XOps 보안 플레이북 - 이벤트 이상현상

이 플레이북은 Stories Workbench를 활용하여 이벤트 이상현상 프로듀서가 탐지한 비정상적인 행동과 관련된 스토리를 조사하는 방법을 설명합니다.

이벤트 이상현상을 분석하기 위해 Stories Workbench를 사용하는 방법에 대한 자세한 내용은 사용 및 이벤트 이상현상을 위한 XOps UEBA 스토리 분석을 참조하십시오.

개요

이 플레이북은 SOC 엔지니어가 비정상적인 행동과 관련된 잠재적인 보안 사고를 조사하기 위한 체계적인 접근 방식을 안내합니다. 초기 정보를 수집하고, 네트워크 트래픽을 분석하며, 위협의 성격에 대한 결론을 도출하는 프레임워크를 제공합니다.

짤막한 시간 내에 많은 이벤트가 발생하거나 처음으로 관찰된 행동이 발생하는 경우에도 적용할 수 있습니다. 이러한 모든 표시들은 동일한 행동 분석 모델을 기반으로 하며, 아래의 워크플로우는 이를 통틀어 다루고, 추가로 맥락을 수집해야 할 부분을 지적합니다.

찾아볼 것들

이벤트 이상현상 스토리는 비정상적인 트래픽 패턴을 생성하는 위협뿐만 아니라 보안 위협을 제기할 수 있는 네트워크 오구성을 식별하는 데 도움을 줄 수 있습니다. 다음은 이러한 잠재적 위협 유형의 예입니다:

비정상적인 트래픽 패턴과 관련된 위협 활동:

  • 데이터 유출 시도

  • 네트워크 내의 횡적 이동

  • 악성 감염 시도

보안 위협을 제기할 수 있는 네트워크 오구성

  • 정책 위반 - 예: 무단 접근 시도, 예상치 못한 데이터 전송, 설정된 보안 통제를 우회하는 연결

  • 열린 포트와 프로토콜 오남용 - 특정 포트 또는 프로토콜과 관련된 비정상적인 트래픽 급증은 이러한 설정이 모범 사례와 일치하지 않으며 오구성을 나타낼 수 있습니다.

  • 네트워크 세그먼트 실패 - 잘못 구성된 네트워크 세분화는 무단 액세스 또는 세그먼트 간 이동을 허용할 수 있으며, 이는 이상현상으로 감지될 수 있습니다.

1단계 - 위협에 대한 초기 정보 수집

이야기 안의 세부사항 위젯을 사용하여 잠재적인 위협에 대한 기본 정보를 수집하고 추가 조사가 필요한지 초기 평가를 합니다. 다음의 주요 필드를 검토합니다:

  • 설명 - 이상현상의 유형을 이해하고(특정 애플리케이션, 엔진, 또는 행동 포함), 특정 사이트 또는 사용자가 초점인지 파악합니다.

  • 훈련 기간 - 엔진이 이상현상을 위해 기준 데이터를 얼마나 오래 수집했는지 보여줍니다. 긴 훈련 기간은 잘 확립된 기준을 나타낼 수 있으며, 짧은 경우 데이터가 제한적임을 나타낼 수 있습니다.

  • 출처 탭 - 트래픽을 생성한 사이트 또는 사용자를 나열합니다. 범위가 전체 사이트인 경우 여러 호스트가 포함될 가능성이 있습니다.

참고

팁: 이상현상이 사이트에 영향을 미칠 경우 단일 소스 호스트를 파악하는 것은 어려울 수 있으며, 이상현상이 여러 호스트에 걸쳐 있을 수 있습니다.

source.png

2단계 - 이상현상의 원인 분석

이상현상 분포

이상현상 분포 그래프는 이상현상 스토리를 유발한 이벤트를 생성한 방화벽 규칙, IPS 서명, 또는 안티멀웨어 규칙을 식별하는 데 도움이 될 수 있습니다. 여러 규칙이 관련된 경우 이벤트의 가장 큰 급증을 일으킨 규칙을 우선적으로 고려합니다.

이벤트 기반의 이상현상 스토리는 Cato 로그 소스, 방화벽, IPS, DNS 보호, CASB, DLP, 애플리케이션 보안, NGAM 등에서 비롯될 수 있으며, 가능성 있는 공격 벡터와 조사 접근 방식을 특정 이벤트 유형에 맞게 조정해야 합니다.

