보안 사고 검토
먼저, 진행 중인 모든 보안 사고를 상태, 심각도 및 기타 세부 정보와 함께 중앙에서 볼 수 있는 사고 관리 대시보드를 확인합니다.
주의가 필요한 사고가 표시되면 클릭하여 엽니다.
사고 세부 정보 자세히 살펴보기
사고 개요 페이지에서 추가 사실을 수집합니다.
![tick]()
심각도에 대한 사고 점수![tick]()
손상된 자산![tick]()
제기된 알림의 데이터 소스![tick]()
이미 수행된 자동 응답
심각도에 대한 사고 점수사고 세부 정보 자세히 살펴보기
이 사고 생성을 위해 Cortex XDR은 여러 소스의 이벤트를 연결하고 호스트, ID, 네트워크 트래픽 등의 연결을 설정하여 사고 컨텍스트를 확장함으로써 활동 기록을 풍부하게 만들었습니다.
수백 개의 머신 러닝 모델이 연결된 데이터 내에서 비정상적인 활동을 찾아 새로운 탐지 경고를 생성했습니다.
그런 다음 Cortex XDR은 관련 알림을 하나의 사고로 그룹화하여 공격에 대한 포괄적인 그림을 그리고 수동으로 검토해야 하는 알림 수를 98%까지 줄였습니다.
손상된 자산 파악
사고 내에서 클라우드에서 호스팅되는 Windows PC와 인터넷 연결 서버가 손상되었을 수 있음을 알게 됩니다.
MITRE ATT&CK® 프레임워크 확인
또한 사이버 위협과 공격 기술을 분류하고 설명하기 위한 표준화된 분류 체계를 제공하는 MITRE ATT&CK® 프레임워크에 매핑된 공격도 확인할 수 있습니다. 공격을 이 프레임워크에 자동으로 매핑함으로써 Cortex XDR은 모든 관련 활동에 대한 전체 보기를 제공합니다.
알림 및 인사이트를 통한 조사
중요 알림을 통해 Windows PC가 손상되었음을 확인할 수 있습니다.
목록 아래에서 클라우드 호스팅 서버에 중간 심각도 알림이 있음을 확인할 수 있습니다. 알림에서 무차별 대입 공격이 시도되었으나 실패했다는 사실을 알게 됩니다.
이제 손상된 Windows PC를 격리하여 공격이 더 이상 진행되지 않도록 막아야 합니다.
공격 궤도 차단
엔드포인트를 격리하면 멀웨어 및 기타 위협의 확산을 억제하는 데 도움이 됩니다.
손상된 엔드포인트를 네트워크에서 분리하면 위협이 다른 디바이스나 시스템으로 전파되는 것을 방지하여 사고의 범위와 영향을 제한할 수 있습니다.
멀웨어 검색 및 제거
이제 랜섬웨어 파일을 검색하고 제거할 차례입니다.
라이브 터미널을 사용하면 엔드포인트에서 원격으로 명령과 스크립트를 실행하여 영향을 받는 디바이스에 물리적으로 액세스할 필요 없이 신속하게 문제를 해결할 수 있습니다.
커튼을 걷어내기
그렇다면 이 공격이 엔드포인트 에이전트에 의해 차단되지 않은 이유는 무엇일까요?
이 데모의 목적을 위해 엔드포인트 정책을 보고만 하도록 설정하여 공격이 진행되도록 허용하는 동시에 진행 상황을 알리도록 했습니다. 또한 정책을 구성할 때 항상 모범 사례를 따라야 한다는 점을 상기시켜 줍니다.
이제 차단 정책을 설정하고 계속해 보겠습니다!
보안 격차 파악 및 규제 표준 준수 보장
With a good handle on this ransomware incident, you remember that a cloud asset was involved in a brute force attempt earlier on. With this in mind, you initiate work on some proactive security measures to enhance your cloud security.
The Cloud Compliance capabilities of Cortex XDR performs Center for Internet Security (CIS) benchmarking compliance checks on cloud resources. This helps to identify potential security gaps, mitigate risks, and avoid regulatory fines or penalties.
You notice that the compliance is only at 74%, which you decide is important to include in your final report.
단일 대시보드에서 취약성 평가
조사 중에 손상된 PC를 발견했으므로 취약성 평가를 사용하여 패치가 적용되지 않아 악용될 수 있는 잠재적 취약성을 확인합니다.
손상되었다고 표시한 PC에 랜섬웨어 공격에 기여한 몇 가지 취약점이 있는 것을 확인하여 패치를 시작하는 데 필요한 정보를 얻을 수 있습니다.
간결하고 쉬운 보고
이제 관리자를 위한 보고서를 간결한 형식으로 생성할 차례입니다. 미리 작성된 여러 템플릿 중에서 선택하거나 맞춤형 보고서를 만들 수 있습니다.
사고 관리, 클라우드 규정 준수 및 취약성 평가를 포함하여 조사에 대한 보고서를 생성합니다.
행을 클릭하여 보고서 생성
이제, 안심하세요!
축하합니다. 랜섬웨어 공격을 성공적으로 조사하고 해결했습니다. 조사 결과:
![tick]()
클라우드 자산에 대한 무차별 대입 공격 시도![tick]()
패치되지 않은 취약점이 있는 PC![tick]()
보고만 하도록 설정된 보안 정책으로 공격이 진행되도록 허용합니다.
다행히도 손상된 엔드포인트를 신속하게 격리하고, PC에 물리적으로 액세스하지 않고 랜섬웨어 파일을 제거했습니다.
전체 사고를 자세히 설명하는 보고서가 생성되었습니다. 이제 늦지 않게 안전해졌습니다.
낭비되는 시간이 적을수록 좋습니다
Cortex XDR을 사용하면 보안 분석가는 자신이 가장 잘하는 일에 집중할 수 있습니다. 보안 운영팀은 Cortex XDR을 활용하여 다음과 같은 작업을 수행할 수 있습니다.
![tick]()
엔드포인트 및 클라우드 워크로드에서 랜섬웨어와 같은 위협 방지![tick]()
평균 탐지 시간(MTTD)을 머신과 같은 속도로 가속화하기![tick]()
공격의 근본 원인에 대한 신속한 대응
Cortex XDR로 보안을 강화하세요.
알림 98% 감소
8배 빠른 조사
구성 변경 없이 100% 예방 및 탐지하는 MITRE Engenuity 2023