EDR

EDR 솔루션 도입 필요성

점점 다변화, 고도화되고 있는 사이버 공격을 모두 막는 것은 불가능합니다.

의심스러운 활동에 대한 빠른 인지와 행적을 분석하여 감염의 대응책을 마련하고 확산을 막아 피해를 최소화하고 동일 형태의 피해가 발생하지 않도록 할 수 있는 솔루션이 필요합니다.

최종 공격 대상은 결국 엔드포인트 입니다.

네트워크 경계에 있는 대부분의 보안 솔루션은 내부 자산을 보호하기 위해 구성되어 있으나 엔드포인트의 위협은 계속 증가하고 있습니다.
사용자에게 보내지는 악성 메일, 피싱 사이트, 위/변조 된 홈페이지 접속 등을 통한 악성코드 감염 및 APT 침해는 네트워크 보안 솔루션의 한계를 보여주고 있습니다.

코로나 바이러스의 돌파감염처럼 많은 보안 솔루션이 있음에도 해킹 사고는 줄지 않고 있으며, 백신으로는 역부족인 상황입니다. 백신으로 탐지를 했어도 해당 파일이 언제부터 있었는지, 다른 PC 에도 해당 파일이 있는지, 어떤 정보가 유출이 됐는지, 어떤 파일을 생성했는지 알 수 없습니다.

Genian EDR 제품 개요

Genian EDR은 단말에 대한 지속적인 모닝터링 및 정보 수집을 통해 위협의 탐지 및 분석, 대응을 제공하는
단말 이상행위 탐지 및 대응 (Endpoint Detection & Response) 솔루션입니다.

1. 단말 행위 모니터링/수집
- File, Module, Process, Connection, Registry 정보
- 사용자 및 단말에서 발생하는 이상 행위
- 외부 저장매체의 파일 정보
- 윈도우 이벤트 수집 (옵션)
- 다양한 대시보드 제공
2. 위협의 탐지
- 침해사고지표(IOC) 기반의 알려진 위협 탐지
- 머신러닝(ML)기반의 알려지지 않은 위협 탐지
- 행위 기반의 File-less 위협 탐지
- 야라(YARA)를 이용한 사용자 설정 기반의 심층조사
4. 탐지 위협의 조사/분석
- 탐지된 위협의 상세 정보 제공, 의심 파일 수집
- 통합 검색 및 연관 검색
- 이벤트 타임라인 및 연관 분석(Chain of Event)
- Ecosystem(평판서비스) 제공
3. 위협의 대응
- 탐지된 위협 대상의 고지, 종료, 삭제, 네트워크 격리
- 알려진 위협 사전 대응
- 분석 후 대응 (대응 시 동일 이벤트 자동 대응)
- 샌드박스, SIEM 등 기존 보안 솔루션 연동

Genian EDR 서버, Agent 의 간단한 구성입니다.
Scale-Out 기능을 제공하여 쉽게 확장 할 수 있습니다.

