사용자 정의 상세 정보에서는 사용자 정의 탐지 목록에 대한 상세 정보를 확인할 수 있습니다. IOC/YARA 규칙에서 정의한 사용자 정의를 기반으로 한 탐지 정보가 트리 형태로 시각화되어 표시됩니다. 에이전트가 설치된 단말 시스템과 프로세스, 파일, 레지스트리, 네트워크 등의 각 객체가 아이콘으로 표시됩니다. 각 객체는 화살표로 관계를 표시하며 탐지된 행위 다이어그램에서 에이전트가 설치된 시스템이나 프로세스, 파일 등의 선택 시, 각 객체에 대한 요약 정보가 화면 오른쪽에 표시됩니다.
사용자 정의 상세 정보에서 확인할 수 있는 주요 내용은 다음과 같습니다.
연관 관계 다이어그램에서는 사용자 정의 규칙에 의한 행위 관계를 트리 형태로 시각화하여 표시합니다. 연관 관계 다이어그램에서는 IOC/YARA 규칙 정보를 기반으로 탐지한 행위를 다이어그램으로 표시합니다. 연관 관계 다이어그램에서 시스템, 파일, 프로세스, 레지스트리, 네트워크의 각 항목을 클릭하면 오른쪽 화면에서 상세 정보를 확인할 수 있고, 대응하기 메뉴를 통해 탐지된 에이전트에 대응 명령을 내릴 수 있습니다. 대응하기 메뉴는 탐지된 에이전트 시스템, 파일, 프로세스의 선택에 따라 에이전트에 전달할 수 있는 명령은 달라질 수 있습니다.
다이어그램의 왼쪽 상단에는 탐지 내용이 표시되고, 오른쪽 상단에는 규칙 이름, 위험도, 관리자 확인 상태가 표시됩니다. 연관 관계 다이어그램에서 주요 행위는 빨간색, 부가 정보는 연한 회색으로 표시됩니다.
참고
연관 관계 다이어그램 및 상세 정보에서는 주요 행위는 빨간색으로, 부가 정보는 연한 회색으로 표시합니다.
연관 관계 다이어그램 상단 왼쪽에는 탐지 대상의 파일 이름과 해시값이 표시되며, 오른쪽에는 규칙 이름과 규칙 유형이 표시됩니다.
):
화면에 보이는 연관 관계 다이어그램의 크기를 확대하여 표시합니다.
):
화면에 보이는 연관 관계 다이어그램의 크기를 축소하여 표시합니다.
):
다이어그램의 크기를 확대하거나 축소하기 전의 기본 크기로 표시합니다.
):
다이어그램을 한 화면내에서 볼 수 있도록 전체 다이어그램을 표시합니다. 다이어그램이 전체 펼쳐진 상태에서 전체
보기를 선택한 경우, 화면의 다이어그램이 작게 축소되어 보일 수 있습니다. 사용자 정의 탐지 행위에 대한 요약 정보와 전체 행위 정보를 확인할 수 있습니다. 요약에서는 기본 정보와 주요 행위를 확인할 수 있고, 전체 행위 정보에서는 주요 행위를 비롯하여 탐지된 모든 행위에 대한 정보를 확인할 수 있습니다.
사용자 정의 탐지 대상에 대한 탐지 시각, 탐지 내용, 파일 이름/경로, 파일 크기, 전자 서명 등의 기본 정보를 표시합니다.
탐지 에이전트: 설정된 기간내에 탐지된 의심 행위가 발생한 에이전트 수를 표시합니다. [목록 보기]를 클릭하면 관리 > 에이전트 현황으로 이동하여 탐지된 에이전트가 설치된 시스템의 상세 정보를 확인할 수 있습니다.
) : 탐지 시각을 기준으로 전, 후 30분
동안 문서 파일 열기를 탐지한 횟수를 표시합니다.
) : 탐지 시각을 기준으로 전, 후 30분 동안 브라우저를 통한 웹 연결을 탐지한 횟수를 표시합니다.
