[EPPM] 연계 규칙 샘플 공유
8월 06, 2020
212
1. 개요
- EPP의 연계 규칙 기능을 활용할 수 있는 샘플을 공유합니다.
2. 사전 참고 게시글
3. 샘플 요약
| 번호 | 제품 | 요약 시나리오 | 상세 시나리오 |
| 1 | V3 | 실시간 감시 OFF 동안 발생할 수 있는 위협에 대한 대응 |
실시간 감시 OFF로 인한 취약 시점에 발생하는 위협에 대한 대응 |
| 2 | V3 | 장기간 보안 제품 업데이트가 안 된 에이전트 대응 |
보안 제품의 마지막 접속 날짜가 오래되거나, 엔진이 장기간 업데이트되지 않는 경우 관리자가 먼저 대응할 수 있음 - 단, 마지막 접속 날짜 및 엔진 업데이트 날짜는 휴가자의 경우 오랫동안 접속하지 않을 수 있으므로 공지사항 함께 전달 |
| 3 | V3 | 악성코드 탐지 및 자동대응 체계 구성 1 |
보안 제품의 마지막 접속 날짜가 오래되거나, 엔진이 장기간 업데이트되지 않는 경우 관리자가 먼저 대응할 수 있음 - 단, 마지막 접속 날짜 및 엔진 업데이트 날짜는 휴가자의 경우 오랫동안 접속하지 않을 수 있으므로 공지사항 함께 전달 |
| 4 | V3 | 악성코드 탐지 및 자동대응 체계 구성 2 |
반복 감염이슈가 발생하는 PC 에 대한 자동화 대응 - 전사 내 임직원 PC 대상으로 검사 수행에 문제가 있는 PC 를 자동으로 탐지/관리 목적 |
| 5 | V3 | 비정상 네트워크 침입탐지 및 자동대응 체계 구성 |
네트워크 취약점을 이용한 내부 악성코드 확산 방지를 위한 대응 - 전사 내 임직원 PC 대상으로 검사 수행에 문제가 있는 PC 를 자동으로 탐지/관리 목적 |
| 6 | EPP | 사용자 정보가 없을 경우 SelectOU 활성화 시나리오 |
인사 DB에 없는 사용자들에 대해 SelectOU 커스텀 사용자 정보 입력창이 활성화 되어 자신의 정보를 입력할 수 있도록 함 |
| 7 | EPP | 제품 라이선스 만료 이슈 선제 대응 |
설치된 보안 제품에 대해 이상 증상이 예상되는 경우 관리자가 선제 대응 할 수 있도록 함 |
| 8 | EDR | RDP Default 포트 변경 권고 | 윈도우 RDP 기능을 허용한 PC/Server에 대해 RDP의 Default Port인 3389 포트 사용 검사 후 변경 가이드 안내 |
| 9 | ESA | 보안수준 평가 취약 사용자 대응 시나리오 |
감사 증적의 목적으로 사용자 보안수준평가를 정기적으로 수행하고 있는 기업에서 사내기준점수 미달시 대응할 수 있는 방안 |
| 10 | ESA | ESA 취약 사용자 대응 시나리오 | ESA 점수를 인사고과에 반영하는 고객사의 경우, 무조건 100점 만들기 위한 목적으로 사용 |
| 11 | V3+EDR | 랜섬웨어 의심 행위 발생에 대한 대응 | 랜섬웨어 의심 행위가 발생하였을 경우 대응 |
| 12 | V3+EDR | EDR을 통해 탐지된 의심 행위에 대한 사내 전파 방지 |
EDR을 통해 탐지된 악성 의심 행위에 대해 사내 미감염된 다른 PC들에 전파될 수 있는 사항을 사전 방지 |
| 13 | V3+EDR | Unknown 악성코드 대응 | 1.1.1.1 IP를 통해 유포되는 Unknown 악성코드 유입 확인 시 대응 시나리오 |
| 14 | V3+EDR | SMB 취약점 이용 악성코드 대응 | SMB 취약점을 통해 유포되는 파일 암호화 및 네트워크 전파 기능을 가진 랜섬웨어 유입 시 대응 시나리오 |
| 15 | V3+EDR | 이메일을 통한 유입 악성코드 대응 | 이메일에 첨부된 악성 URL 접속 시, 네트워크 차단하고 대응하는 시나리오 |
| 16 | V3+EDR | 최신 악성코드 동향 및 분석 보고서 바탕 대응 시나리오 | 최신 악성코드 동향 및 분석 보고서를 바탕으로 해당 악성코드의 진단명 또는 EDR Unknown 행위를 탐지하여 의심되는 Unknown 행위 확인될 시 V3 최신 업데이트 수행 및 악성코드 검사할 수 있는 방안 예시) [진단정보][V3] 혼다 공격한 스네이크, ICS와 SCADA 집중적으로 노리는 랜섬웨어 2020-06-11 |
| 17 | V3+EPM | 권고 프로그램 설치 여부 점검 | 고객사 사내 보안을 위한 기본 프로그램 설치 여부 판단하여 대응 |
| 18 | V3+EPM | 금지 프로그램 설치 여부 점검 | 고객사 사내 보안을 위한 금지 프로그램 설치 여부 판단하여 대응 |
| 19 | V3+EPM | 보안취약점을 통한 악성코드 탐지 및 대응 체계 구성 1 |
특정 취약점에 의한 악성코드 이슈가 대내외적으로 이슈가 되고 있을 때, 자동 대응 |
| 20 | V3+EPM | 보안취약점을 통한 악성코드 탐지 및 대응 체계 구성 2 |
네트워크 보안 취약점에 의한 악성코드 이슈가 대부적으로 확산을 방지하고자 할 때, 자동 대응 |
| 21 | V3+EPM | KISA 보안 업데이트 권고사항 관련 패치 적용 시나리오 |
KISA에서 공지하는 취약점 관련 보안 업데이트 권고사항에 대해 관련 패치 설치 여부 확인 및 미설치시 적용할 수 있는 방안 예시) [KISA] MS 인터넷익스플로러 긴급 보안 업데이트 권고 2019.09.24 |
| 22 | V3+EPM | SMB 취약점 대응 시나리오 | 윈도우 보안 취약점(MS17-010)을 이용한 네트워크 공격이 발생하는 경우, 이에 대한 탐지 및 대응 방안이 필요함 (SMB 취약점) |
| 23 | V3+ESA | 악성코드로 인한 백신 미실행 이슈 대응 | 악성코드로 인해 백신이 미실행되어 있는 이슈에 대한 대응을 수행 |
| 24 | V3+EDR+EPrM | 정보탈취 의심 행위에 대한 대응 | Unknown 의심 네트워크에 접속한 이력이 있는 host에서 정보 탈취 행위가 발생하였을 경우 대응 |
| 25 | V3+EDR+EPrM | 개인 정보 유출을 방지를 위한 연계 규칙 | 개인 정보를 보유하고 있는 에이전트 PC에서 외부 유출을 방지 |
| 26 | V3+ESA+EPM | ESA 취약 항목 조치 시나리오 | 자주 발생하는 ESA 취약 항목을 조치하기 위해 임시 조치를 위한 파일 다운로드 링크를 공지사항으로 발송 |
| 27 | V3+ESA+EPrM | 위협PC에 대한 개인정보 보호 체계 구성 |
악성코드 감염 및 정보 유출 의심행위 발생시 보안 강화를 위한 탐지/관리 체계를 구성 |
>> 각 샘플에 대한 상세 조건은 첨부된 엑셀 파일을 참고 부탁드립니다.
