[EDR] EDR 수집 로그
1. 개요
- V3, EDR 에이전트가 EDR 서버로 업로드하는 로그에 대해 설명합니다.
2. 영향 받는 버전
- 모든 버전
3. EDR 수집 로그 확인 전 동작 프로세스 확인
4. V3, EDR 수집 로그
아래 데이터들을 기반으로 EDR 서버에서는 연관 관계 다이어그램을 그립니다.
|
제품 |
수집 로그 |
상세 내용 |
|
V3 9.0 |
행위 로그(ASD Log) |
프로세스, 파일 정보(파일명, 경로, 해시값, 파일 평판 정보 등) 행위 정보(레지스트리, 네트워크, 다운로드, 행위 룰 등) 네트워크 정보(네트워크 타입, URL, 접속 IP, 접속 URL 및 IP 평판 정보 등) |
|
EDR Agent |
Artifact |
실행 중인 프로세스, 모듈, 시작 프로그램, 서비스, 예약된 작업 등 기본 시스템 정보 |
|
Windows Eventlog |
윈도우 이벤트 로그 |
|
|
Timeline |
파일 다운로드/실행 이력, 네트워크 접속 이력 등 |
5. 의심 행위 조건
4번에서 수집한 데이터 중 아래의 행위들에 대해 그룹화하여 탐지 메뉴에서 어떠한 의심 행위를 하는지 표기 하고 있습니다.
|
행위 |
상세 행위 |
|
랜섬웨어 유사 행위 |
일반적으로 접근하지 않는 시스템 기본 문서 File에 접근 연속 문서 파일 변조 행위 Injected된 프로세스가 일반적으로 접근하지 않는 시스템 기본 문서 File에 접근 랜섬웨어의 파일 변조 행위 디코이 폴더 및 파일 Access, Write, Delete 문서 접근 행위 |
|
인젝션 행위 |
인젝션 시도 메모리 쓰기 시도 |
|
네트워크접속 행위 |
DDOS 행위 C2 접근 행위 |
|
시스템설정변경 행위 |
보안 설정 변경 방화벽 설정 변경 의심스러운 방법으로 프로세스 실행 의심스러운 방법으로 명령 프롬프트 실행 의심스러운 방법으로 프로세스 실행(작업 스케줄러 등록) 의심스러운 방법으로 명령 프롬프트 실행(작업 스케줄러 등록) 의심스러운 프로세스 실행 탐지 의심스러운 프로세스의 작업 스케줄러 등록 행위 탐지 |
|
권한 상승 |
의심스러운 프로세스가 생성되고, 의심스러운 방법으로 그 프로세스 실행 행위 탐지 프로세스를 생성하고, 생성된 프로세스가 악성 행위를 수행할 수 있음 |
|
Fileless |
예기치 않은 프로세스에 의해 javaw.exe가 실행 행위 탐지 실행 파일을 다운로드하고, 다운로드된 파일이 악성 파일일 수 있어 주의가 필요 |