) : 탐지 시각을 기준으로 전, 후 30분
동안 파일 다운로드를 탐지한 횟수를 표시합니다.탐지 시각을 기준(AT)으로 전, 후 30분 동안 탐지된 Artifacts 행위를 표시합니다. 타임라인(Timeline)에서 표시하는 행위 유형에는 문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드 등이 있습니다.
) : 탐지 시각을 기준으로 전, 후 30분 동안 문서 파일 열기를 탐지한 횟수를
표시합니다.) : 탐지 시각을 기준으로 전, 후 30분 동안 브라우저를 통한 웹 연결을 탐지한 횟수를 표시합니다.) : 탐지 시각을 기준으로 전, 후 30분
동안 파일 다운로드를 탐지한 횟수를 표시합니다.부가 정보: 행위 유형(문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드)에 따른 부가적인 정보를 표시합니다.
문서 파일 열기: 실행한 프로그램과 유입 경로(Source) 등이 표시될 수 있습니다.
브라우저를 통한 웹 연결: 브라우저 탭에 표시되는 내용이 표시될 수 있습니다.
파일 다운로드: 파일 크기, 파일 이름, 파일 경로 등이 표시될 수 있습니다.
사용자 정의 탐지 대상의 주요 행위를 표시합니다. 프로세스의 경우 프로세스 이름과 프로세스 ID(PID)가 표시됩니다. 사용자 정의로 탐지된 행위가 MITRE ATT&CK Matrix에 해당되는 내용일 경우, MITRE ATT&CK Matrix의 ID와 기법(Tactics)이 표시됩니다.
참고
MITRE ATT&CK Matrix의 ID와 기법(Tactics)은 아래 MITRE ATT&CK Matrix 표를 참고하십시오.
MITRE ATT&CK Matrix의 ID(예: T1106: Execution through API)를 클릭하면 MITRE ATT&CK Matrix의 웹 페이지로 이동하여 각 기법(Tactics)에 대한 상세 정보를 확인할 수 있고, 기법(Tactics) 하위에는 탐지된 프로세스 이름과 프로세스 ID(PID)가 표시됩니다.
참고
주요 행위 정보에 대한 설명은 탐지 행위를 참고하십시오.
MITRE ATT&CK Matrix는 MITRE라는 비영리 회사에서 발표한 자료로 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)은 사이버 공격자가 침투 이전 혹은 이후의 활동 사례를 분석하여, 공격자의 공격 기법(Tactics)과 침투 기술(Techniques)을 매트릭스(Matrix)화 한 자료입니다. Unknown으로 탐지한 대상이 MITRE ATT&CK에 해당하는 내용의 경우, 공격 기법(Tatics)을 클릭하여 MITRE ATT&CK 웹 페이지의 상세 내용으로 이동할 수 있습니다. MITRE ATT&CK Matrix에서 정의된 Enterprise Tactics는 다음과 같습니다.
