EndPoint4 Linux EDR (Endpoint Detection and Response) 솔루션 주요기능과 활용 기법 EDR(Endpoint Detection and Response)을 활용하여 리눅스 환경에서의 방어 회피 공격 탐지 및 위협 분석을 효과적으로 수행하는 방법입니다. 이 과정에서는 EDR 솔루션의 핵심 기능과 리눅스 환경에서의 방어 회피 기법, 그리고 이를 탐지하기 위한 전략입니다.1. EDR의 핵심 기능EDR 솔루션은 다음과 같은 기능을 통해 리눅스 시스템의 보안을 강화합니다:실시간 모니터링: EDR은 실시간으로 시스템에서 발생하는 모든 활동을 모니터링하여 이상 징후를 탐지합니다.행동 기반 탐지: 서명 기반 탐지 외에도, 비정상적인 행동을 통해 잠재적 위협을 탐지합니다.위협 인텔리전스 통합: 최신 위협 정보를 바탕으로 새로운 공격 벡터를 탐지합니다.사고 대응 자동화: 탐지된 위협에 대해 자동화된 대응 절.. 2024. 12. 1. Symantec API 정책 자동화 및 단말기 보안 이벤트 수집 모니터링 Symantec Endpoint Protection Manager(SEPM)에서 외부 통신하는 URL 로그를 기록하고 수집하는 방법입니다. SEPM에서는 URL 필터링 및 로깅 기능을 제공하므로 이를 이용할 수 있습니다.1. SEPM에서 URL 로그 기록 설정Symantec Endpoint Protection Manager 로그인SEPM 콘솔에 관리자 권한으로 로그인합니다.정책 설정SEPM 콘솔 좌측 패널에서 Policies를 선택합니다.Policies에서 Intrusion Prevention을 선택합니다.URL 모니터링을 위한 정책 생성새로운 Intrusion Prevention Policy를 생성하거나 기존 정책을 수정합니다.Intrusion Prevention Policy 편집 화면에서 Enable.. 2024. 10. 24. macOS 환경 osqueryi 설치 및 호스트 모니터링 보안 분석 FleetDM을 통해 osquery 패키지를 설치한 경우, 기본적으로 osqueryi 인터랙티브 쉘은 포함되지 않을 수 있습니다. 이를 해결하기 위해서는 osqueryi를 별도로 설치해야 합니다. 아래는 macOS에서 osqueryi를 설치하는 방법입니다.1. Homebrew 설치Homebrew가 설치되어 있지 않다면, 먼저 Homebrew를 설치해야 합니다. 터미널을 열고 다음 명령어를 입력합니다./bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"2. osquery 설치Homebrew를 이용하여 osquery를 설치합니다. 이 과정에서 osqueryi도 함께 설치됩니다.brew ins.. 2024. 8. 29. 시만텍 백신에 의해 격리되는 파일을 수집하여 분석하기 위한 방안 시만텍 백신 윈도우 클라이언트의 파일 격리와 관련해서 간단히 정리해 보겠습니다.1. 격리 설정 관리바이러스 및 스파이웨어 스캔 또는 행동 분석(SONAR)이 위협을 감지하면, Symantec Endpoint Protection은 의심스러운 파일을 감염된 컴퓨터의 로컬 격리소에 보관합니다. 이후 클라이언트는 파일을 복구하거나 복원하거나 삭제합니다.클라이언트가 위험을 감지하여 파일을 격리하면 관리 서버에 알립니다. 관리 서버에서는 격리된 파일을 자동으로 요청하고 검색할 수 있습니다. 관리 서버는 위험 샘플을 데이터베이스에 업로드하고 저장하며, 이벤트 세부 정보를 표시하고 추가 분석을 위해 다운로드할 수 있습니다.2. 격리된 파일을 관리 서버로 업로드기본적으로 관리 서버는 클라이언트에서 격리된 파일을 검색하지.. 2024. 7. 15. 이전 1 다음 728x90