IPS(침입 방지 시스템)로 의심스러운 활동 모니터링 (SAM)

이 문서는 네트워크의 잠재적 위협에 대한 인식을 높이기 위해 IPS 서비스와 함께 의심스러운 활동 모니터링(SAM) 기능을 사용하는 방법을 설명합니다.

SAM 서비스 개요

Cato의 SAM 기능은 IPS 서비스를 확장하여 표준 IPS 시그니처로 모니터링되지 않는 네트워크의 의심스러운 활동에 대한 가시성을 제공합니다. 이러한 유형의 트래픽은 네트워크에서 주의가 필요한 동작을 나타내며, 상황에 따라 침해나 위협을 나타낼 수 있습니다. 그러나 트래픽이 명확히 악의적인 것은 아니기 때문에, SAM은 트래픽을 차단하지 않고 모니터링만 합니다. SAM이 제공하는 잠재적 위협에 대한 폭넓은 시각은 공격의 모든 단계를 식별하는 데 도움이 되며, 미래의 유사한 공격 벡터에 대한 탐지 및 방어를 더 잘 준비할 수 있게 해줍니다.

You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.

SAM이란?

Cato 보안 연구 팀은 의심스러워 보이는 비정상적인 행동 패턴에 대한 특정 시그니처를 만듭니다. SAM 서비스는 이러한 시그니처와 일치하는 트래픽을 감지하고, SOC 팀이 위협을 추적하고 조사할 수 있는 이벤트 및 데이터를 생성합니다. SAM 이벤트는 악성 IPS 이벤트와 합법적일 수 있는 비정상 트래픽을 구분하기 위해 의심스러운 활동 하위 유형으로 라벨링됩니다.

SAM은 계정의 모든 WAN, 인바운드 및 아웃바운드 트래픽을 모니터링하며, IPS 보호 범위 설정은 SAM에 영향을 주지 않습니다.

다음은 SAM 이벤트를 생성하는 시나리오의 예입니다:

  • 아웃바운드 HTTP 트래픽이 시스템 정보를 유출

  • 비표준 HTTP 포트를 사용하는 인기도 낮은 목적지에 대한 HTTP 요청

  • 프로그래매틱 HTTP 클라이언트가 이진 또는 실행 파일 다운로드

  • WAN을 통해 민감한 폴더로 실행 파일 전송

SAM 위험 수준 이해

SAM 기능은 이벤트를 높음, 중간, 낮음의 서로 다른 위험 수준으로 분류합니다. Cato는 여러 요인의 분석을 기반으로 위험 수준을 계산합니다. 예를 들어:

  • Cato Cloud의 모든 트래픽에서 활동의 일반성. 일반성이 낮을수록 활동이 악성일 가능성이 높습니다

  • 활동과 연관된 MITRE ATT&CK® 기술

위험 수준은 트래픽을 평가하고, 공격의 일부일 가능성이 가장 높은 이벤트에 대한 분석에 집중하는 데 도움을 줍니다. 또한, 고위험 SAM 이벤트는 자동으로 XDR 스토리를 생성하며, 이는 XDR 발견 사건에서 조사할 수 있습니다.

전제 조건

  • SAM은 IPS 라이선스에 포함되어 있습니다. IPS 라이선스 구매에 대한 자세한 사항은 귀하의 Cato 담당자에게 문의하십시오.

  • SAM을 활성화하려면 IPS 정책을 먼저 활성화해야 합니다.

주의

참고: IPS 서비스와 SAM 개선 기능이 네트워크를 최대한 보호할 수 있도록 TLS 검사를 사용하시길 권장합니다.

SAM 사용 사례 이해

SAM의 최대 이익을 얻으시려면, 네트워크의 정기적인 보안 절차의 일환으로 SAM 이벤트 검토를 포함하시길 권장합니다. 예시로, 다음 사용 사례에서 SAM 이벤트 검토를 구현할 수 있습니다:

  • 고위험 SAM 이벤트의 정기적인 검토를 통해 잠재적인 공격을 탐지하고 예방

  • 확인된 공격 후 SAM 이벤트를 분석하여 포렌식 조사 일환으로 넓은 맥락 제공

SAM을 통한 의심스러운 활동 검토

Cato는 SAM이 감지한 의심스러운 활동을 발견하고 조사할 수 있는 여러 가지 방법을 제공합니다. 이러한 다양한 자원을 함께 사용하여 네트워크의 의심스러운 활동에 대한 철저한 가시성과 맥락을 구축할 수 있습니다. 이 자원에는 다음이 포함됩니다:

  • XDR 발견 사건 - SAM 이벤트는 사건 검토 도구에서 XDR 사건의 기초로 사용됩니다. 사건 검토 도구에서 이야기를 검토하면 공격의 일부일 수 있는 의심스러운 활동에 대해 경고할 수 있습니다. For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.