ID |
공격 기법(Tatics) |
설명 |
초기 접속(Initial Access) |
공격자가 네트워크에 접속을 시도합니다. 초기 접속(Initial Access)은 다양한 진입 요소(vector)를 사용하여 네트워크 내에서 초기 거점(Foothold)을 확보하는 기술입니다. 거점을 마련하는 데 사용되는 기법에는 표적 공격인 스피어피싱(Spearphishing) 및 공개 웹 서버의 취약점을 악용하는 수법 등이 있습니다. 초기 접속(Initial Access)을 통해 확보된 거점(Foothold)은 유효한 계정 및 외부 원격 서비스 사용을 통해 지속적인 접속을 허용하게 하거나, 비밀번호 변경 시 제한적으로 사용됩니다. |
|
실행(Execution) |
공격자가 악성코드를 실행하려고 합니다. 악성 행위 실행(Execution)은 로컬 또는 원격 시스템에서 공격자 제어 코드를 실행하는 기술들로 구성됩니다. 악성 코드를 실행하는 기술은 네트워크 탐색이나 데이터 도용과 같은 광범위한 목표를 달성하기 위한 다른 모든 수법과 짝을 이룹니다. 예를 들어, 공격자는 원격 접속 툴을 사용하여 원격 시스템 검색을 수행하는 PowerShell 스크립트를 실행할 수 있습니다. |
|
지속적인 공격(Persistence) |
공격자가 거점(foothold)을 유지하려고 합니다. 지속적인 공격(Persistence)은 공격자가 시스템 재 시작 및 변경된 자격 증명, 그리고 기타 접속을 차단할 수 있는 공격을 통해 시스템 접속을 계속 유지할 수 있도록 하는 기법으로 구성됩니다. 지속적인 공격(Persistence)에 사용되는 기술에는 코드 교체, 시작 코드 추가, 하이재킹(Hijacking)과 같이 시스템에 거점을(Foothold) 유지할 수 있도록 하는 접근(Access), 설정 변경, 작업(Action) 등이 있습니다. |
|
권한 상승(Privilege Escalation) |
공격자가 높은 수준의 권한을 얻으려고 합니다. 권한 상승(Privilege Escalation)은 공격자가 시스템 또는 네트워크 상에서 상위 권한을 획득하기 위한 기법입니다. 공격자는 접근 권한만 획득한 상태로 네트워크에 진입하여 탐색하고, 공격 목표를 달성하기 위해 시스템 취약점 및 환경 구성 오류를 이용하여 상위 권한으로 접근합니다. (예: 시스템/루트 레벨, 로컬 관리자, 관리자와 같은 접근 권한이 있는 사용자 계정 등) |
|
보안 우회(Defense Evasion) |
공격자가 탐지를 회피하려고 합니다. 보안 우회(Defense evasion)는 침해를 시도하는 동안 탐지를 회피하기 위해 사용하는 기술입니다. 보안 우회를 위해 사용되는 기술에는 보안 소프트웨어 제거 및 비활성화, 데이터나 스크립트 난독화 또는 암호화 등이 포함됩니다. 공격자는 신뢰할 수 있는 프로세스를 악용하여 멀웨어를 숨기거나 가장합니다. |
|
계정 탈취(Credential Access) |
공격자가 사용자 계정과 비밀번호를 탈취하려고 합니다. 계정 탈취(Credential Access)는 계정 이름이나 비밀번호와 같은 자격 증명 정보를 탈취하는 기술입니다. 자격 증명을 얻는데 사용되는 기술에는 키 로깅(Keylogging) 또는 크리덴셜 덤핑(Credential Dumping)이 있습니다. |
|
정찰(Discovery) |
공격자가 사용자의 시스템 환경을 파악하려고 합니다. 정찰(Discovery)은 공격자가 시스템과 내부 네트워크에 대한 정보를 얻기 위한 기술입니다. 이러한 기술은 공격자가 공격 방법을 결정하기 전에 환경을 파악하고 방향을 정하도록 도와줍니다. (예: 포트 스캔, 공유 폴더 확인 등) |
|
내부망 이동(Lateral Movement) |
공격자가 사용자 환경 내에서 이동을 시도합니다. 내부망 이동(Lateral Movement)은 네트워크 상에서 공격자가 원격 시스템을 접속, 제어 하기 위해 사용하는 기술입니다. 공격자가 목적을 수행하려면 공격 목표를 찾기 위해 네트워크를 탐색하고 접근해야 합니다. 공격자는 내부망 이동을 위해 자신의 원격 접속툴을 설치하거나 기본 네트워크 및 운영 체제 도구와 함께 자격 증명을 이용할 수 있습니다. |
