슬기로운 EDR 대시보드 활용하기

INDEX

1. 보안솔루션 대시보드(Dashboard)란?
2. Genian EDR 커스텀 대시보드
3. Genian EDR 커스텀 대시보드 활용 사례
4. 마치며..

1. 보안솔루션 대시보드(Dashboard)란?

우리가 사용하고 있는 모든 보안솔루션은 대부분 대시보드(Dashboard)라는 기능을 기본적으로 제공합니다. 대시보드란 다양한 데이터를 동시에 비교할 수 있게 해주는 여러가지 뷰(View)의 집합 또는 모음을 뜻합니다. 예를 들어 보안담당자가 매일 확인해야하는 데이터가 있다면 워크시트를 개별적으로 탐색하여 확인하는 번거로움 대신 모든 뷰를 동시에 표시하는 대시보드를 만들어서 활용할 수 있습니다.

당연히 Genian EDR 뿐 아니라 국내/외 타 제조사의 EDR 솔루션은 물론이며 다른 영역의 보안솔루션들도 해당 솔루션이 담당하고 있는 영역과 거기에 포함되는 중요 정보들을 각자의 표현 방식과 다양한 형태로 표현할 수 있는 대시보드를 제공하고 있습니다.

아래의 사진은 Genian EDR의 대시보드 화면입니다. EDR의 경우, Agent가 설치된 단말기 현황 정보 또는 거기에서 발생한 위협에 대한 정보가 기본적으로 제공이 되어야겠죠. 이 외에도 위협 Top10 리스트, 탐지 위협의 구분 외 추가적으로 표시되는 많은 정보를 아래의 사진에서 확인할 수 있습니다.

[사진 1. EDR 대시보드 화면]

정리하자면 대시보드는 조직이 보유한 방대한 데이터를 집계하여 현상황에 대한 정보를 그래프와 같은 다양한 방식으로 시각화하여 표현해줌으로써 사용자가 현상황을 쉽게 파악할 수 있도록 도와줍니다. 또한 서로 다른 종류의 데이터들도 나란히 나타내주어 그 상관성과 규칙성을 밝혀줍니다. 이로 인해 사용자는 문제를 쉽게 파악할 수 있으며 다음에 취해야 할 행동을 빠르게 판단할 수 있게 됩니다.

2. Genian EDR 커스텀 대시보드

위에서 언급한 바와 같이 Genian EDR도 Agent가 설치된 단말기의 현황과 발생한 위협 그리고 그 종류에 대한 내용이 종합적으로 정리되어 표현되는 대시보드가 있습니다. 하지만 지니언스는 EDR이라는 솔루션이 가지고 있는 특징을 이용한 활용방안에 대해 조금 더 고민해보았습니다.

EDR은 명칭 그대로 Endpoint Detection & Response, 엔드포인트(단말기)에서 발생하는 위협에 대한 탐지와 대응을 위한 솔루션입니다. 즉, “탐지”를 위해서 단말기에서 발생하는 모든 이벤트를 수집하고 “대응(또는 분석)”하기 위해 수집한 이벤트를 저장합니다. 이러한 과정을 거쳐서 탐지된 위협이 있다면 관련 내용이 대시보드에 나타나게 됩니다. 결론적으로 담당자는 관련 내용을 확인하여 이해하고 다음 행동을 취할 수 있겠지요. 그런데 EDR 솔루션들이 수집하는 수많은 데이터 중 실제 위협 또는 관련이 있는 데이터가 얼마나 될까요? 만약 우리가 수집한 데이터의 양이 100이라고 하면 여기서 발생한 위협 이벤트가 1정도는 될까요? 물론 그보다 클 수도 있겠지만 일반적으로는 그보다 작을 것이라고 생각합니다. 우리는 EDR이라는 보안솔루션 앞에 이미 수많은 종류의 보안솔루션들을 구축해서 운영 중에 있을테니까요.

[사진 2. 위협 이벤트 찾기]

여기서 지니언스는 위협이 아닌 나머지 99에 해당하는 이벤트, 다시 말해 위협이 아닌 데이터를 활용하는 방법에 대해 고민하였습니다.

- 운영 중인 보안솔루션들이 놓치고 있는 위협이 있는가?
- 우리 내부의 보안 정책에 구멍이 있는가, 있다면 무엇인가?
- 지금 당장 위협은 아니지만 장차 위협이 될 수 있는 요소가 있는가?
- 최종적으로 우리가 사용하는 단말기에서는 도대체 어떤 일들이 일어나고 있는가?

이러한 질문들에 대한 고민 끝에 EDR에 의해 수집 된 모든 데이터를 적극적으로 활용할 수 있는 커스텀 대시보드 기능을 개발하여 Genian EDR에 적용하였습니다. 이 커스텀 대시보드는 수집 된 데이터들 중에서 내가 원하는 정보가 있다면 파이(Pie) 차트나 그래프 등과 같이 기본적으로 제공되는 위젯을 활용하여 나만의 대시보드를 만들 수 있는 기능입니다.

[사진 3. 커스텀 대시보드]

커스텀 대시보드의 기본은 “내가 원하는 정보를 쉽게 확인할 수 있는 나만의 대시보드를 만든다”이지만 Genian EDR의 Eco System에서도 이미 30여가지의 다양한 커스텀 대시보드를 제공하고 있습니다. 다음은 기본으로 제공되는 커스텀 대시보드 종류 예시 입니다.

- 문서 파일 업로드/다운로드 확인 : 메신저 또는 이메일 사용, 파일 압축 여부 등
- 소프트웨어 설치 현황 : 버전 정보를 통한 취약점 유무 확인
- 외장 매체를 통한 문서 파일 이동 현황 및 외장 저장장치 분석
- 무선랜 접속 현황 : 비인가 AP 접속 또는 모바일/블루투스 테더링 여부 등
- Open Port 정보 확인
- 클라우드, 메신저 사용 현황
- 원격 접속 현황 : SSH, Telnet 등을 통한 원격 접속 정보 및 사용 프로그램 등

이 외 주기적으로 확인하고 싶은 레지스트리(Registry)나 네트워크 이벤트 분석 등 단말기에서 발생되어 수집 된 이벤트라면 어떠한 정보라도 대시보드로 만들어 확인할 수 있습니다.

[사진 4. 가시성 확보]

Genian EDR의 커스텀 대시보드를 사용하는 방법은 크게 두 가지가 있습니다. 첫번째 방법은 지니언스 Eco-system에서 제공하는 커스텀 대시보드를 추가/사용하는 방법입니다. Genian EDR의 [대시보드] 탭의 [옵션] - [공유 대시보드 추가]를 클릭하면 아래와 같은 창이 열리며 지니언스에서 제공하는 다양한 목적의 커스텀 대시보드들이 나열되는데, 이 중에서 사용자가 원하는 대시보드를 선택하기만 하면 됩니다.

[사진 5. 공유 대시보드 추가]

두번째 방법은 사용자가 원하는 커스텀 대시보드를 직접 만드는 방법입니다. 첫번째와 마찬가지로 Genian EDR의 [대시보드] 탭에서 [옵션] - [대시보드 탭 추가]를 클릭하면 새로운 대시보드 탭이 추가됩니다. 이때 새로운 대시보드의 운영모드가 기본/분석 두가지 형태로 제공이 되는데 기본의 경우 Genian EDR에서 수집한 데이터를 바탕으로 여러가지 위젯 생성 시 위젯간의 연관성 없이 동작하는 모드이며, 분석의 경우 특정 Database와 Table의 데이터를 바탕으로 동작하는 모드입니다.

[사진 6. 대시보드 탭 추가]

대시보드를 생성한 후에 정보를 시각화하고자 하는 형태에 맞는 위젯을 선택합니다. 당연히 가로/세로 형태의 그래프나 파이(Pie)차트 등 다양한 위젯을 기본으로 제공하고 있습니다.

