침해지표 검사(표준 작업) 검사
침해지표(IOC)는 컴퓨터에 대한 무단 접근(데이터 침해)을 나타내는 개체 또는 활동에 대한 데이터 집합입니다. 예를 들어, 시스템 로그인 시도가 여러 번 실패하면 침해지표가 될 수 있습니다. IOC 검사 작업을 통해 컴퓨터에서 침해지표를 찾고 보안 위협에 대응할 수 있습니다.
Kaspersky Endpoint Security는 IOC 파일을 사용하여 침해지표를 검색합니다. IOC 파일은 애플리케이션이 탐지 횟수 계산을 위해 매치하는 지표 세트를 포함하는 파일입니다. IOC 파일은 OpenIOC 표준을 준수해야 합니다.
IOC 검사 작업 실행 모드
Kaspersky Endpoint Detection and Response에서 표준 IOC 검사 작업을 생성하여 유출된 데이터를 탐지할 수 있습니다. 표준 IOC 검사 작업은 웹 콘솔에서 수동으로 만들고 구성하는 그룹 또는 로컬 작업입니다. 작업은 사용자가 준비한 IOC 파일을 사용하여 실행됩니다. 침해 지표를 직접 추가하려면 IOC 파일 요구 사항을 읽어주십시오.
아래의 링크를 클릭해 다운로드할 수 있는 파일에는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.
Kaspersky Endpoint Security는 애플리케이션을 Kaspersky Sandbox 솔루션의 일부로 사용할 시 독립실행형 IOC 검사 작업도 지원합니다.
IOC 파일 생성
Kaspersky Endpoint Security 12.10 for Windows부터는 작업 설정에서 직접 IOC 파일을 생성할 수 있습니다. IOC 파일을 생성하려면 침해지표 목록이 포함된 TXT 파일을 준비해야 합니다. 다음 개체 목록을 침해지표로 추가할 수 있습니다:
- 파일 해시(MD5/SHA256).
애플리케이션이 검사 범위가 FileItem/Md5sum나 FileItem/Sha256sum인 IOC 파일을 준비합니다.
- IP 주소(IPv4, IPv6).
애플리케이션이 검사 범위가 PortItem/RemoteIP인 IOC 파일을 준비합니다.
- DNS 이름.
애플리케이션이 검사 범위가 DnsEntryItem/RecordName인 IOC 파일을 준비합니다.
IOC 검사 작업 생성
IOC 검사 작업은 다음에서 수동으로 생성할 수 있습니다:
- 경고 세부 정보(EDR Optimum에서만).
경고 세부 정보는 탐지된 위협에서 수집한 전체 정보를 확인하는 도구입니다. 경고 세부 정보에는 컴퓨터에서의 파일 히스토리 등이 포함됩니다. 경고 세부 정보 관리에 대한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말과 Kaspersky Endpoint Detection and Response Expert 도움말을 참조하십시오.
- 작업 마법사 사용.
웹 콘솔과 Cloud Console에서 EDR Optimum 작업을 구성할 수 있습니다. Cloud Console에서 EDR Expert 작업 설정을 이용할 수 있습니다.
IOC 검사 작업을 생성하려면 다음과 같이 하십시오.
- 웹 콘솔의 메인 창에서 에셋(기기) → 작업을 선택합니다.
작업 목록이 열립니다.
- 추가를 클릭합니다.
작업 마법사가 시작됩니다.
- 검사 설정을 구성합니다:
- 애플리케이션 드롭다운 목록에서 Kaspersky Endpoint Security for Windows (12.10.0)를 선택합니다.
- 작업 유형 드롭다운 목록에서 IOC 검사를 선택합니다.
- 작업 이름 필드에 간단한 설명을 입력합니다.
- 이 작업이 할당되는 기기 블록에서 작업 범위를 선택합니다.
- 선택한 작업 범위 옵션에 따라 장치를 선택합니다. 다음 단계로 넘어갑니다.
- 작업 실행에 사용할 권한이 있는 사용자 계정의 자격 증명을 입력합니다. 다음 단계로 넘어갑니다.
기본적으로 Kaspersky Endpoint Security는 시스템 사용자 계정(SYSTEM)으로 작업을 시작합니다.
시스템 계정(SYSTEM)은 네트워크 드라이브에서 IOC 검사 작업을 수행할 권한이 없습니다. 네트워크 드라이브에 대한 작업을 실행하려면 해당 드라이브에 대한 접근 권한이 있는 사용자의 계정을 선택하십시오.
네트워크 드라이브에 대한 독립 실행형 IOC 검사 작업을 위해서는 작업 속성에서 이 드라이브에 대한 접근 권한이 있는 사용자 계정을 수동으로 선택해야 합니다.
- 마법사를 끝냅니다.
작업 목록에 새 작업이 표시됩니다.
- 새 작업을 클릭합니다.
작업 속성 창이 열립니다.
- 애플리케이션 설정 탭을 선택합니다.
- IOC 검사 설정 섹션으로 이동합니다.
- IOC 파일 업로드하여 침해지표를 검색합니다.
IOC 파일을 업로드하면 애플리케이션이 검사를 통과하지 못한 지표 목록을 포함하여 파일에 대한 요약 정보를 표시합니다. IOC 파일을 업로드한 후 작업 속성의 내장 편집기에서 직접 파일을 편집할 수 있습니다. Kaspersky Endpoint Security는 OpenIOC 1.1 표준을 준수하는 IOC 파일 편집을 지원합니다. OpenIOC 1.0 파일은 편집할 수 없습니다.
Kaspersky Endpoint Security가 IOC 컬렉션에 IOC 파일을 추가합니다. 필요하다면 작업 범위에서 IOC 파일을 잠시 제외할 수 있습니다.
