오탐을 최소화 시키기 위해 행위 기반의 탐지 시나리오를 활용하거나 별도의 Whitelist 관리를 통해 운영상 발생되는 오탐을 최소화 하도록 하는 기능을 제공 합니다.
세션 중간 조남용 이사님께서 말씀 드린대로 고객사 환경에 맞는 운영 방향에 대한 고민을 같이 나누고 지원해 드리고 있습니다.
고객사 환경에서 별도로 활용하시는 비즈니스 정보 (예를 들면 사원번호 등)과의 연계하여 네트워크 트래픽 수집 및 처리 단계에서 별도의 메타데이터를 생성 가능 합니다. 메타데이터와 원본데이터의 저장 공간은 별도로 구분 / 할당 되어 있습니다.
TIP 위협 정보 내에 말씀 주신 기본적인 시그니쳐 기반의 탐지로 활용할 수 있는 Blacklist 등의 정보들도 제공 됩니다.
에이전트가 생성한 분석 결과는 전체 플랫폼을 관리하는 관리 서버와 정기적인 통신을 통해 전송 됩니다. 서버와의 통신이 불가능한 상태여도 분석 결과는 추후 전송이 될 수 있도록 파일로 저장 및 보관 되며 오프라인 -> 온라인 상태로 전환시 해당 내용들을 재전송하게 됩니다.
말씀 주신 CCTV 나 영상관제 모듈과의 연동 환경은 제공되지 않습니다.
수집된 정보를 바탕으로 MITRE ATT&CK에 대한 공격 정보(MITRE ATT&CK Technique) 및 해당되는 사이버킬체인(MITRE ATT&CK Tactic) 의 단계 정보 또한 제공 합니다. 타사 솔루션과의 연동을 위한 REST API 환경도 준비 되어 있습니다.
회사 네트워크와의 통신이 불가한 상황에서는 에이전트가 전송해야 하는 데이터들을 별도로 저장해 두고 추후 통신이 가능한 환경이 되면 해당 데이터들을 전송합니다.
SSL Inspection을 통해 수집되는 개인정보 (이메일 주소 / 사용자 계정)들은 데이터 수집시 별도의 마스킹 처리 기능을 통해 향후 조회시 해당 정보의 포함 유무만 확인해 볼 수 있도록 할 수 있습니다.
NDR 의 네트워크 수집 이후 생성 및 추출되는 메타데이터의 인덱스는 사용자의 빠른 검색을 위해 처리되는 과정이며 전용 Appliance 를 통해 처리 됩니다. VM 환경으로 구성하는 경우 트래픽의 수집되는 사이즈로 판단할 수 있습니다. DB는 RSA Netwitness 에서 사용하는 자체 DB를 사용 합니다.
EDR 도입 고려시 사용자 라이센스 부분은 필요 하며 이를 위한 별도의 H/W 추가 도입은 필요하지 않습니다.
기 사용중인 EDR 제품이 있다면 필요한 NDR 모듈만 구성하는 등의 별도 구성은 가능 합니다. 타사 제품의 보안제품과의 연동은 통합관제를 위해 사용하시는 기존 SIEM 을 활용하는 사례도 있습니다.
벤더사 RSA 에서 별도로 제공하는 TI 정보는 사용자 필요시 정기적인 업데이트 스케쥴 적용이 가능하며 별도의 오프라인 적용도 가능 합니다.
별도의 실시간 탐지 기능을 통해 말씀 주신 자동 분석 이후 탐지가 가능 하며, 이를 이메일 등을 통한 알람 및 리포팅 환경을 제공하고 있습니다.
각각의 영역은 모듈별로 구분되어 있어 별도 구축은 가능 합니다. NDR 구축 이후 향후 SIEM 를 추가하는 등의 모듈화 구성으로 되어 있습니다.
IPS 나 F/W 과 같은 기존의 네트워크 보안 제품들은 특정 시그니처를 활용한 탐지가 주 기능이라고 볼 수 있지만 XDR 관제는 네트워크 모니터링(NDR) 및 엔드포인트 모니터링(EDR) 개념을 모두 포함하여 폭넓은 탐지 환경을 제공 합니다.
말씀 주신대로 네트워크 단에서의 사내 접속 과정이 포함되어 있어야 네트워크 관제가 가능하겠지만 사내 업무용 노트북의 외부 사용 이후 내부 네트워크 접속시를 대비한 통합 플랫폼을 통해 효과적인 대응이 가능하다고 할 수 있습니다.
안녕하세요.
웨비나에 참석해주신 모든 분들 감사합니다. 유익한 정보를 얻어가시는 좋은 시간 되시기 바랍니다.