윈도 시스인터널을 사용한 미지의 멀웨어, 랜섬웨어 및 초기 손상징후의 탐지

미지의 멀웨어 및 랜섬웨어를 감지하는 SPLUNK 보안 사례

Cover

윈도환경에서고급멀웨어나위협요소를탐지하는데사용되는전통적방법은서명기반바이러스백신또는멀웨어제품을사용하는것입니다. 그러나접근법은다수에게어려울있습니다. 서명기반멀웨어방지솔루션은대부분알려진서명목록에의존합니다. 이러한문제는시그니처기반탐지로모든것을포착없어발생합니다.
모든엔드포인트에서시스인터널데이터를수집하는수반되는어려움은다수윈도시스템에서세부시스인터널이벤트를실시간으로수집있는윈도엔드포인트의조명에이전트를설치하는데있어적절한외부기술조정작업이필요하다는것입니다. 엔드포인트의이벤트로그형식으로윈도활동의세부사항을수집하면, 메시지볼륨을처리하고시스템활동을효과적으로검색하여예외를집어낼있는데이터플랫폼에저장해야합니다.
데이터를 "인질"취급하는특정유형의멀웨어인랜섬웨어는특히데이터를파괴하는특성으로인해업무에지장을초래합니다. 랜섬웨어위협은보안담당자를야간에도유지할필요가없습니다. 랜섬웨어의탐지는감염된네트워크상의손상된장치를제거하는긴요하지만조직이멀웨어공격에희생되는일이없도록예방을중심으로전체론적보안접근이필요합니다.
Splunk
전달자를사용하면사용자가실시간으로끝점에서윈도인프라의 Sysmon 데이터를수집있습니다. Splunk 소프트웨어는비정상분석과관련된이벤트를자동으로엔드포인트로전송합니다. 애널리스트가세부엔드포인트상의데이터위험을통계적으로분석하여, 양적으로평가호스트의행동을쉽게분석하고임계값을기준으로규칙을정의합니다. 이를통해보안분석가는분석기법으로해결가능한문제유스케이스를해결하기위해유사한기술을적용있습니다. 상황에따라위협과차이를구별하는분석방법을사용할경우, 고급위협을신속하게탐지하는보안작업을수행하여비즈니스운영에미치는영향을최소화할수있습니다. (*본문은영문으로제공됩니다

厂商:
Splunk
发布日期:
2019-4-4
出版日期:
2019-4-5
格式:
PDF
类型:
白皮书
语言:
中文
IT采购智库的会员? 登录

下载 白皮书!