[사진 7. 위젯 추가]

위젯이 생성된다면 위젯의 [설정]을 클릭하여 상세 설정을 진행합니다. 이때 사용자가 시각화 하고자 하는 데이터 내용을 입력하면 됩니다. (ex. ProcName:example* = 프로세스명과 관련된 모든 이벤트) 추가적으로 기간 설정 및 기타 조건들을 설정하면 새로운 대시보드가 생성되는 것을 확인할 수 있습니다.

[사진 8. 위젯 설정 예시]

3. Genian EDR 커스텀 대시보드 활용 사례

마지막으로 Genian EDR을 도입하여 사용하고 있는 고객들은 커스텀 대시보드를 어떤식으로 사용하고 있는지 그 예를 소개해드리도록 하겠습니다.

첫번째는 서버 접속 모니터링 입니다. 해당 대시보드를 통해 A 고객사는 서버 접속 시 시스템 접근 제어를 통하지 않고 직접 접속하는 사례를 확인하여 조치할 수 있었습니다. 사용자 PC에서 서버로의 직접 접속 이력을 대시보드와 같이 쉽게 표현하여 접속 시도, 성공, 사용 포트 정보를 보여주며 정책 오류인지, 우회 사용자가 있는지 확인할 수 있었습니다.

[사진 9. 서버 접속 모니터링]

두번째는 매체 제어 모니터링으로 이는 매체 제어 솔루션이 정상 동작하는 지에 대한 검증을 할 수 있습니다. EDR은 USB 등의 외부 저장장치에 복사/이동 되는 파일의 정보를 수집하기 때문에 제어 대상의 PC에서 USB를 통한 파일 복사/이동이 발생 할 경우 아래 화면처럼 보여줄 수 있습니다. B 고객사는 USB와 같은 외장 저장 장치에 대한 접근 제어 솔루션을 사용하고 있었지만 해당 대시보드를 통해 접근 제어 정책과 어긋나는 이벤트를 확인하였으며 이 이벤트가 사용자의 우회 사용인지, 솔루션의 오 동작인지 추가 확인을 진행하여 내부 정책을 재정비할 수 있었습니다.

[사진 10. 매체 제어 오류]

세번째는 무선 접속 탐지 모니터링 입니다. 해당 대시보드는 내부/외부에서 무선 접속을 했는지, 스마트폰 테더링을 했는지 등에 대한 정보를 제공하는데, 내부의 인가된 AP 외에 외부에서 비밀번호가 없는 AP 접속을 했는지에 대한 부분도 모니터링의 대상이 됩니다. C 고객사는 해당 대시보드를 통해 인가된 AP 외 접속한 이벤트를 확인하여 사용자 인터뷰를 진행하고 발생할 수 있는 위협을 사전에 차단할 수 있었습니다.

[사진 11. 무선 접속 탐지]

마지막으로 위에서 소개한 사례 외에 많은 고객사들이 각각의 정보를 다양한 형태와 내용으로 대시보드를 구성하여 사용하고 있는데, 이러한 대시보드들은 즉시 리포트로 출력할 수도 있습니다.

[사진 12. 리포트 기능]

4. 마치며..

지난번 Genian EDR의 안티랜섬 기능 소개에 이어 커스텀 대시보드 기능에 대해 소개한 시간이었습니다. 지니언스는 국내 최초로 EDR을 개발하여 최장 기간동안 국내 최다 고객에 Genian EDR 솔루션과 에이전트를 보급 및 운영해오고 있으며 이러한 경험치를 바탕으로 EDR 솔루션이 가지고 있는 위협 탐지 및 대응이라는 본연의 기능 외에 보다 친사용자(User)적인 기능들을 함께 개발하고 업데이트 해오고 있습니다.

또한 고객의 입장에서 솔루션에 바라는 부분을 고민하고 연구하며 고객들과 소통하여 보다 나은 솔루션이 될 수 있도록 노력하고 있습니다. 다음에도 Genian EDR만의 새로운 기능을 가지고 소개할 수 있도록 하겠습니다. 감사합니다.