작업을 실행한 후 IOC 파일을 추가하거나 제거하는 것은 권장하지 않습니다. 이로 인해 작업의 이전 실행에 대한 IOC 검사 결과가 잘못 표시될 수 있습니다. 새 IOC 파일에 따른 침해 지표를 검색하려면 새 작업을 추가하는 것을 권장합니다.
- IOC 탐지 시 동작을 구성합니다:
- 네트워크에서 컴퓨터 격리. 이 옵션을 선택하면 Kaspersky Endpoint Security가 위협 확산을 방지하기 위해 컴퓨터를 네트워크에서 격리합니다. Endpoint Detection and Response 구성 요소 설정에서 격리 기간을 구성할 수 있습니다.
이 확인란을 선택 취소하면 작업을 직접 실행한 후 네트워크에서 컴퓨터를 격리할 수 있습니다. IOC 검사 작업이 IOC를 탐지하면 컴퓨터를 네트워크에서 격리할 수 있으며 IOC에서 직접 컴퓨터를 격리할 수 있습니다(IOC 검사의 속성 → 애플리케이션 설정 → IOC 검사 결과 작업). Kaspersky Endpoint Security는 네트워크 격리 비활성화 기간 및 네트워크 격리 예외 등의 추가 설정을 즉시 관리할 수도 있습니다.
- 격리 저장소로 사본을 옮기고 개체 삭제. 이 옵션을 선택하면 Kaspersky Endpoint Security가 컴퓨터에서 발견된 악성 개체를 삭제합니다. 개체를 삭제하기 전에 Kaspersky Endpoint Security는 나중에 개체를 복원해야 할 때를 대비하여 백업 복사본을 생성합니다. Kaspersky Endpoint Security는 백업 복사본을 격리 저장소로 이동합니다.
이 확인란을 선택 취소하면 작업을 직접 실행한 후 파일을 직접 격리할 수 있습니다. IOC 검사 작업이 데이터를 손상할 수 있는 파일을 탐지하면 IOC 검사 결과에서 이 파일을 직접 격리할 수 있습니다(애플리케이션 설정 → IOC 검사 결과). 그러면 Kaspersky Endpoint Security가 탐지된 파일의 사전 설정된 데이터로 작업 생성 마법사를 시작합니다. 작업 스케줄 설정과 같은 추가 작업 설정만 관리하면 됩니다.
- 중요 영역 검사 실행. 이 옵션을 선택하면 Kaspersky Endpoint Security가 중요 영역 검사 작업을 실행합니다. Kaspersky Endpoint Security는 기본적으로 커널 메모리, 실행 중인 프로세스 및 디스크 부트 섹터를 검사합니다.
- 네트워크에서 컴퓨터 격리. 이 옵션을 선택하면 Kaspersky Endpoint Security가 위협 확산을 방지하기 위해 컴퓨터를 네트워크에서 격리합니다. Endpoint Detection and Response 구성 요소 설정에서 격리 기간을 구성할 수 있습니다.
- 고급 섹션으로 이동합니다.
- 작업 시 분석해야 하는 데이터 유형(IOC 문서)을 선택합니다.
Kaspersky Endpoint Security는 불러온 IOC 파일의 내용에 따라 IOC 검사 작업에 대한 데이터 유형(IOC 문서)을 자동으로 선택합니다. 데이터 유형을 선택 해제하는 것은 권장하지 않습니다.
다음 데이터 유형에 대해 검사 범위를 추가로 구성할 수 있습니다:
- 파일 – FileItem. 이미 정의된 범위를 사용해 컴퓨터에서 IOC 검사 범위를 설정합니다.
기본적으로 Kaspersky Endpoint Security는 다운로드 폴더, 바탕화면, 운영 체제 임시 파일이 있는 폴더 등 컴퓨터의 중요한 영역에 대해서만 IOC 검사를 수행합니다. 검사 범위를 수동으로 추가할 수도 있습니다.
- Windows 이벤트 로그 - EventLogItem. 이벤트가 기록된 시간대를 입력합니다. IOC 검사에 어떤 Windows 이벤트 로그를 사용할 지도 선택할 수 있습니다. 기본적으로 애플리케이션 이벤트 로그, 시스템 이벤트 로그, 보안 이벤트 로그가 선택됩니다.
- Windows 레지스트리 – RegistryItem. 레지스트리에서 IOC 검사 범위를 구성합니다.
기본적으로 Kaspersky Endpoint Security는 레지스트리 키 세트를 검사합니다.
- 파일 – FileItem. 이미 정의된 범위를 사용해 컴퓨터에서 IOC 검사 범위를 설정합니다.
- 작업 속성 창에서 스케줄 탭을 선택합니다.
- 작업 스케줄을 구성합니다.
이 작업에서는 Wake-on-LAN을 사용할 수 없습니다. 작업을 실행하려면 컴퓨터가 켜져 있어야 합니다.
- 변경 사항을 저장합니다.
- 작업 옆의 확인란을 선택합니다.
- 시작을 클릭합니다.
결과적으로 Kaspersky Endpoint Security는 컴퓨터에서 침해지표 검색을 실행합니다. 결과 섹션의 작업 속성에서 작업 결과를 볼 수 있습니다. 작업 속성(애플리케이션 설정 → IOC 검사 결과)에서 탐지된 침해지표에 관한 정보를 볼 수 있습니다. IOC 검사 결과에서 직접 탐지된 파일을 격리하거나 네트워크에서 컴퓨터를 격리할 수도 있습니다.
IOC 검사 결과는 30일간 보관됩니다. 이 기간 후에는 Kaspersky Endpoint Security가 가장 오래된 항목을 자동으로 삭제합니다.
맨 위로