수 있습니다. 파일 검색 결과는 대응 > 파일 검색 화면에서 확인할 수 있습니다.
파일 수집: 탐지된 파일에 대한 수집 명령을 내릴 수 있습니다. 파일 수집을 클릭하면 선택한 파일을 수집하시겠습니까?라는 메시지가 나타납니다. 예를 클릭하면 에이전트에 파일 수집 명령을 내립니다. 파일 수집 명령에 대한 결과는 대응 > 파일 수집 화면에서 확인할 수 있습니다.
파일 삭제: 탐지된 파일에 대한 삭제 명령을 내릴 수 있습니다. 파일 삭제를 클릭하면 선택한 파일을 삭제하시겠습니까? 삭제한 파일은 대응 > 검역소에서 복원할 수 있습니다.라는 메시지가 나타납니다. 예를 클릭하면 에이전트에 파일 삭제 명령을 내립니다. 삭제된 파일은 대응 > 검역소에서 확인할 수 있습니다.

파일 이름: 탐지된 파일의 이름입니다.
해시값(MD5): 탐지된 파일의 MD5 해시값 정보입니다.
파일 크기(bytes): 탐지된 파일 크기입니다. 파일의 단위는 bytes입니다.
파일 경로: 탐지 파일의 경로를 나타냅니다.
전자 서명: 탐지된 파일의 전자 서명 정보를 표시합니다. 전자 서명이 없는 경우, 없음으로 표시됩니다.
서명자: 탐지된 파일의 서명자가 표시됩니다. 예) Microsoft Windows발급자: 전자 서명 인증서를 발급한 발급자가 표시됩니다. 예) Microsoft Windows Production PCA 2011
탐지 시각: 파일이 탐지된 시각을 나타냅니다.

참고

대응하기의 파일 검색과 파일 수집에 대한 명령 진행 상태는 대응 메뉴 하위의 파일 검색, 파일 수집 화면에서 확인할 수 있고, 삭제된 파일은 검역소에서 확인할 수 있습니다.

네트워크()

연관 관계 다이어그램에서 네트워크 아이콘을 클릭하면 화면 오른쪽에 탐지된 네트워크 정보가 표시됩니다. 네트워크 정보에서는 별도의 대응하기가 없습니다.

Host 주소: 네트워크로 접근한 대상의 Host 주소를 표시합니다.
IP 주소: 네트워크로 접근한 대상의 IP 주소를 표시합니다.
포트 번호: 네트워크로 접근한 대상의 IP 주소를 표시합니다.
URL: 네트워크로 접근한 대상의 URL 정보를 표시합니다.

레지스트리()

연관 관계 다이어그램에서 레지스트리 아이콘을 클릭하면 화면 오른쪽에 탐지된 레지스트리 정보가 표시됩니다. 레지스트리 정보에서는 별도의 대응하기가 없습니다.

키 이름: 접근 대상 레지스트리 키를 표시합니다.
값 이름: 접근 대상 레지스트리 키 하위의 값 이름을 표시합니다,
값 데이터: 접근 대상 레지스트리 키 하위의 값 이름에 표시되는 데이터입니다.