fbpx

TXHunter 개요

엔드포인트 침해 조사를 자동으로 수행합니다.

TXHunter는 위협 사고 조사를 자동으로 수행하기 위해 사용하기 쉽고 편리한 도구를 제공합니다. 어떤 엔드포인트 시스템이나 서버가 공격을 당했다고 의심되면 TXHunter는 의심스러운 시스템의 스냅샷을 찍고 사건 조사를 자동으로 수행 할 수 있습니다. 조사 프로세스에서 의심스러운 파일이나 URL 링크를 식별 하면 행동 분석을 위해 자동으로 TXSandbox가 실행됩니다 .

TXHunter의 주요 이점 중 하나는 사전 공격 및 악성 프로그램 분석을 수행하는데 필요한 기술 수준을 줄이고 분석 프로세스를 가속화하며 핵심 방어를 우회 할 수 있는 고급 위협 요소를 식별하는데 도움이된다는 것입니다.

자동화된 분석

로그 분석 / DIY 도구보다 강력
안티 바이러스 솔루션보다 완벽
의심스러운 개체를 포함한 전체 시스템 분석

강력한

APT, 백도어 및 루트킷 탐지
비정상적인 네트워크 연결 감지
과거 비정상적인 활동 제거

이해하기 쉬운

법의학 전문가가 아닌 사용자를 위해 설계
주요 지표는 보고서 상단에 나열
세부 정보로 드릴 다운 할 수있는 기능

편리한 사용

포인트 앤 클릭 '위협 헌팅(Threat Hunting)'
EDR과 달리 영구 에이전트 필요 없음
SIEM / SOC 플랫폼과의 손쉬운 통합

TXHunter 작동 방식

icon-box-01
1단계

대상 시스템에 경량 에이전트 배포

icon-box-02
2단계

시스템에서 데이터 수집

icon-box-03
3단계

수집 된 데이터에 대한 분석을 실행하고 대상 시스템에서 의심스러운 추가 개체 요청

icon-box-04
4단계

보고서 생성

위협 헌팅(threat hunting) 프로그램의 주요 목표는 외부 위협에 대한 노출을 줄이고, 위협 대응의 속도와 정확도를 향상시켜 데이터 침해 사건의 심각성과 횟수를 줄이는 것입니다. 이 사이클은 일반적으로 (a) 준비(Preparation), (b) 식별(Identification), (c) 봉쇄(Containment), (d) 제거(Eradication), (e) 복구(Recovery) 및 (f) 학습(Lessons)의 6단계 프로세스입니다. 더 많은 툴을 구축하고 폭발적으로 증가하는 데이터 볼륨에 액세스할 수 있음에도 불구하고 사이버 보안 분석 및 운영이 점점 더 어려워지고 있으며 이러한 툴을 사용할 수 있을 만큼 훈련되고 경험이 풍부한 엔지니어의 수가 수요를 충족하기에 충분하지 않다는 것이 당면 과제입니다.

TriagingX에서는 자동화되고 이해하기 쉬운 심층 분석을 통해 헌팅 솔루션이 정보 보안팀의 인적 정보와 경험을 향상시켜야 한다고 생각합니다. 우리의 철학은 (알려진 IOC에 의존하지 않는) 초기 징후로부터 공격을 탐지하는 것입니다. 다른 연결된 시스템의 약점을 찾아 사용 및 적응하는 공격 방법을 학습합니다. 이렇게 함으로써, 우리는 공격자가 행동하기 전에 약점을 고칠 수 있습니다.

TXHunter는 매우 집중적인 위협 사건 조사를 원격으로 수행하는데 사용되는 새로운 세대의 기계 지원 헌터입니다. 조사할 엔드포인트는 TXHunter에게만 알리고, 데이터를 수집하기 위해 일회용 런타임 에이전트를 다운로드하고 분석을 대기하면 됩니다. 에이전트가 의심스러운 시스템의 스냅샷을 작성하여 자동으로 사건 조사를 수행합니다. 조사 프로세스에서 의심스러운 파일이나 URL 링크를 식별하면 동작 분석을 위한 기본 제공 샌드박스 기능이 자동으로 시작됩니다. 또한 타사 엔진 및 인텔리전스와 통합되어 감지된 개체에 대한 추가 컨텍스트를 제공합니다. 약 5분에서 10분 이내에 TXHunter는 엔드포인트가 감염되었는지 또는 해킹되었는지, 해당 작업의 심각도 수준 및 모든 지원 데이터를 정확하게 답변합니다.

TXHunter 특장점

내장 인텔리전스 및 자동 분석 기능 제공 

에이전트가 의심스러운 시스템의 스냅샷을 작성하여 자동으로 사건 조사를 수행합니다. 조사 프로세스에서 의심스러운 파일 또는 URL 링크를 식별하면 동작 분석을 위한 기본 제공 TXSandbox 기능이 자동으로 시작됩니다. 또한 타사 엔진 및 인텔리전스와 통합되어 감지된 개체에 대한 추가 컨텍스트를 제공합니다. 약 5-10분 후에 TXHunter는 엔드포인트가 감염되었는지 또는 해킹되었는지, 특정 공격의 심각도 수준 및 모든 지원 데이터에 대한 정확하고 명확한 답변을 제공합니다. TXHunter의 지능형 엔진은 위협 조사 중에 발견된 모든 새로운 발견을 통해 학습되며, 선택적으로 실행이 예정된 엔드포인트 시스템에 경량 패시브 에이전트로 배포될 수 있습니다.

