01

개요

Genian Insights E는 단말에 대한 지속적인 모니터링 및 정보 수집을 통해 위협의 탐지 및 분석, 대응을 제공하는 단말 이상 행위 탐지 및 대응 (Endpoint Detection & Response) 솔루션입니다.

02

Genian Insights E v2.0

배경 및 필요성

진화된 EDR 솔루션의 필요성

4차 산업혁명과 사물인터넷의 발달로 보안 위협도 고도화, 다변화되고 있다. 이에 따라 시그니처 기반의 전통적인 보안 도구만으로는 알려지지 않은 신종 위협을 탐지하고 방어하는데 한계가 있습니다. 신종 악성코드, 랜섬웨어나 APT와 같은 보안 위협에 대응하기 위해서는 진화된 EDR(Endpoint Detection & Response) 솔루션이 필요합니다.

03

Genian Insights E v2.0

특장점

지니안 인사이츠 E는 국내에서 가장 먼저 개발되어 출시된 머신러닝 기반 EDR 솔루션으로, 엔드포인트를 대상으로 하는 보안 위협을 탐지하여 해당 악성파일에 대한 프로세스 중지, 격리, 사용자 및 관리자 알람, 네트워크 격리 등을 통하여 보안 위협에 대응합니다.

분석서버, PC에 설치되는 에이전트, 에이전트 관리서버로 구성되는 지니안 인사이츠 E는 머신러닝을 통해 악성파일과 정상파일의 특징을 학습하고 분석하여 위협이 의심되는 파일을 탐지한다. 또한 악성파일 IP 정보 DB를 활용하는 침해지표(IOC, Indicator Of Compromise) 기술을 기반으로 알려진 위협을 탐지할 수 있으며, 야라(YARA)룰 적용을 통해 관리자가 직접 생성한 패턴 매칭 탐지가 가능합니다. 또한 지니안 자체의 평판 시스템을 통한 에코시스템을 구축하여, 수집된 위협과 예외 처리된 데이터 정보를 고객사에 재배포합니다. 이러한 에코시스템을 활용하여 지니안 인사이츠 E 고객은 오탐율을 줄일 수 있고 위협 또는 파일 세부 정보를 식별하고자 할 때 해당 정보를 활용할 수 있습니다.

03

Genian Insights E v2.0

주요 기능

단말부하를 최소화한 수집 및 탐지

Agent 는 타 프로세스와의 충돌을 방지하기 위한 충돌 회피 기술이 적용되어 구성

분석

전체 위협에 대한 요약 정보를 보여주는 위협 모니터링 화면을 제공합니다.

탐지된 위협 이벤트 요약 정보와 상세 정보를 제공합니다.

기본정보를 통해 탐지된 파일의 위협 정보와 연관된 MITRE ATT&CK 링크를 제공합니다.

단말별 탐지 정보와 분석지표에 대한 정보를 제공합니다.

공격스토리 라인에서는 파일/프로세스의 실행 관계를 표시하며, 프로세스 제어, 파일 수집 등의 제어기능을 제공합니다.

분석 후 위협에 대한 안전/악성 판단 후 자동 대응을 할 수 있습니다.

다양한 조건(AND, OR, NOT, <, >, TO)검색을 통한 분석을 할 수 있습니다.

IP:172.29.20.0/24 AND FileName:abc.exe OR NOT FilePath:windows AND FileSize:>100000 AND Score:[50 TO 100]

최근 검색을 한 기록은 별도로 보관되어 다시 불러오기로 검색이 가능하며, 자주 쓰이는 검색 조건은 "즐겨찾기"로 등록 재 검색이 가능함
(ProcName:msiexec.exe AND !FilePath:(“C:\Windows\Installer” OR “C:\Windows\Temp” AND EventSubType:”FileCreate”)

수집한 로그를 통해 단말의 새로운 정보를 확인 할 수 있습니다. (Endpoint Discovery)
– 문서에 대한 업/다운로드, 아웃룩 메일 첨부문서 송/수신, 공유폴더를 통한 파일 유출, 공유폴더 현황(설정, 삭제), 윈도우 미 인증 PC, 메신저를 통한 문서 유입/유출, 외장 저장장치를 통한 문서 유입/유출 등

05

Genian Insights E v2.0

리포트

관리자가 직접 생성할 수 있는 다양한 리포트를 제공

06

Genian Insights E v2.0

기대효과

Genian Insights E v2.0 도입 효과

지니안 인사이츠 E는 전용 에이전트를 활용해 단말의 부하를 최소화하면서도 엔드포인트에 대한 악성행위를 분석하고 탐지할 수 있으며 나아가 악성행위에 대한 격리와 차단을 통한 대응 방안을 제공합니다. 엔드포인트에 침투한 파일이 언제, 어떻게 유입되어 실행되었으며 어떤 네트워크 통신과 어떤 행위를 했는지에 대한 정보를 바탕으로 이상 파일이나 이상 행위를 탐지하며 이를 통하여 엔드포인트에 대한 가시성을 확보할 수 있어 보안 위협이 발생할 경우 해당 위협에 대한 즉각적이고 적절한 대응이 가능합니다.

또한, 네트워크 상의 위협 의심 정보 연동을 통하여 네트워크에서 탐지된 이상 징후가 엔드포인트에서의 악성행위나 악성파일 생성으로 이어졌는지 여부를 분석할 수 있습니다. 위험이 탐지되었을 경우에는 네트워크 수준에서의 즉각적인 대응이 가능하며, 탐지된 위협 행위를 즉시 차단하거나 격리할 수 있는 것이 특징입니다. 이에 따라 보안 침해 사고 탐지에 걸리는 시간을 크게 단축시킬 수 있으며 자동화된 탐지, 완벽한 상황 인식 및 위협 행위에 대한 대응 방안을 종합적으로 제공할 수 있습니다.

제품문의