X

EDR (Endpoint Detection and Response)

1. EDR (Endpoint Detection and Response)의 개요

개념 엔드포인트 레벨에서 발생한 침해 행위를 지속적인 모니터링과 대응을 통해 탐지 및 추적하는 보안 솔루션
필요성
  • EDR은 엔드포인트에서 발생하는 행위를 신속하게 탐지하여 침해 행위 추적을 위한 가시성(Visibility)과 추가 피해 방지를 위한 대응(Response) 가능

 

2. EDR의 운영 절차 및 주요 기능

(1) EDR의 운영 절차

① Connect: 보호 대상 시스템에 설치된 Agent에서 EDR 내부 플랫폼에 연동
② Collect: 악성코드 및 프로세스 탐지 및 수집
③ Analysis: 탐지된 정보를 저장 및 분석
④ Investigate: 분석 결과 기반 사건 조사
⑤ Remediate: 사건 조사 결과 기반 보호 대상 시스템 복원

(2) EDR의 주요 기능

구분 주요 기능 특징
Predict 기본 보안 태세
(Baseline Security Posture)
– 악성 스크립트 및 메모리 익스플로잇 자동 식별
– 동적 공격자 인텔리젼스 사용에 대한 대응
위협 예측
(Anticipate Threats)
– 네트워크 , 엔드포인트 등 제어지점 침투상관관계 분석
– 엔드포인트 활동 캡쳐 , 재연 및 지속적 모니터링
위험 평가
(Resk Assessment)
– 머신러닝 및 행위분석 적용하여 활동 탐지 및 규명
– 침해사고 우선순위 지정
Prevent 시스템 강화
(Harden System)
– 중단 없는 활동 기록으로 공격 내역에 대한 가시성 확보
– 엔드포인트 프로세스 덤프 검색
시스템 격리
(Isolated System)
– 감염 가능성 있는 엔드포인트 차단 및 격리
– 공격받은 엔드포인트내 악성파일 및 관련아티팩트삭제
공격 방지
(Prevent Attacks)
– 비정상적 사용자 , 메모리 , 네트워크 패턴탐지
– FlowChart, DashBoard 등을 이용한 공격 경로 가시화
Detect 사고 탐지
(Detect Incident)
– 엔드포인트 내 보안침해지표 검색 후 보안 위협 추적
– 행동기반 휴리스틱 분석 , 평판분석 , 익스플로잇 탐지
사건 포함
(Contain Incidents)
– 공격받은 엔드포인트에 악성파일, 관련 아티팩트 삭제
– 수집 분석된 이벤트 정보 저장 및 인덱싱 수행
위험 확인 및 중요도
(Confirm and Prioritize Risk)
– 상관관계 분석 통한 위협 우선순위와 중요도 대응
– 엔드포인트 , 네트워크 , 이메일 영역 통합 분석
Response 보안 위협 억제/대응 – 샌드박싱 , 블랙리스팅 , 격리로 의심이벤트 조사/차단
침해사고 대응자동화 – 엔드포인트 가시성 확보
– 자동화된 방식으로 보안위협 추적하여 침해 사고 대응
  • EDR 기반 분석 시 침해 행위의 핵심사항은 IOC(Indicator Of Compromise) 기반 탐지 및 조사

 

3. EDR 기반 효과적인 보안 위협 분석 위한 IOC 활용

  • IOC(Indicator Of Compromise): 운영체제 혹은 네트워크의 침해를 확인할 수 있는 포렌식 아티팩트
  • 일반적인 침해 지표: IP 주소, 악성코드의 MD5 해시, C2 URL
침해 지표 표준 역할
IODEF (The Incident Object Description Exchange Format) – 컴퓨터 보안사고 대응팀 간 사건 정보 교환용 XML 포맷
– 사건의 세부 내용에 대한 XML 스키마 정의
CybOX (Cyber Observable Expression) – 운용 도메인에서 확인 가능한 상태 속성, 이벤트 통신 대상 스키마
– 이벤트 관리/로깅, 악성코드 특성, 침입 탐지, 사고 대응/관리 등
Open IOC by Mandiant – XML 기반 위협 정보 표현 프레임워크
– 논리적 그룹 형식으로 포렌식 아티팩트 정리

 
[참고]

  • DIGITAL FORENSICS COMMUNITY IN KOREA, Utilization of IOC, IOAF and SigBase
  • Symantec, Symantec Endpoint Detection and Response
Categories: 보안
도리: