주요 콘텐츠로 건너뛰기

감지

감지를 통해 조사가 필요할 수 있는 활동을 확인할 수 있습니다.

감지를 통해 장치에서 비정상적이거나 의심스럽지만 차단되지 않은 활동을 식별할 수 있습니다. 이미 악성으로 알려진 활동을 감지하고 차단하는 이벤트와는 다릅니다.

장치가 Sophos 데이터 레이크에 업로드하는 데이터를 기반으로 감지를 생성합니다. 위협 분류 규칙에 따라 해당 데이터를 확인합니다. 일치하는 항목이 있을 경우, 감지 기능이 표시됩니다.

이 페이지에서는 감지 기능을 사용하여 잠재적 위협을 찾는 방법을 설명합니다.

참고

사례에서는 고급 분석을 위해 관련 감지를 자동으로 그룹화할 수 있습니다. 사례을 참조하십시오.

감지 설정

아직 감지가 없는 경우, 장치가 Sophos 데이터 레이크에 데이터를 업로드하여 사용할 수 있도록 해야 합니다.

Sophos 제품 및 타사 제품에서 데이터를 업로드할 수 있습니다.

Sophos 제품에서 업로드하는 경우 데이터 레이크 업로드를 참조하십시오. 타사 제품에서 업로드하는 경우 통합를 참조하십시오.

감지 내용 보기

감지 내용을 보려면 위협 분석 센터 > 감지로 이동합니다.

감지 페이지에는 감지 데이터가 막대 차트 및 목록으로 표시됩니다.

감지 페이지.

요약 보기

막대 차트에는 타임라인의 최근 검색 요약이 표시됩니다. 기본적으로 이전 24시간 동안의 감지 내용이 표시됩니다.

감지 막대 차트.

시간 범위 슬라이더 사용

슬라이더를 사용하여 더 짧은 시간 범위를 확대하거나 축소할 수 있습니다. 슬라이더의 한쪽 끝에 있는 핸들을 클릭하고 끌기만 하면 됩니다.

감지 목록 위의 메뉴를 사용하여 다른 시간 범위 또는 사용자 지정 범위를 설정할 수도 있습니다.

감지 막대 차트 슬라이더.

마우스를 올려 통계 보기

감지 수의 분석도 확인할 수 있습니다. 차트의 막대로 이동하여 커서를 한 대역(예: 높은 심각도) 위에 놓고 마우스를 이동하여 해당 심각도의 탐지 수를 확인합니다.

사용자가 막대 차트 위로 마우스를 가져가면 감지 수가 표시됩니다.

참고

막대 차트에서 대역을 클릭하여 감지 목록에 해당 심각도의 감지만 표시할 수도 있습니다.

감지 목록 보기

감지 목록에는 모든 감지가 다음 세부 정보와 함께 표시됩니다.

  • 심각도. 감지가 나타내는 위험 수준.
  • 유형. 감지 유형. 현재 표시된 유형은 "위협" 또는 "취약점"입니다.
  • 감지 감지 이름.
  • 시간. 감지 시간.
  • 엔터티 장치. 나중에 이 열을 사용하여 IP 주소 또는 사용자를 표시합니다.
  • 범주. 소스 유형. 엔드포인트, 네트워크, 방화벽, 이메일, 클라우드, 또는 ID 공급자.
  • 소스. 감지 소스. 소스는 Sophos 또는 타사 소프트웨어일 수 있습니다.
  • MITRE ATT&CK. 해당하는 MITRE ATT&CK 전술과 기법.

감지 표.

시간 범위 변경

감지 목록과 막대 차트에 표시되는 감지의 시간 범위를 변경할 수 있습니다.

목록 위의 드롭다운 메뉴에서 일반적으로 사용되는 시간 범위 중 하나를 선택하거나 절대 날짜 범위를 클릭하고 사용자 지정 범위를 설정합니다.

시간 범위 메뉴.

그룹 감지

일치하는 규칙에 따라 감지를 그룹화할 수 있습니다.

  1. 그룹별 드롭다운 메뉴에서 감지 ID를 선택합니다.

    ID별 그룹화 메뉴 옵션.

  2. 동일한 이벤트의 감지가 그룹화되어 목록의 단일 행에 표시됩니다.

    표에서 ID별로 그룹화된 감지.

필터 감지

심각도, 위협 유형, 사용된 MITRE ATT&CK 전술 및 기타 특성에 따라 감지를 필터링할 수 있습니다.

  1. 검색 목록에서 필터 표시를 클릭합니다.

    "필터 표시" 버튼이 있는 감지 목록.

  2. 필터로 사용할 수 있는 특성을 표시하려면 원하는 필터 범주를 클릭합니다. 예를 들어 유형을 클릭하고 위협 또는 취약점을 선택합니다.

    필터 목록입니다.

  3. 더 많은 범주를 클릭하고 원하는 필터를 선택합니다.

  4. 적용을 클릭합니다.

사용자 이름 또는 장치 이름과 같은 일부 범주의 경우 필터링에 사용할 용어를 직접 입력합니다.

MITRE ATT&CK 전술과 같이 선택할 수 있는 특성이 많은 범주의 경우 모두 선택을 클릭합니다.

모든 필터를 해제하려면 기본값으로 다시 설정을 클릭합니다.

그룹화된 검색뿐 아니라 그룹화되지 않은 검색에도 필터를 적용할 수 있습니다.

감지 정렬

감지 목록을 정렬할 수 있습니다.

열 머리글 옆에 있는 정렬 화살표를 클릭하여 알파벳, 숫자 또는 날짜 순서나 심각도 열의 우선순위를 기준으로 오름차순 또는 내림차순으로 목록을 정렬합니다.

감지가 심각도별로 정렬되었습니다.

그룹화된 검색뿐 아니라 그룹화되지 않은 검색에도 정렬을 적용할 수 있습니다.

감지 열기 및 공유

  1. 표에서 감지 이름 옆에 있는 세 개의 점 을 클릭합니다 줄임표 아이콘 스크린샷..

  2. 감지 세부 정보를 열려면 새 탭에서 열기를 클릭하고 동료와 세부 정보를 공유하려면 링크 복사를 클릭합니다.

    열기 및 복사 옵션이 있는 감지 메뉴.

감지 세부 정보 보기

관련된 장치, 사용자, 프로세스 등 감지에 대한 세부 정보 전체를 보려면 표에서 해당 행의 아무 곳이나 클릭합니다.

화면 오른쪽에 새 창이 나타납니다.

감지 세부 정보 슬라이드 아웃.

이 세부 정보 창에서는 감지 내용을 빠르게 검토하고, 새 탭에서 여러 감지 항목을 열고, 피벗 쿼리를 사용하고, MITRE ATT&CK 세부 정보를 가져오고, 유사한 감지 내용을 찾을 수 있습니다.

세부 정보의 기반이 되는 전체 데이터를 보려면 원시 데이터 탭을 클릭합니다.

감지 결과 빠르게 검토하기

여러 감지 항목의 세부 정보를 검토하기 위해 보기를 전환할 필요가 없습니다.

기본 표에서 감지 항목을 클릭하여 슬라이드 아웃을 엽니다. 그런 다음 표에서 다른 감지를 클릭합니다. 슬라이드 아웃 세부 정보는 해당 감지의 세부 정보를 표시하도록 자동으로 변경됩니다.

여러 감지 열기

새 탭에서 여러 감지 항목을 열어서 쉽게 비교할 수 있습니다.

감지 세부 정보 슬라이드 아웃에서 확장 버튼을 클릭하여 새 탭에서 감지 세부 정보를 엽니다.

새 탭에서 감지를 열기 위한 확장 버튼.

피벗 쿼리, 보강 및 조치 사용

피벗 쿼리를 사용하여 감지에 대한 자세한 내용을 확인할 수 있습니다.

피벗 쿼리를 사용하면 감지에서 중요한 데이터를 선택하여 추가 조사를 위한 기준으로 사용할 수 있습니다.

감지 세부 정보 슬라이드 아웃에서 일부 항목 옆에 세 개의 점이 표시됩니다. 줄임표 아이콘 스크린샷.

아이콘을 클릭하면 수행 가능한 작업을 볼 수 있습니다. 이는 데이터 유형에 따라 달라집니다.

  • 쿼리. 선택한 데이터를 기반으로 쿼리를 실행할 수 있습니다. Live Discover 쿼리는 장치가 온라인 상태일 때 장치의 데이터를 확인합니다. 데이터 레이크 쿼리는 장치가 Sophos 데이터 레이크에 업로드하는 데이터를 확인합니다.
  • 보강. 이러한 위협 인텔리전스의 다양한 소스(예: VirusTotal)를 열어 잠재적 위협을 조사할 수 있습니다. 또한 사용할 수 있는 경우 SophosLabs Intelix 보고서도 열 수 있습니다. Intelix 보고서을 참조하십시오.
  • 작업. 추가 감지 또는 수정 기능을 제공합니다. 예를 들어, 장치를 스캔하거나, Sophos Live Response를 시작하여 장치에 액세스하고 장치를 조사할 수 있습니다.