IOC가 아닌 행동에 집중

공격자는 감염된 호스트당 고유한 코드(예: 고유한 IP 및/또는 고유한 파일 해시)를 사용하여 알려진 관찰자/IOC(Indicators of Compromise)의 탐지를 방지하는데 점점 더 현명해지고 있습니다. 따라서 오늘날 흔히 수집되는 정적 IOC의 상당수는 역사적이며 깨지기 쉽습니다. 대신 위협 사냥 도구는 공격자 기술 및 이상 징후, 즉 위협 행위자 전술, 기술 및 절차(TTP)에 초점을 맞춥니다. TXHunter는 정적 IOC가 아닌 시스템 동작을 수집하고 분석하는데 초점을 맞추고 있습니다.

증거 추출

TXHunter는 메모리 및 파일 분석 및 위협 평가 프로파일 개발을 통해 악의적인 활동의 징후를 검색할 수 있는 조사 기능을 제공합니다.

연결된 TXHunter 서버는 여러 TXSandbox 가상 시스템 인스턴스를 사용하여 트라이어리지 프로세스와 관련된 의심스러운 파일 및 URL에 대한 동작 분석을 수행합니다. TXHunter는 통합 분석을 위해 타사 보안 정보에 액세스할 수도 있습니다. 서버가 정찰 활동이나 단서를 탐지하면 의심스러운 행동을 억제하기 위해 SOC/인시던트 팀에 요약 보고서를 생성합니다.

EDR 솔루션보다 빠릅니다.

위반 가능성을 조사 중인 정보 보안팀은 시스템 위반 또는 데이터 노출의 증거를 수집하기 위해 네트워크 환경에 EDR 센서를 배포해야 하는 경우가 많습니다. 보호 방어를 우회했을 수 있는 사고를 탐지하고, 이러한 사고와 관련된 위험을 확인하고 우선 순위를 지정하며, 궁극적으로 이를 억제하거나 해결하는 것이 목표입니다. 이것은 넓은 그물을 던져 가능한 한 많은 물고기들을 수집하려 하지만 그들이 어디에 있는지 정확히 알지 못하는 것과 같습니다.

이와는 대조적으로, 사고 대응(IR) 팀은 TXHunter 솔루션을 활용하여 신속하게 일회용 클라이언트를 구축하여 중요한 프로덕션 윈도우즈 서버 또는 엔드포인트 시스템에 알 수 없고 의심스러운 파일이 있는지 신속하게 파악할 수 있습니다. 이를 통해 IR 팀은 조사 프로세스 초기에 위험 분석 및 교정 조치를 위한 사고의 범위와 심각도를 결정할 수 있습니다.

TXHunter 수집 대상

WHAT DOES TXHUNTER COLLECT?

TXHunter는 조사중인 시스템에서 자동으로 시스템, 프로세스, 네트워크, 자동 실행, 이벤트, 정책, 파일 및 커널 정보를 수집합니다. 이 데이터는 의심스러운 활동에 대해 분석되며 발견 된 모든 관련 파일 오브젝트는 완전한 동적 분석을 위해 서버에 업로드됩니다.

  • 시스템: 시스템 정보, 메모리 정보, 이름, CPU 모델 등

  • 프로세스: 프로세스의 프로세스 정보, 프로세스 ID 및 상위 ID, 프로세스 이름 및 명령줄 등 실행

  • 네트워크: 프로세스 및 열린 포트의 네트워크 연결 정보, 원격 연결 IP 주소, 로컬 바인딩 포트

  • 자동 실행: 시스템이 부팅될 때 자동으로 실행될 수 있는 시스템 시작 응용 프로그램 및 서비스

  • 이벤트: Windows 시스템 및 응용 프로그램 로그

  • 정책: 들어오고 나가는 네트워크 연결을 허용하는 윈도우즈 방화벽 규칙

  • 파일: 사용자가 이전에 열거나 실행한 파일

  • SysModule: 시스템에 설치된 Windows 드라이버

  • KernelInfo: IDT, GDT, SSDT, 섀도 SSDT, 숨겨진 프로세스 정보 등을 보고

TXHunter 설치 방식

TXHunter는 고객이 구성 할 수있는 외부 위협 정보 소스에 대한 쿼리만 사용하는 최대 데이터 보호 및 기밀성을 위해 유연한 사내 설치를 지원합니다. 개인 및 공공 클라우드 호스팅 옵션도 AWS와 같이 사용할 수 있습니다. 대규모 배포의 경우 상당한 비용을 절감 할 수있는 Microsoft Windows 라이선스가 필요하지 않습니다.

ON-PREMISE:

최대 데이터 보호 및 기밀성을 위해 사내 구축 형 서버 및 에이전트 배포
서버 – Bare-Metal, VMwareESXi, (KVM, 가상 박스).
에이전트 – Windows 7, 8, 10, 2008R2
유일한 외부 커뮤니케이션은 고객이 구성 할 수 있는 외부 위협 정보원에 대한 질의

IN THE CLOUD:

비공개 및 공개 클라우드 호스팅 옵션을 사용할 수 있습니다 (AWS).

INTERFACE:

RestAPI

REPORTS:

PDF, HTML

Request More Information

제품 상담, 소개자료, 데모 요청 등 TXHunter에 대한 문의사항을 남겨주세요.