[2023년 5월] EDR을 활용한 공격자 행위 추적하기

Genians Security Center는 기업에 대한 위협을 식별하고 대응하기 위한 능동적이며 효율적인 Threat Hunting 전략을 연구하며 제시합니다. 

 

Threat Hunting이란 발생할 수 있거나 진행되고 있는 위협을 제거하며, 그 결과를 기업의 보안체계에 적용하는 능동적인 대응 전략입니다. 이를 통해 창의적이고 고도화되는 공격 전략에 지속적으로 대응할 수 있는 기업의 보안수준을 만들 수 있습니다. 

그 중 첫번째는 EDR에서 수집되는 행위 이벤트를 기반으로 TDIR(Threat Detection and Incident Response)하는 것입니다.

 

이번달 지니언스 블로그에서는 Genian EDR을 활용한 위협탐지 방법을 소개합니다. 

이번달 Genian News의 주인공은 

Genian EDR Frontend 개발자.

 

더 편리한 Genian EDR을 위해,

끊임 없이 고민하는 개발자의 하루를 만나보시죠.

- 지니언스 공지사항을 관리콘솔에서 확인할 수 있는 기능 추가
- (Linux Agent) 노드의 네트워크 인터페이스 정보가 변경되었을때 자동으로 갱신되거나 등록되는 기능 추가
- (macOS Agent) USB 장치와 블루투스 정보를 수집하는 기능 추가

- SOAR 연동을 위하여 단말의 행위 이벤트를 조회할 수 있는 API 추가
- 파일리스(File-Less) 위협 대응역량 고도화를 위해 AMSI(Anti Malware Scan Interface) 이벤트 수집 기능 추가 .
- 안티랜섬 행위기반 탐지 예외 조건에 '전자서명' 조건 추가