SIEM 솔루션 입장에서 악성코드 분석의 의미

SIEM 솔루션에서 보안 제품들의 로그를 사용해서 악성코드를 탐지할 수 있는 방법이 있을까?

악성코드를 분석하는 강좌를 보고 있는데, 이 작접 자체가 엄청난 리소스를 필요로 한다.

그래서 이 부분을 자동화하거나 작업을 최소할 수 있는 방법을 찾는게 중요하다.

악성코드가 유입되는 경로는 아래와 같다.

  1. 브라우저를 통한 다운로드
  2. USB를 통한 유입
  3. 별도 프로그램을 통한 다운로드(Slack같은 프로그램)

일단 위 경로의 파일들을 검사하는게 중요하다.

그리고 다운로드된 후 실행되는데, 이때 EDR 솔루션에서 탐지하는 로그를 가지고 분석할 수 있다.

엔드포인트단의 로그를 분석한다는 것은 이미 해당 시스템이 공격당했을 가능성이 있다.

SIEM에서는 해당 PC에서 다른 PC로 확산되지 않도록 조치할 수 있다.

 

이 부분은 Phantom을 사용해서 자동화 시킬 수도 있다.

예를 들면 다운로드 파일의 리소스 분석을 해서 파이썬 코드가 있는지 분석해서 관리자에게 알림을 보내는 방법이 있다.

이것을 좀더 세분화시킨 영상이 있어서 소개합니다.

 

  1. 랜섬웨어 파일 생성
  2. sysmon에서 로그 생성
  3. 유니버셜 포워더에서 로그를 스플렁크에 전송
  4. 스플렁크에서 1분에 10개 이상의 파일이 생성되면 팬텀에 전송
  5. 팬텀에서 해당 파일을 바이러스 토탈에 전송
  6. 바이러스 토탈의 결과로 후속 조치

위 6개의 단계로 랜섬웨어에 대응하는 것을 봤는데, 사실 SIEM 솔루션은 랜섬웨어 차단을 100% 할 수 있는 솔루션은 아니다.

대신에 확산되지 않도록 할 수 는 있다.

스플렁크를 사용하지 않고 ELK를 사용하는 회사라면 3번을 filebeat로 변경하고 4번을 elasticsearch로 변경하면 된다.

5번 팬텀은 커뮤니티 버전은 무료라서 그냥 써도 된다.