top of page
trendmicro
APEX
Endpoint detection&response(Edr)
EDR
제품소개자료
EDR이 필요한 이유? 탐지
•평판기술, 샌드박스 솔루션으로 확보한 위협 지표(IoC)의 활용 확장
-
EDR 대시보드, APT솔루션으로 위협지표(IoC)를 확인 및 탐지
-
위협지표가 활동 중인 엔드포인트를 찾아서 조치
-
그러나, 이미 이 악성코드가 드랍되었고 아직 조치되지 않고 있는 엔드포인트는? 최초 근원지는?
-
EDR은 비활동 상태로 잠재하고 있는 위협지표 엔드포인트를 추적하여 찾아낼 수 있습니다.
-
EDR이 필요한 이유? 분석
•위협 지표의 상관 관계 분석
-
특정 파일이 악성으로 판단되었다면 그 파일은 어떠한 경로로 다운로드 또는 복사되었는가?
-
이 파일이 최초의 숙주 파일이 맞는가? C&C로부터 다운로드된 것은 아닌가? 어떤 파일이 C&C에 최초 접속하게 되었는가…?
•위협 체인을 제시하여 위협지표의 유입 경로, 시도한 행동 내역, 해당 엔드포인트에서 변경한 내역 등을 포함한 감염근원 파악
EDR이 필요한 이유? 대응
•위험 엔드포인트에 대한 적절한 조치
-
탐지와 분석을 통해 찾아낸 엔드포인트에 백신이 설치되어 있지 않다면?
-
새로이 찾아낸 위협지표에 대해서 백신의 패턴과 평판 정보가 반영되어 있지 않다면?
-
이번에 찾아낸 엔드포인트 외에 다른 엔드포인트들도 동일한 위협 지표를 내포하고 있다면?
•위협 지표 악성코드 프로세스 강제종료, 위협지표 C&C로의 접속 차단
•내부 엔드포인트로의 확산(Lateral Movement) 방지
•동일한 위협지표를 내포한 다른 엔드포인트 검색 & 동일한 조치
bottom of page