주요 기능

Light Agent 기술	CPU, MEMORY 최소 사용 동작 및 CPU, Memory 사용률 제한 기능이 있는 Agent 확인 처리 기술(타 프로세스의 접근 확인 후 처리), 지연 처리 기술(지연처리하는 기술) 적용으로 타 프로그램의 동작에 영향을 주지 않는 기술 적용
탐지 기술	Multi-layer의 탐지 엔진으로 구성이 되어 File 과 이상행위(file-less) 탐지와 함께 분석에 필요한 상세 정보를 제공합니다. 1. IOC(Indicator Of Compromise, 침해 지표) : 전 세계에서 탐지된 악성 파일/IP 정보를 DB화하여 알려진 위협을 탐지합니다. 2. ML (Machine Learning) : 악성파일/정상 파일의 특징을 학습/분석하여 위협이 의심되는 파일을 탐지합니다. 3. ML (Machine Learning) : 악성파일/정상 파일의 특징을 학습/분석하여 위협이 의심되는 파일을 탐지합니다. 4. Custom Rule 을 통해 직접 탐지할 수 있는 패턴을 등록할 수 있습니다. 5. Ecosystem : Genian 자체의 평판시스템을 제공합니다.
대응 기술	악성 파일에 대한 프로세스 중지, 격리, 사용자/관리자 알람, 네트워크 격리 등의 대응 기능을 제공합니다.
분석 기술	전체 위협에 대한 요약 정보를 보여주는 위협 모니터링화면을 제공합니다. 탐지된 위협 목록에서의 요약 정보와 상세 분석을 할 수 있는 기능을 제공합니다. 위협 상세 분석에서는 탐지된 파일의 위협 정보와 이상 행위(Fileless) 탐지 시 연관된MITRE ATT&CK 링크를 제공합니다. 단말 별 탐지정보, 연관지표, 행위, 유사도 등 분석에 도움이 되는 다양한 정보를 제공합니다. 공격 스토리 라인에서는 파일/프로세스의 실행 관계를 표시하며, 프로세스 제어,파일 수집 등의 제어 기능을 제공합니다. 악성 파일에 대한 프로세스 중지, 격리, 사용자/관리자 알람, 네트워크 격리 등의 대응 기능을 제공합니다. 조건 없이 파일 명 하나만으로도 파일의 생성, 변경 정보를 확인할 수 있으며, 검색 기록 불러오기, 즐겨찾기 기능으로 동일한 검색을 쉽고 빠르게 할 수 있습니다. 수집한 로그의 의미를 알 수 있도록 Tag를 설정하여 원하는 Tag 검색으로 복잡한 파일 경로, 레지스트리 등의 검색을 쉽고 빠르게 할 수 있습니다. 파일 상세 분석 추가 분석이 필요한 파일을 Manager 서버로 upload하여 정적 분석에 대한 결과를 제공합니다.
관리	설치된 Agent (PC) 현황 파악이 직관적입니다. 포렌식 분석을 위하여 특정 시점(위협 발생 시)의 다양한 정보를 수집하여 관리자가 쉽게 확인 할 수 있는 화면을 제공합니다. Live 검색 사용자 PC 내의 파일, 레지스트리를 다양한 조건 검색 VSS관리 윈도우의 Window shadow copy 백업/복원 (Volume Shadow Copy Services) 서비스를 관리합니다. 안티렌섬웨어 기능 윈도우 볼륨 새도우 카피보다 효율적이고 고도화된 안티랜섬웨어 기능을 제공합니다. QoS 기능 Agent 업그레이드, 이벤트 전송 시 QoS 기능으로 네트워크 부담 없이 배포, 전송할 수 있습니다. Agent 업그레이드, 이벤트 전송 시 QoS 기능으로 네트워크 부담 없이 배포, 전송할 수 있습니다.
리포트	기본 제공 리포트와 대시보드를 리포트로 변환할 수 있습니다. 리포트는 관리자가 직접 생성/수정할 수 있도록 다양한 옵션을 제공합니다.
연동	Syslog, SNMP, Rest API 를 지원, 타 시스템과 다양한 연동을 지원합니다. Syslog, SNMP, Rest API 외의 다양한 연동이 될 수 있도록 연동 플러그인(모듈)을 개발하여 적용할 수 있습니다.

기대 효과

침투 경로와 행위에 대한 파악
- 리버스 엔지니어링(Reverse Engineering)없이 프로그램의 동작을 확인할 수 있습니다.
엔드 포인트의 다양한 정보 제공
- 대시보드는 다양한 커스터마이징을 통해 엔드포인드의 가시성을 극대화 합니다. (Endpoint Discovery)
네트워크와 엔드포인트의 연관성, 그리고 SOAR
- SIEM, SOAR 연동하여, 네트워크 상의 이상 행위가 엔드포인트에서의 악성 행위나 악성파일 탐지와 연관이 있는 지에 대한 분석과 자동 대응 및 모니터링을 할 수 있습니다.

기능 비교

구분	기능명세	지니언스	A사	B사
일반	EDR 서버 형태(하드웨어 일체형 / Software / Cloud)	하드웨어 일체형 (상용서버 설치 가능)	Sofware 방식 (상용서버)	Sofware 방식 (상용서버)
	제품 구성 방식	Agent, Server	Agent, Server	Agent, Server
	Agent 지원 플랫폼	Windows	Windows	Windows
	Agent와 서버간 SSL 등의 암호화 통신	○	○	○
	특정 소프트웨어(백신, DLP 등)에 종속성	종속성 없음	○ (EPP 없이 단독 운영 시 기능 제한)	○ (EPP+EDR)
정보수집/저장	사후 조사와 분석을 위한 상시 로그 수집 및 분석	○	○	○
	파일 생성, 수정, 삭제, 전환(이동, 복사) 행위 및 전자서명 등 정보 수집	○	○	○
	프로세스 실행, 자식 프로세스 생성에 대한정보 수집	○	○	○
	모듈 정보(DllLoad, DllInject, DllInjected)에 대한 정보 수집	○	○	○
	Network Connect 및 TcpPortBind , TCP/UDP 이벤트에 대한 정보 수집	○	○	○
	레지스트리 생성, 삭제, 변경 관련 이벤트 정보 수집	○	○	○
	엔드포인트의 IP, MAC, 인증정보, 부서, 플랫폼, 플러그인 등 동작 및 운영 상태 정보 수집	○	○	○
	문서/압축 파일 이동 현황(인터넷 업로드, 메신저, 공유폴더, 외장 저장장치, 블루투스 등)에 대한 정보 수집	○	X	X
	USB 저장장치에 대한 정보 수집(시리얼, 제조사 등)	○	○	○
	단말 이벤트 정보의 Local DB 저장(서버와 통신 불가 시에도 이벤트 확인 가능)	○	○	○
	윈도우 이벤트 뷰어의 윈도우 로그 실시간 수집 기능	○	X	X
	단말에서 수집된 모든 정보는 서버에 중앙화하여 저장	○	○	○
	신규 데이터를 Hot Node에 저장, 오래된 데이터를 Warm Node에 분리 저장하여 장기간 Live 검색 데이터 보관 구조 제공	○	X	X
Artifact 수집	윈도우 이벤트 뷰어의 윈도우 로그 파일 수집 기능	○	○	X
	위협을 발생시킨 프로세스 덤프 수집	○	○	○
	악성파일(PE) 자동 수집 기능, 악성이 아닌 실행파일(PE) 수동 수집 기능	○	○	○
	Prefetch 파일 정보 수집	○	○	X
	$logfile(File의 Life cycle 정보 제공), $mft(파일시스템 구조 정보) 파일 수집	○	○	X
	Registry hive 수집 (레지스트리 하위 정보 제공)	○	○	X
	단말 시스템 정보 수집 OS 정보, 자동실행/예약작업/윈도우 서비스 목록, 설치 프로그램 목록, 실행중인 프로세스 등 호스트 파일, 공유폴더, 윈도우 방화벽, 브라우저 방문 기록 등	○	○	○
	단말 네트워크 정보 수집 네트워크 세션, 네트워크 설정, DNS 캐시, 라우팅 테이블, 넷바이오스, ARP 테이블, 도메인 정보 등	○	○	○
탐지	IOC(Indicator of Compromise: 침해사고 지표) 또는 시그니처 등을 통한 알려진 위협파일 탐지	○	○	○
	AI, 머신러닝 등 유사 기능을 통해 위협 의심파일 탐지	○	○	○
	랜섬웨어 유사행위 탐지	○	○	○
	정책/권한 우회 : 시스템 설정 파일 및 계정의 임의 조작 행위 탐지	○	○	○
	의심스러운 프로세스 행위 : 일반적이지 않은 파일, 프로세스 이름 또는 경로를 통한 프로세스의 실행 탐지	○	○	○
	시스템 명령어 오용 : Powershell, WMI 등 주로 관리목적의 시스템 명령어의 일반적이지 않은 사용 탐지	○	○	○
	권한 탈취 또는 오용 : 사용자 권한 (UAC : User Account Control) 정책 우회를 통한 불법 권한 획득 탐지	○	○	○
	자가 삭제 : 이상 행위 주체(파일, 프로세스 등) 및 로그(log) 등의 변경 또는 삭제 행위 탐지	○	○	○