    SAM_Stories_Dashboard.png

  • 위협 대시보드 - 대시보드를 SAM 이벤트에 초점을 맞춰 필터링하여 SAM 이벤트 데이터를 검토합니다. See below Viewing SAM Data in the Threats Dashboard

    SAM_Threat_Dashboard.png

  • MITRE ATT&CK 대시보드 - SAM 이벤트를 포함한 IPS 모니터 이벤트 데이터를 표시하도록 대시보드를 설정할 수 있습니다. See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard

    SAM_MITRE_Dashboard.png

  • Events page - Filter the page to show SAM events (subtype: Suspicious Activity). 의심스러운 활동 프리셋 필터를 선택할 때, 기본적으로 페이지는 오직 고위험 SAM 이벤트만을 표시합니다. 소스나 목적지가 흥미로운 이벤트와 같은 특정 SAM 이벤트에 초점을 맞추기 위해 필터를 추가할 수 있습니다. For more about SAM events, see below Reviewing SAM Events.

위협 대시보드, MITRE ATT&CK 대시보드 및 XDR 발견 사건 모두 이벤트 페이지에서 세부정보를 깊이 들여다 보고 검토할 수 있게 합니다.

SAM 작업하기

이 섹션에서는 SAM 서비스를 구성하는 방법을 설명합니다.

Suspicous_Activity_Tab.png

SAM 활성화 및 비활성화

기본적으로 계정에 대해 SAM이 활성화되어 있습니다. IPS 페이지의 의심스러운 활동 탭에서 이 설정을 변경할 수 있습니다.

계정에 대해 SAM을 활성화하거나 비활성화하려면:

  1. 네비게이션 메뉴에서 보안 > IPS를 클릭합니다.

  2. 의심스러운 활동 탭을 선택하십시오.

  3. 계정에 대해 의심스러운 활동 모니터링을 활성화 또는 비활성화하려면 클릭하십시오.

  4. 저장을 클릭하십시오.

위협 대시보드에서 SAM 데이터 보기

위협 대시보드 페이지를 통해 네트워크에서 의심스러운 활동을 분석할 수 있습니다. IPS 섹션에서 위젯을 설정하여 의심스러운 활동을 표시하고 대시보드를 필터링하여 특정 SAM 위협 유형 및 관련 호스트 및 사용자의 데이터를 표시할 수 있습니다. 이벤트 페이지에서 SAM 이벤트를 볼 수 있으며, 이는 위협 유형, 호스트 및 사용자로 사전 필터링됩니다.

For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.

위협 대시보드에서 의심스러운 활동 데이터를 보려면:

  1. 네비게이션 메뉴에서 보안 > 보안 위협을 선택하십시오.

  2. IPS 섹션의 이벤트 유형 드롭다운 메뉴에서 의심스러운 활동을 선택하십시오.

    위젯이 이제 SAM 데이터를 표시합니다.

MITRE ATT&CK® 대시보드에서 SAM 데이터 분석

MITRE ATT&CK® 대시보드는 MITRE ATT&CK® 프레임워크의 전술 및 기술을 사용하여 의심스러운 활동을 분석하는 데 도움을 줍니다. 대시보드를 IPS 모니터 이벤트, 포함하는 SAM 이벤트의 데이터를 표시하도록 설정할 수 있습니다. For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.

의심스러운 활동 트래픽 허용 목록 추가

특정 트래픽에 대한 이벤트 로그를 중단하려는 경우, IPS 허용 목록 페이지에서 해당 트래픽을 허용 목록에 추가할 수 있습니다. 의심스러운 활동 트래픽을 허용 목록에 추가하려면, 모니터링을 중지할 트래픽의 시그니처 ID를 사용하여 IPS 허용 목록 규칙을 생성하십시오. 이벤트 페이지에서 이벤트의 시그니처 ID를 클릭하여 의심스러운 트래픽을 허용 목록에 추가할 수도 있습니다. For more information, see Allowlisting IPS Signatures.

SAM 이벤트 검토

홈 > 이벤트에서 보안 이벤트를 검토하고 SAM에 의해 감지된 이상 행위 및 잠재적 위협을 찾을 수 있습니다. 이러한 이벤트는 의심스러운 활동 하위 유형으로 라벨이 부여되어 IPS 하위 유형으로 생성된 높은 위험도 이벤트와 구별할 수 있습니다.

관련 이벤트를 표시하려면 프리셋 없음 드롭다운 메뉴에서 의심스러운 활동 프리셋 필터를 선택하십시오. 기본적으로, 이 프리셋을 선택하면 페이지는 고위험 SAM 이벤트를 표시하도록 필터링됩니다. 모든 SAM 이벤트를 보려면 위험 수준: 높음 필터를 제거하십시오.

The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.

다음은 고위험 SAM 이벤트의 예시 분석입니다:

SAM_Event_update.png

  • 위협 이름은 이 이벤트에서 발생한 것에 대한 기본적인 설명을 제공합니다 - PsExec를 사용하여 실행 파일이 내부 이동되었습니다

  • Mitre 공격 전술Mitre 공격 하위 기술 필드는 원격 서비스를 사용한 실행과 SMB를 통한 ADMIN$ 공유 폴더로의 내부 이동을 보여줍니다

  • 소스와 목적지를 자세히 설명하는 필드는 관련된 네트워크 호스트를 정확히 찾아내는 데 도움을 줍니다. 이 정보를 통해 당신은:

    • 이벤트의 소스 호스트가 PsExec를 사용할 수 있는 필수 권한이 있는지 확인

    • 이벤트와 연관된 최종 사용자가 감지된 작업을 수행할 가능성이 있는지 확인

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개