이상현상의 정확한 타임스탬프를 주목하십시오. 이는 조사 과정의 후속 단계에서 관련 이벤트를 분석하는 데 중요합니다.

Scanner_Playbook_-_Anomaly_Distribution.png

3단계 - 추가 위젯 검토

추가 맥락을 얻기 위해 이 위젯들을 검토하십시오. 위젯은 이상현상에 관여한 상위 애플리케이션, 서버, 호스트, 타겟을 보여줍니다. 데이터는 이상현상 스토리 전의 14일 기간 내에 집계됩니다.

  • 상위 애플리케이션 - 이벤트 수가 가장 많은 애플리케이션을 보여줍니다.

    Events_Anomaly_Playbook_-_Top_Apps.png

  • 상위 서버/대상 - 가장 많이 접근한 서버 또는 네트워크를 보여줍니다.

    Events_Anomaly_Playbook_-_Top_Servers.png

  • 상위 호스트 - 트래픽을 생성하는 상위 소스 IP 주소를 보여줍니다.

  • 대상 - 비정상 트래픽의 목표 대상지를 보여줍니다.

참고

참고: 이 위젯은 높은 수준의 개요를 제공하며, 항상 이상현상의 정확한 원인을 나타내는 것은 아닙니다. 예를 들어, 위젯은 이상현상이 TOR 트래픽과 관련 있다는 것을 보여주지만, 특정 대상지 IP가 없습니다. 이는 단일한 악의적 대상보다는 더 광범위한 TOR 활동을 나타낼 수 있습니다.

4단계 - 관련 스토리 분석

이 단계는 동일한 행동이나 그것이 관찰된 호스트/사이트와 관련된 추가 탐지를 식별하여 귀중한 맥락을 제공합니다. 유사한 스토리를 검토하면 다른 네트워크 호스트가 동일한 탐지를 유발했는지 확인하는 데 도움이 되어 환경에 영향을 미치는 더 넓은 현상을 밝혀낼 수 있습니다.

image-20250710-122158.png

5단계 - 애플리케이션 분석 및 이벤트 조사

개별 이벤트를 분석하는 것이 조사에서 매우 중요한 단계입니다. 이를 통해 이상현상의 근본 원인을 이해하기 위해 더 깊이 파고들 수 있습니다.

스토리와 관련된 데이터를 연관지어 이벤트를 검토합니다. 특정 소스 IP, 도메인, 애플리케이션 등의 반복적인 요소를 찾아 조사에 초점을 맞춥니다. 예를 들어, 이상현상이 TOR 트래픽에 의해 발생했을 경우, 특정 소스 IP 또는 도메인이 반복적으로 활동하는 것을 발견한다면, 해당 엔티티를 더 자세히 조사합니다.

이벤트 이상현상 스토리와 관련된 이벤트를 분석하기 위한 예제 단계는 다음과 같습니다. 이벤트 페이지 필터링 및 작업에 대한 자세한 내용은 네트워크에서의 이벤트 분석을 참조하십시오.

  1. 스토리 페이지에서 모두 보기 클릭하여 관련 이벤트로 미리 필터링된 이벤트 페이지를 표시합니다.

    Events_Anomaly_Playbook_-_View_All.png

  2. 이벤트 페이지에서 시간 범위 필터를 설정하거나 마우스를 사용하여 명확하게 비정상적인 이벤트 수를 나타내는 시간 범위를 선택하십시오.

    Events_Anomaly_Playbook_-_time_range.png

  3. 이벤트 페이지에 관련 필드를 추가합니다. 이는 이상현상에 관여된 이벤트의 더 나은 시각을 제공합니다. 아래 예제에서는 다음 이벤트 필드를 페이지에 추가했습니다: 서명 ID, 애플리케이션, 도메인 이름, 소스 IP.

    추가된 필드를 확인하고 이상현상의 원인을 식별하려고 시도합니다. 이 예제에서 추가된 이벤트 필드는 해당 이상현상의 원인이 특정 도메인임을 명확하게 보여줍니다.

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. 추가된 필드를 확인하고 이상현상의 원인을 식별하려고 시도합니다. 반복적인 요소 찾기:

    • 반복되는 소스 IP / 사용자

    • 여러 이벤트에 걸쳐 동일한 도메인 또는 대상

    • 익숙하지 않은 애플리케이션 또는 국가의 갑작스러운 출현.

    조직 트래픽과 비교:

    • 다른 사용자는 유사한 트래픽 패턴을 가지고 있습니까?