|
수집(Collection) |
공격자가 탈취하고자 하는 정보를 수집하려고 합니다. 수집(Collection)은 공격자가 정보나 공격자의 목적을 수행하는데 필요한 소스를 수집하는 기술입니다. 데이터를 수집한 후에는 데이터를 탈취하는 것을 목표로 합니다. 타겟 소스로는 브라우저, 오디오, 비디오 및 이메일 등 다양한 종류가 있고, 수집 방법으로는 스크린샷 캡처나 키보드 입력이 있습니다. |
|
명령 및 제어(Command and Control) |
공격자가 사용자 시스템을 제어하기 위해 보안이 취약한 시스템으로 통신하려고 합니다. 명령 및 제어(Command and Control)를 통해 공격 대상 네트워크 내에 자신이 제어 할 수 있는 시스템과 통신하기 위해 사용할 수 있는 기술로 구성됩니다. 공격자는 일반적으로 탐지를 피하기 위해 정상 트래픽을 모방합니다. 희생자(victim)의 네트워크 구조와 방어에 따라 공격자가 다양한 수준으로 사용자가 인지하지 못하게 스텔스(stealth)로 명령하고 제어할 수 있는 방법이 있습니다. |
|
유출(Exfiltration) |
공격자가 데이터를 탈취하려고 합니다. 중요 정보 유출(Exfiltration)은 공격자가 사용자 네트워크에서 데이터를 탈취하기 위해 사용할 수 있는 기술들로 구성됩니다. 데이터를 수집한 후, 공격자는 탐지를 피하기 위해 데이터를 압축하거나 암호화 합니다. 표적 네트워크로부터 데이터를 수집하는 기법에는 일반적으로 C&C 채널 또는 다른 채널을 통해 데이터를 전송하는 것과, 전송 크기에 제한을 두는 것이 있습니다. |
|
충격(Impact) |
공격자가 사용자 데이터 및 시스템을 조작, 제어, 파괴하려고 합니다. 충격(Impact)은 공격자가 비즈니스 및 운영 프로세스를 조작하여 사용성이나 무결성을 손상시키는데 사용하는 기술로 구성됩니다. 데이터 파괴, 조작, 변조와 같은 수법이 있으며, 공격 대상의 비즈니스 프로세스가 정상적으로 보이지만 공격자의 목적에 맞게 조작되었을 수 있습니다. |
전체 행위 정보에서는 객체별 탐지 내용에 대한 상세 정보를 표시합니다. 전체 행위 정보옆에 위치하는 
을 클릭하면 전체 행위 정보를 행위
발생 순서로 보기, 최근 행위 순서로 보기, 행위 분류별 보기에서 선택하여 볼 수 있습니다.
참고
연관 관계 다이어그램에서 주요 행위에 해당하는 빨간색 화살표를 클릭하면, 전체 행위 정보에서 해당 주요 행위에 대한 프로세스 정보와 대상에 대한 상세 정보가 선택되어 표시됩니다.
전체 행위 정보 보기 설정: 전체 행위 정보 보기를 설정 할 수 있습니다.
행위 발생 순서로 보기: 행위가 발생한 시간 순서대로 행위 정보를 위에서 부터 표시합니다.
최근 행위 순서로 보기: 가장 최근에 발생한 행위 순서대로 행위 정보를 위에서 부터 표시합니다.
행위 분류별 보기: 상세 행위 정보를 행위 분류별로 표시합니다. 전체를 선택하면 프로세스, 파일, 레지스트리, 네트워크, 시스템에 대한 전체 행위를 상세 행위 정보에 표시합니다.
프로세스: 프로세스에 대한 행위만 상세 행위 정보에 표시합니다.
파일: 파일에 대한 행위만 상세 행위 정보에 표시합니다.
레지스트리: 레지스트리에 대한 행위만 상세 행위 정보에 표시합니다.
네트워크: 네트워크에 대한 행위만 상세 행위 정보에 표시합니다.
시스템: 시스템 관련 행위만 상세 행위 정보에 표시합니다.
전체 행위 정보 상세 보기: 전체 행위 정보의 상세 정보를 확인할 수 있습니다. 전체 행위 정보 하위의 프로세스나 파일명을 클릭하면 상세 정보가 표시됩니다.
참고
구분에 표시되는 행위 객체에 따라 [프로세스 정보]와 [대상]에 표시되는 정보는 달라질 수 있습니다.
)연관 관계 다이어그램에서 탐지 에이전트 시스템을 클릭하면 화면 오른쪽에 탐지된 에이전트 시스템에 대한 정보가 표시됩니다.