	자동 재 실행 : 윈도우 시작 폴더 또는 레지스트리의 이상 값 등록 행위 탐지	○	○	○
	횡적 확산(Lateral Movement) : 포트 스캐닝 등을 통한 타 시스템으로의 감염 확산 시도 행위 탐지	○	○	○
	의심스러운 오피스 행위에 대한 탐지 : Word, Powerpoint 등의 매크로, 스크립트 등의 행위 탐지	○	○	○
	YARA 규칙에 해당되는 악성 파일을 탐지하는 기능(단말 수동 검사 명령)	○	○	○
	관리자 커스텀 룰 설정 기능 제공	○	○	○
	위협 탐지 시 Alert 기능	○	○	○
	탐지된 위협에 대한 일간(시간/일) 위협현황 리포트 자동 생성 및 관리자 이메일 전송	○	○	○
분석	탐지된 악성코드+이상행위에 대한 종합적인 분석 화면 제공	○	○	○
	위협으로 탐지되는 파일 및 프로세스 관련 정보 제공	○	○	○
	프로세스 기반 연계 다이어그램(process Tree) 제공	○	○	○
	위협으로 탐지되는 파일을 수집하는 기능 제공	○	○	○
	탐지된 위협에 대한 다양한 시각화 정보 제공(Root Cause / Chain Analysis 등)	○	○	○
	탐지된 위협 파일에 대한 외부 유입경로(URL, IP) 정보 제공	○	○	○
	탐지된 위협 의심파일에 대한 유사도 SSDEEP HASH(%), AI분석 지표 제공	○	○	○
	의심 단말에 shell을 통한 실시간 원격 접속을 통하여 다양한 명령 수행 및 결과를 확인할 수 있는 보안점검 기능	○	X	X
	이벤트 검색 편의를 위한 최근 검색 기록 확인 및 검색 조건 즐겨찾기 등록 기능	○	X	X
	이상행위 탐지에 대한 MITRE ATT&CK 정보	○	○	○
	샌드박스 연동을 통한 상세 행위정보 분석(TRENDMICRO Deep Discovery Analyzer, Checkpoint sandbox 등)	○	○	X
대응	탐지된 위협 파일에 대한 격리 또는 삭제	○	○	○
	실행중인 프로세스의 강제 종료 및 덤프 수집	○	○	○
	위협 탐지 단말의 네트워크 격리	○	○	○
	단말의 네트워크 차단 시에도 특정 IP로의 통신 허용 기능	○	○	X
	동일한 위협 탐지 시 설정한 대응정책에 따른 자동 대응	○	○	○
	탐지 정합성 향상을 위한 예외처리 기능	○	○	○
	VSS 복원기능(Windows Shadow Copy 자동 백업 및 수동 복원)	○	○	X
	랜섬웨어 실시간 대응 기능(실시간 탐지 및 차단, 실시간 백업 및 자동 복원 기능)	○	X	X
운영/관리	관리자 계정 별 권한 제어 기능	○	○	○
	관리자 계정 별 다양한 위젯 형식의 대시보드 제공 및 데이터 출력 항목/배치에 대한 개인화 지원	○	X	X
	시스템간 연계를 위한 API, SNMP, syslog 등 다양한 연계 방식 제공	○	○	○
	Agent 설치 및 업데이트를 위한 다운로드 시와 단말 이벤트 전송 시 과도한 네트워크 트래픽 사용 방지를 위한 QoS 기능	○	X	X
	Agent 자동/수동 업데이트 및 네트워크 부하 분산을 위한 서버별 분산 업데이트 기능	○	○	○
	Agent 설치 단말 현황 및 상태 모니터링	○	○	○
	Agent가 설치된 단말의 리소스(CPU, MEMORY, DISK, GPU) 사용률과 Agent가 사용하는 리소스(CPU, MEMORY, DISK) 사용률 제공	○	○	○
	Agent 의 리소스 사용률 제한기능 (CPU, Memory)	○	X	X
	폐쇄망 환경에서의 솔루션 패치, 침해지표 최신화 등 수동 업데이트 기능 제공	○	○	○

영업 문의
E-Mail : s5sales@s5data.co.kr
기술 문의
E-Mail : support@s5data.co.kr
전화 문의
02-780-1327

주소 : 서울시 영등포구 선유로49길 23, 307호 (선유도역 2차 아이에스비즈타워) | 대표이사 : 이동환 | 사업자등록번호 : 850-87-01327