명령줄 인터페이스에서 NDR 감지 생성

테스트 감지를 생성하여 Sophos NDR이 올바르게 설정되고 작동하는지 확인할 수 있습니다.

이 테스트는 악성이 아닙니다. 공격의 전형적인 특징으로 이벤트를 시뮬레이션하여 감지를 트리거합니다. 이벤트는 클라이언트가 의심스러운 도메인 및 인증서 세부 정보가 있는 서버에서 파일을 다운로드하는 것입니다.

CLI(명령줄 인터페이스)에서 테스트를 실행할 수 있습니다.

요구 사항

네트워크 보안 테스트에서 NDR 테스트 파일을 다운로드합니다.

연결할 지역의 도메인 및 IP 주소에 대한 TCP 트래픽을 허용하도록 방화벽을 구성합니다.

현재 포트 미러링 설정에 네트워크 트래픽이 포함되었는지 확인합니다. 자세한 내용은 Sophos 통합 의 NDR 설정 페이지를 참조하십시오.

감지 생성

다음 예제에서는 Windows 명령 프롬프트를 사용하여 기본 옵션을 사용하여 검색을 생성하는 방법을 보여 줍니다.

1. 관리자 권한으로 명령 프롬프트를 엽니다.

2. 다음 명령을 입력합니다. NdrEicarClient.exe.

   

   참고

   기본 옵션을 사용하여 검색을 생성하면 클라이언트는 us-west-1 서버에 연결하여 파일 다운로드를 한 번 수행합니다.

   감지가 생성됩니다.

3. Sophos Central에서 위협 분석 센터 > 감지으로 이동합니다.

4. 감지 페이지의 목록에 NDR-DET-TEST-IDS-SCORE 이름이 지정된 최근 고위험 감지가 표시됩니다.

   

5. 세부 정보를 열려면 NDR-DET-TEST-IDS-SCORE를 클릭합니다.

   설명에서 포트 2222의 TCP 및 TLS를 통해 통신하는 소스 및 대상 IP를 보여 줍니다. 또한 감지의 주요 원인으로 IDS(Intrusion Detection System)를 표시합니다. IDS는 차단된 인증서 목록입니다.

   

6. 원시 데이터 탭을 클릭합니다. flow_risk 섹션에는 다음과 같은 세부 정보가 표시됩니다.

   • 비표준 포트의 알려진 프로토콜
   • 자체 서명 인증서
   • 일반적이지 않은 응용 프로그램 계층 프로토콜 협상(ALPN)
   • 차단 목록에 추가된 인증서
   • 알고리즘에 의해 서버 도메인이 생성될 가능성이 높음(DGA)
   • Friendly Chameleon군에 속하는 위협의 징후.

   

Eicar 테스트 명령줄 옵션

NdrEicarClient.exe 명령 뒤에 명령줄 옵션을 입력합니다.

다음은 몇 가지 명령줄 옵션입니다.

• 를 입력하여 --help 사용 가능한 옵션을 표시합니다.
• --region 연결하려는 지역 이름을 차례로 입력합니다.

• --extra 감지 주위에 트래픽을 생성하려면 입력합니다.

  

  테스트 파일에는 트래픽을 생성하는 웹 크롤링 기능이 포함되어 있습니다. 기본적으로 웹 크롤러는 news.sophos.com 웹 사이트로 시작하여 *.sophos.com 거기에서 연결할 수 있는 모든 웹 페이지를 분석합니다. 방화벽 또는 웹 프록시에서 이를 허용하지 않는 경우 시작할 다른 웹 사이트를 지정할 수 있습니다. 웹 크롤러의 기본 실행 시간은 EICAR 트래픽 전 1분, 이후 30초입니다. --runtime CLI 옵션을 사용하여 이를 변경할 수 있습니다. 초단위로 제공하는 시간은 EICAR 트래픽 전에 실행되고 그 이후에는 절반 동안 실행됩니다.

  참고

  웹 페이지 사이에 일시 중지가 포함되었으므로 이 도구는 웹 사이트의 DoS(Denial-of-Service) 공격에 사용할 수 없습니다.

어플라이언스 관리자를 통해 NDR 검색을 생성하는 방법에 대한 자세한 내용은 검색 생성(NDR)을 참조하십시오.