탐지 시스템의 컴퓨터 이름 옆,
아이콘을 클릭하면 탐지 > 에이전트
상세 정보로 이동하여 탐지된 에이전트 시스템에 대한 상세 정보를 확인할 수 있습니다. 또한 대응하기
메뉴를 통해 탐지된 에이전트 시스템 대응 명령을 내릴 수 있습니다.
기본 항목: EAC(Endpoint Artifacts Collector)에서 수집하는 기본 항목을 수집합니다. 수집하는 기본 항목에는 프로세스, 시스템, 네트워크, 하드웨어, 프로그램, Timeline등의 정보를 에이전트 시스템에서 수집합니다.
사용자 정의 항목: YAML 구문을 작성하여 사용자가 원하는 Artifact만 수집합니다. YAML 구문 입력 방법은 사용자 정의 Artifact 수집을 참고하십시오.
EDR 이력 조회: 탐지된 에이전트 시스템의 EDR 이력을 확인할 수 있습니다. EDR 이력 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 EDR 이력 정보를 확인할 수 있습니다.
악성코드 감염 정보 조회: 탐지된 에이전트 시스템의 악성코드 감염 내역을 확인할 수 있습니다. 악성코드 감염 정보 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 악성코드 감염 정보를 확인할 수 있습니다.
에이전트 상세 정보 보기: 관리 > 에이전트 현황의 에이전트 상세 정보로 이동하여 탐지된 에이전트 단말의 상세 정보를 확인할 수 있습니다.
공지 사항 보내기: 관리자가 에이전트 사용자 단말에 실시간으로 메시지를 보내는 기능입니다. 공지 사항을 보내면 에이전트 단말의 작업 표시줄에 있는 에이전트 아이콘의 공지 사항 보기를 통해 메시지 내용을 확인할 수 있습니다.
악성코드 검사: 악성코드가 탐지된 에이전트 컴퓨터의 악성코드 감염 여부를 검사합니다. 서버에서 에이전트 단말에 악성코드 검사 명령을 전달하면 에이전트 컴퓨터에 설치된 보안 제품이 검사 설정에 따라 에이전트 컴퓨터를 검사합니다. 악성코드 검사 방법과 치료 방법은 보안 제품에 설정된 검사 방법과 치료 설정에 따라 처리합니다.
수동 업데이트: 악성코드가 탐지된 에이전트 컴퓨터에 수동 업데이트를 실행합니다. 업데이트할 대상 제품이 설치되어 있는 경우 업데이트를 실행합니다.
공유 폴더 해제: 에이전트 단말에 설정된 모든 공유 폴더를 해제합니다. 공유 폴더 해제 명령을 내릴 경우, 관리 목적 공유 폴더에 대한 제외 여부를 선택할 수 있습니다. 관리 목적 공유는 Windows가 기본적으로 제공하는 공유 폴더입니다.
가상 그룹: 에이전트를 가상 그룹(감시 그룹, 예외 그룹, 패치 테스트 그룹, 사용자 정의 가상 그룹)에 추가합니다. 가상 그룹에서는 감시 에이전트로 설정하여 특별 관리하거나, 예외 에이전트로 설정하여 서버에서 전달하는 모든 명령과 정책이 적용되지 않도록 설정할 수 있습니다.
)연관 관계 다이어그램에서 프로세스 아이콘을 클릭하면 화면 오른쪽에 탐지된 프로세스에 대한 정보가 표시됩니다. 탐지된 프로세스에 대한 대응으로 프로세스 종료 명령을 내릴 수 있습니다.
대응하기: 탐지된 프로세스에 대한 파일을 수집하거나, 검색 및 프로세스 종료 명령을 내릴 수 있습니다.
파일 검색: 탐지된 프로세스 정보를 기반으로 파일 검색을 수행 할 수 있습니다. 파일은 도메인/그룹, 에이전트, IP 주소 대역을 대상으로 검색할 수 있습니다. 파일 검색 결과는 대응 > 파일 검색 화면에서 확인할 수 있습니다.