    • 의심스러운 동작이 처음 발생한 경우, 조직 내에서 일반적인 것입니까? 이 행동이 조직 내 다른 호스트에서도 발생했습니까?

  5. 이 예제의 다음 단계에서, 위젯과 이벤트를 기반으로 Tor Networks가 애플리케이션으로 가장 많이 사용되고 있으며 이벤트 급증이 있었던 두 주요 IPS 위협이 확인된 후, 특정 애플리케이션 및 위협 이름에 대한 필터가 추가됩니다.

    Events_Anomaly_Playbook_-_More_filters.png

    추가된 필터는 이 비정상적인 트래픽이 특정 소스 IP 주소와 관련이 있다는 것을 드러냅니다.

  6. 이제 추가 조사 단계를 수행할 수 있습니다:

    1. 이 활동과 관련된 장치 이름 또는 사용자 이름을 확인합니다.

    2. 대상을 조사하고 그것이 악의적 활동과 관련이 있는지 확인합니다.

    3. 같은 사이트나 네트워크의 다른 사용자에 대해 동일한 특성을 가진 트래픽을 검사하여 더 넓은 맥락을 조사합니다.

파일 공유 대 SMB 이상현상

XOps 엔진은 파일 전송 이벤트를 하나의 범주로 묶지만, 클라우드 파일 공유 앱(예: Dropbox, SharePoint, S3)과 SMB 기반 파일 액세스는 서로 다른 조사 데이터를 제공합니다:

  • 클라우드 애플리케이션 – 이벤트는 애플리케이션과 볼륨만을 나타내며, 객체 수준의 자세한 내용은 클라우드 플랫폼 자체에 있습니다.

  • SMB 트래픽 – 이벤트는 파일 이름과 경로와 같은 세부 메타데이터를 포함하여 더 깊은 포렌식 검토를 가능케 합니다.

조사 팁 및 사용 사례

  • 사이트 기반 이상현상에서는 특정 호스트나 대상이 없고 사이트 전반에 널리 퍼진 현상일 수 있습니다.

  • 이상을 초래한 애플리케이션이 비정상적인 이벤트를 생성한 상위 5개 애플리케이션 중 하나가 아닌 경우가 있습니다.

  • 이상 현상이 위협 정보(평판) 기반의 IPS 이벤트에 기반한 경우가 있습니다. 이러한 경우, 조사는 더욱 목표 지향적이어야 하며, 다음 플레이북을 사용해야 합니다: XOps 보안 플레이북 - 의심스러운 대상 커뮤니케이션.

  • 특정 이상현상이 보안 위협을 제기하는지 확신할 수 없는 경우, 해당 트래픽이 과거에 동일한 사이트나 다른 사이트에 발생했는지 관찰하려고 시도하십시오. 이것은 이상현상이 단순히 새로운 장치에 의해 발생했는지를 식별하는 데 도움을 줄 수 있습니다.

조사 결론

이벤트 이상현상 스토리에 대한 관련 결론의 몇 가지 예는 다음과 같습니다:

  • 비정상 트래픽

  • 차단된 파일 이상현상

  • 차단된 IPS 트래픽 이상현상

  • {앱 이름} 애플리케이션을 사용한 유출 시도

  • 악성 대상 트래픽 이상현상

권장 조치

  1. 전체 엔드포인트 보호 스캔(안티바이러스, EPP, EDR 등 포함)을 수행하고 감염된 기계에서 모든 알려지지 않은 프로그램 및 브라우저 확장 기능을 제거합니다.

    • 제거 과정이 철저하게 이루어지고 모든 관련 구성요소가 식별되고 삭제되었는지 확인하십시오.

  2. 특정 호스트 또는 사용자가 이상현상의 원인으로 확인된 경우, 추가적인 잠재적 손상 또는 데이터 유출을 방지하기 위해 즉시 네트워크에서 격리하십시오.

  3. 필요한 경우, 특히 이상현상이 허용되지 말았어야 할 애플리케이션이나 트래픽에 의해 발생한 경우, 보다 제한적인 보안 정책을 위한 규칙을 업데이트하거나 생성하십시오.

  4. 스토리가 잘못된 긍정결과인 경우, 이를 Benign/Informational로 분류하고 Mute Stories 규칙에 추가할 수 있습니다. 스토리가 합법적인 스캔이나 침투 테스트의 결과인 경우, 특정 시간 범위에 대해 Mute Stories 규칙에 추가할 것을 권장합니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개