표시된 예에서 Sophos 프로세스 ID 옆에 있는 아이콘을 클릭하면 해당 ID를 기반으로 쿼리를 실행할 수 있습니다.

감지 피벗 메뉴.

MITRE ATT&CK 세부 정보 확인하기

많은 감지에서 감지 세부 정보 창에 MITRE ATT&CK 전술이 표시됩니다.

전술 옆에 있는 펼치기 화살표를 클릭하여 기법을 확인합니다.

MITRE 웹 사이트의 세부 정보로 이동하려면 예를 들어 아래 스크린샷의 TA0002 Execution처럼 전술이나 기법 옆에 있는 링크를 클릭합니다.

감지 MITRE 세부 정보.

유사한 감지 찾기

감지 세부 정보 슬라이드 아웃에서 유사한 감지를 클릭합니다. 그러면 유사한 감지가 기본 표에 표시됩니다.

사례에 감지 추가

사례는 감지에서 보고된 의심스러운 이벤트를 그룹화하고, 이에 대한 포렌식 작업을 수행하는 데 도움이 됩니다. 사례을 참조하십시오.

감지 페이지에서 기존 사례에 감지를 추가하거나 새 사례를 만들 수 있습니다.

사례에 추가

  1. 감지 목록에서 추가할 감지를 선택합니다.

    감지가 선택된 감지 페이지.

  2. 작업 > 사례에 추가를 클릭합니다.

    작업 메뉴.

  3. 원하는 사례를 클릭하고 사례에 추가를 클릭합니다.

    사례에 추가 대화 상자.

사례 이름은 해당 감지에 대한 사례 열과 세부 정보 창 하단에 표시됩니다.

감지는 사례 페이지의 사례 세부 정보에 포함됩니다.

사례 생성

새 사례를 만들고 감지를 추가하려면 다음과 같이 하십시오.

  1. 감지 목록에서 조사할 감지를 선택합니다.

    감지가 선택된 감지 페이지.

  2. 작업 > 사례 생성을 클릭합니다.

    작업 메뉴.

  3. 사례 생성에서 다음과 같이 하십시오.

    1. 사례 이름과 설명을 입력합니다.
    2. 심각도를 선택합니다.
    3. 상태(신규 또는 조사 중)를 선택합니다.
    4. 할당받은 사람을 선택합니다. 이 사람은 사례를 조사할 관리자입니다.
    5. 만들기를 클릭합니다.

    사례 생성 대화 상자.

사례 페이지에 사례가 추가됩니다.

사례 이름은 해당 감지에 대한 사례 열과 세부 정보 창 하단에도 표시됩니다.

잠재적 위협 찾기

감지를 사용하여 장치, 프로세스, 사용자 및 이벤트를 대상으로 다른 Sophos 기능이 차단하지 않은 잠재적인 위협의 징후가 있는지 검사할 수 있습니다. 예:

  • 귀하의 시스템을 검사하고 시스템에 계속 있으려 하거나, 보안을 회피 또는 자격 증명을 도용하려는 시도를 나타내는 비정상적인 명령입니다.
  • 공격자가 장치에 침투했을 수 있음을 나타내는 동적 셸코드 차단 이벤트와 같은 Sophos 맬웨어 경고입니다.
  • 공격자가 컨테이너 호스트로 이동하기 위해 컨테이너 액세스 권한을 에스컬레이션하고 있음을 나타내는 Linux 런타임 감지(예: 컨테이너 이스케이프)입니다.

대부분의 감지는 MITRE ATT & CK 프레임워크에 연결되어 있으며, 여기에서 특정 전술과 기법에 대한 자세한 정보를 확인할 수 있습니다. https://attack.mitre.org/ 참조.

또한 Sophos가 다른 곳에서 발견한 의심스럽거나 알려진 위협의 징후를 검색하거나, 오래된 소프트웨어 또는 안전하지 않은 브라우저를 검색할 수도 있습니다.

도움 얻기

Sophos 지원에서는 감지 내용을 조사하는 데 도움을 줄 수 없습니다.

MDR(Managed Detection and Response) 서비스를 구매하는 경우, 당사의 분석가가 사용자 환경에서 악의적인 활동을 모니터링하고 사용자에게 연락을 취하거나 사용자를 대신하여 연중무휴 24시간 응답합니다. Managed Detection and Response를 참조하십시오.

참고

보안이 침해되었다고 생각되고 즉각적인 도움이 필요한 경우 신속 대응 팀에 문의하십시오. 유료 서비스입니다. Sophos 신속 대응을 참조하십시오.