참고IOC(Indicator Of Compromise)와 YARA 규칙 파일을 사용자 정의 규칙으로 등록하여 탐지에 활용할 수 있습니다.
참고
EDR 라이선스 보유 시 확인할 수 있는 화면입니다.
IOC/YARA 규칙에서 확인할 수 있는 주요 내용은 다음과 같습니다.
IOC/YARA 파일을 EDR 사용자 규칙으로 등록
IOC/YARA 규칙으로 탐지된 의심 행위 횟수 확인
IOC/YARA 규칙을 파일로 내보내기
참고
특정 기간내에 등록 및 탐지된 IOC/YARA 규칙 정보를 확인할 수 있습니다. 기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.
사용자 정의 규칙으로 IOC와 YARA 규칙을 등록할 수 있습니다.
EDR 사용자 정의 규칙 목록에서는 등록된 IOC 정보를 확인할 수 있고, 등록된 IOC 정보를 기반으로 탐지된 의심 행위 횟수를 확인할 수 있습니다. 의심 행위 횟수를 클릭하면 탐지 > 사용자 정의로 이동하여 탐지된 상세 내용을 확인할 수 있습니다,
웹 화면 위쪽의 대 메뉴에서 정책을 선택합니다.
메뉴에서 정책 > IOC/YARA 규칙 탭을 선택합니다.
IOC/YARA 규칙 화면에서 등록된 규칙 목록을 확인합니다. 검색 기능을 이용하여 특정 IOC나 YARA 정보만 확인하거나, 기간을 지정하여 그 기간내에 탐지된 IOC나 YARA 정보를 확인할 수 있습니다
검색: IOC나 YARA 규칙 이름을 입력하여 검색 조건과 일치하는 IOC나 YARA 정보를 확인할 수 있습니다. 검색란에 IOC나 YARA 규칙 이름을 입력하고 검색(
)을 클릭하십시오.
가져오기: IOC나 YARA 규칙 파일을 가져옵니다. 하나의 파일에 여러 규칙이 포함된 경우 목록에 다수의 규칙이 한 번에 등록됩니다.
가져오기: IOC와 YARA 규칙 파일을 가져옵니다. IOC 파일은 확장자가 *.xml 또는*..zip 파일을 업로드하여 서버에 추가할 수 있습니다. IOC 규칙 가져오기에서 IOC 파일을 업로드할 수 있습니다. YARA 규칙 파일은 확장자가 *.yara인 파일을 업로드하여 서버에 추가할 수 있습니다. YARA 규칙 가져오기에서 YARA 파일을 업로드할 수 있습니다.
전체: 등록된 IOC/YARA 규칙의 전체 개수를 나타냅니다.
삭제: 목록에서 삭제하고자 하는 항목을 선택하여 왼쪽에 있는 삭제(
)를 클릭합니다.
내보내기(
): 목록에서 IOC 규칙과 YARA 규칙의 항목을 선택하고 왼쪽에 있는 내보내기()를 클릭합니다. 내보내기를 클릭하면 IOC는 *.xml, YARA 규칙은 *.yara 파일 형태로 저장됩니다.
규칙 유형: 규칙 유형에는 IOC나 YARA가 있습니다.
규칙 이름: 등록된 IOC나 YARA 규칙의 이름입니다. IOC나 YARA 규칙 파일 업로드 시, 설정한 관리자 지정 규칙 이름이 상단에 표시되고, 세부 규칙 이름은 아래쪽에 표시됩니다. IOC나 YARA 규칙에 의해 탐지된 경우, 탐지 > 사용자 정의에서 해당 규칙 이름이 표시됩니다.
위험도: IOC나 YARA 규칙의 위험도입니다. 위험도는 IOC나 YARA 파일 업로드 시 설정할 수 있습니다. 위험도는 Low, Medium, High, None 중에서 표시됩니다.
의심 행위 횟수: 의심 행위 발생 건수입니다. 횟수를 클릭하면 탐지 > 사용자 정의 화면으로 이동합니다.
참고
탐지 > 사용자 정의 화면으로 이동하는 동안 정보 업데이트로 인해 탐지 횟수는 달라질 수 있습니다.
등록 날짜: IOC나 YARA 규칙을 등록한 날짜입니다.
탐지 시각: 가장 최근에 IOC나 YARA 규칙에 의해 의심 행위가 탐지된 시간이 표시됩니다.
IOC 파일(.xml) 또는 .zip 파일을 업로드하여 서버에 등록할 수 있습니다. IOC 파일을 가져오는 방법은 다음과 같습니다.
웹 화면 위쪽의 대 메뉴에서 정책을 선택합니다.
메뉴에서 정책 > IOC/YARA 규칙을 선택합니다.
목록 상단의 가져오기 버튼을 클릭하고 IOC를 선택합니다.
<가져오기 - IOC>에서 찾아보기...를 클릭합니다. IOC 파일(.xml) 또는 .zip 파일을 선택하여 업로드합니다.
파일 업로드를 클릭합니다. 파일 타입에 오류가 있을 경우, 지원하지 않는 파일 타입(STIX)입니다.라는 오류 메시지가 표시됩니다.
참고
IOC 형식으로는 STIX 형식만 지원하며, STIX 1.2 규격 지원 사항은 파일과 주소 객체 타입, URI 객체 타입을 지원합니다. IOC 파일(.xml) 또는 .zip 파일을 서버에 업로드하여 추가할 수 있습니다.
IOC 파일 업로드가 완료되면 관리자 지정 규칙 이름과 위험도를 설정할 수 있습니다.
관리자 지정 규칙 이름: 가져오기한 IOC 파일에 대해 관리자가 임의의 규칙 이름을 지정할 수 있습니다. 설정한 관리자 지정 규칙 이름은 IOC/YARA 규칙 목록의 규칙 이름 칼럼에서 등록된 IOC 규칙과 함께 표시됩니다.
위험도: 가져오기한 IOC 규칙에 대해 위험도를 설정할 수 있습니다. 위험도는 Low, Medium, High에서 설정할 수 있고, 위험도를 설정하지 않으려면 None을 선택합니다.
확인을 클릭합니다.
IOC/YARA 규칙 목록에서 등록된 IOC 규칙을 확인할 수 있습니다.
YARA 규칙 파일(*.yara)을 업로드하여 서버에 등록할 수 있습니다. YARA 규칙 파일을 가져오는 방법은 다음과 같습니다.
웹 화면 위쪽의 대 메뉴에서 정책을 선택합니다.
메뉴에서 정책 > IOC/YARA 규칙을 선택합니다.
목록 상단의 가져오기 버튼을 클릭하고 YARA를 선택합니다.
<가져오기 - YARA>에서 찾아보기...를 클릭합니다. YARA 파일(*.yara) 선택하여 업로드합니다.
파일 업로드를 클릭합니다. 파일 타입에 오류가 있을 경우, 지원하지 않는 형식의 YARA 규칙 파일입니다.라는 오류 메시지가 표시됩니다.
YARA 파일 업로드가 완료되면 관리자 지정 규칙 이름과 위험도를 설정할 수 있습니다.
관리자 지정 규칙 이름: 가져오기한 IOC 파일에 대해 관리자가 임의의 규칙 이름을 지정할 수 있습니다. 설정한 관리자 지정 규칙 이름은 IOC/YARA 규칙 목록의 규칙 이름 칼럼에서 등록된 YARA 규칙과 함께 표시됩니다.
위험도: 가져오기한 IOC 규칙에 대해 위험도를 설정할 수 있습니다. 위험도는 Low, Medium, High에서 설정할 수 있고, 위험도를 설정하지 않으려면 None을 선택합니다.
확인을 클릭합니다.
IOC/YARA 규칙 목록에서 등록된 YARA 규칙을 확인할 수 있습니다.