파일 수집: 탐지된 프로세스에 대한 파일 수집 명령을 내릴 수 있습니다. 파일 수집을 클릭하면 선택한 파일을 수집하시겠습니까?라는 메시지가 나타납니다. 예를 클릭하면 탐지된 에이전트 단말에 파일 수집 명령을 내립니다. 파일 수집 명령에 대한 결과는 대응 > 파일 수집 화면에서 확인할 수 있습니다.
프로세스 종료: 탐지된 프로세스에 대해 종료 명령을 내립니다. 프로세스 종료를 클릭하면 선택한 프로세스를 종료하시겠습니까?라는 메시지가 나타납니다. 예를 클릭하면 탐지된 에이전트 단말에 프로세스 종료 명령을 내립니다.
파일 삭제: 탐지된 파일에 대한 삭제 명령을 내릴 수 있습니다. 파일 삭제를 클릭하면 선택한 파일을 삭제하시겠습니까? 삭제한 파일은 대응 > 검역소에서 복원할 수 있습니다.라는 메시지가 나타납니다. 예를 클릭하면 에이전트에 파일 삭제 명령을 내립니다. 삭제된 파일은 대응 > 검역소에서 확인할 수 있습니다.
프로세스 ID: 탐지된 프로세스의 프로세스 아이디(PID)입니다.
파일 경로: 탐지된 프로세스의 경로를 나타냅니다.
해시값: 탐지된 프로세스의 해시값 정보입니다.
전자 서명: 탐지된 대상 파일의 전자 서명자 정보와 발급자 정보를 표시합니다. 전자 서명이나 발급자가 없는 경우, 없음으로 표시됩니다.
)연관 관계 다이어그램에서 파일 아이콘을 클릭하면 화면 오른쪽에 탐지된 파일에 대한 정보가 표시됩니다. 탐지된 파일에 대한 대응으로 파일 검색과 파일 수집을 명령을 내릴 수 있습니다.
대응하기: 탐지된 파일에 대한 정보를 기반으로 파일을 검색하고 수집할 수 있습니다.
파일 검색: 탐지된 파일 정보를 기반으로 파일 검색을 수행 할 수 있습니다. 파일은 도메인/그룹, 에이전트, IP 주소 대역을 대상으로 검색할 수 있습니다. 파일 검색 결과는 대응 > 파일 검색 화면에서 확인할 수 있습니다.
파일 수집: 탐지된 파일에 대한 수집 명령을 내릴 수 있습니다. 파일 수집을 클릭하면 선택한 파일을 수집하시겠습니까?라는 메시지가 나타납니다. 예를 클릭하면 에이전트에 파일 수집 명령을 내립니다. 파일 수집 명령에 대한 결과는 대응 > 파일 수집 화면에서 확인할 수 있습니다.
파일 삭제: 탐지된 파일에 대한 삭제 명령을 내릴 수 있습니다. 파일 삭제를 클릭하면 선택한 파일을 삭제하시겠습니까? 삭제한 파일은 대응 > 검역소에서 복원할 수 있습니다.라는 메시지가 나타납니다. 예를 클릭하면 에이전트에 파일 삭제 명령을 내립니다. 삭제된 파일은 대응 > 검역소에서 확인할 수 있습니다.
참고
대응하기의 파일 검색과 파일 수집에 대한 명령 진행 상태는 대응 메뉴 하위의 파일 검색, 파일 수집 화면에서 확인할 수 있고, 삭제된 파일은 검역소에서 확인할 수 있습니다.
)연관 관계 다이어그램에서 네트워크 아이콘을 클릭하면 화면 오른쪽에 탐지된 네트워크 정보가 표시됩니다. 네트워크 정보에서는 별도의 대응하기가 없습니다.
)연관 관계 다이어그램에서 레지스트리 아이콘을 클릭하면 화면 오른쪽에 탐지된 레지스트리 정보가 표시됩니다. 레지스트리 정보에서는 별도의 대응하기가 없습니다.
