Jyan blog

안녕하세요? 방문객 여러분

오늘은 또 오랜만에 솔루션 리뷰 글을 적어봅니다..

이 포스팅은 지극히 주관적이기 때문에 비즈니스 목적으로 보시는 분께서는 참고하여 주시길 바랍니다.

[네트워크 보안 관점에서의 AI 필요성]

 요즘엔 하루 이틀만에 쌓이는 데이터 수준이 '문명 탄생 이후 2000년대 초반까지 쌓인 디지털 데이터 양과 비슷하다' 고 할 정도로 많은 량의 데이터가 쌓이고 있습니다. 이 중 대부분의 데이터는 네트워크를 타고 움직이며 활동하고 이리 저리 복사되고 움직이는데, 그렇다면 기업의 네트워크 데이터는 어떨까요?

 전체 데이터 수준에는 비할 바가 못되지만, 사람이 전수 조사가 불가능할 만큼 많습니다.

 기업의 네트워크 트래픽에서 발생하는, 다양한 사용자의 행위들은 네트워크 보안 관점에서 어떤 방식으로 보안이 되고 있었을까요? 종사자라면 이미 아시는 바와 같이 전통적으로는 하드웨어 기반 시스템들을 주축으로, 또는 최근 트렌드인 소프트웨어 기반(Software-Defined Perimeter) 시스템들을 활용해 일종의 경계 관문 보안을 하는 것이 중요했습니다. 물론 엔드포인트, PC 및 서버 단에서 에이전트를 통한 보안 역시도 한몫을 차지하고 있었습니다. (엔드포인트 영역은 여기에서는 상세 내용을 생략하겠습니다... 추후에는 엔드포인트 영역에서 네트워크까지 다 볼수도 있을지 모르겠지만요)

 다만, 기존 구성에서는 시그니처/패턴 기반으로 동작하는 시스템이 대부분을 차지했고, 또 내부에서 내부간 네트워크 흐름 역시 파악하기가 매우 어려웠습니다. 물론 일부 최근에는 AI가 트렌드이기 때문에 각 제품들의 일부 기능으로써 AI 기능이 올라오기도 하고 있습니다. 그러나, 제대로된 AI 개발 인력 양성 기관조차 세계적으로 부족하다고 하는 지금.. 제대로, 쓸만하게, 과탐/오탐이 최소화 된 상태로 동작하는 제품이 과연 몇개나 될까요...?

 기존처럼 사람을 통한 네트워크 전수 검사 관제를 구성하려면 전문인력을 뽑는 어려움은 물론이거니와 3교대 24시간 몇명이나 돌려야 할까요, 사람이 많다고 그 많은 기업 네트워크를 모두 볼 수 있을까요? 현실적으로 사람을 통해 네트워크 이벤트를 전수 검사 한다는 것은 불가능합니다.. 만약 CISO 님께서 그 빈틈을 아신다면 발뻗고 주무실수 있을까요? 

 겉으로는 모든 네트워크 내의 단말이 아주 많은 보안 시스템에 의해 철저히 보안 받고 있는 것처럼 느껴지지만, 실상은 그렇지 않은 경우가 많고, 슬프게도 보안담당자는 빈틈이 없는지 계속 관리하고 치명적인 단 한건의 사례를 찾기 위해 모니터링 해야할 의무가 있습니다.. 그런데 사람은 다 볼수가 없습니다.

 업계에서는 시기상, 알파고 이후로 국내 보안시장에서도 AI 제품에 대한 관심이 쏟아지고 있습니다.

관심의 내용을 몇가지 정리하면 아래와 같겠습니다..

1. "AI를 통해 우리 기업의 네트워크 패턴을 학습하고, 학습한 데이터를 기반으로 이상행위를 잘 찾아준다면..
    그것은 전문 인력이 24시간 관제를 하는 것보다 더 효과가 있지 않을까?"
2. "AI 네트워크 보안 제품을 쓰면, 다 자동으로 찾아 주는거야? 어느정도 수준까지 얼마나 잘 찾는지 한번 보자"
3. "그러면 사람이 필요 없어지는거야?" 등등...

대부분의 주 관심사는, AI를 통해 사람을 대체할 수 있느냐 라는 것입니다.

결론은, 사람은 필요합니다. 

 기본적으로 AI기반 네트워크 이상행위 탐지 제품은 행위 주체, 통신 목적지 등에 대한 Knowledge 를 가지고 있지 않습니다. 쉬운 예제로 말하면 아래와 가깝습니다.(제품에 따라 아닐수도 있습니다)

AI기반 네트워크 이상행위 탐지 제품 왈:

"내가 학습하기로는 A 장치와, A 장치가 속한 유사 군집 장치들은 이러한 행위를 평소 하지 않았는데, A 장치가 갑자기 평소에 접속 안했던, 희귀도 높은 외부 목적지랑 주기적인 통신을 마구마구 해! 내 기준에선 이거 심각해! 한번 꼭 봐바! 그 목적지가 뭔지는 난 모르니깐!, 다만 네가 확인 하기 편하도록 IP나 위치정보, 프로토콜 등 정보는 잘 보이도록 제공해줄게!"

 학습 데이터와 탐지 모델들을 기반하여 이상 행위를 탐지하는 것이 제품의 몫이고, 해당하는 목적지, 출발지 등에 대한 리뷰와 조치는 사람의 몫이 되는겁니다.

자 그럼.. 조금 더 볼까요?

[보안 영역]

가트너에서 Darktrace는 크게 두가지 정도의 분야로 정의됩니다.

•  NDR - Network Detection & Response
•  NTA - Network Traffic Analysis

[Darktrace 제조사 ?]

 수학에 강하다는 영국 캠브릿지 대학 출신들이 주요 개발자로 참여하고 있으며, 글로벌하게 보안 분석가만 100명 이상 보유하고 있는 떠오르는 네트워크 보안 분야의 AI 선도 기업입니다. Korea 지사가 있고 매우 활발히 활동하고 있습니다.

[Darktrace 동작 Flow]

1. 내부와 내부, 내부와 외부 트래픽이 흐르는 백본 스위치 또는 네트워크 탭, 방화벽 등의 네트워크 장비에서 복사된 트래픽을 다크트레이스에서 받아 수집합니다.
2. 수집된 패킷 데이터를 350+ 개 이상의 디멘션으로 구분하여 네트워크 패턴을 학습합니다. (디멘션은 머신러닝 학습에서 나오는 일종의 학습을 위한 메타가 되는 개념입니다.
3. 학습된 네트워크 패턴을 통해 장치와 네트워크를 자동으로 인지하고 구분합니다. (내부/외부 네트워크 식별, 장치 OS, DHCP IP 추적, 호스트네임, 맥어드레스 등..)
4. 학습된 네트워크 패턴에 대해 약 500여가지 질의 모델을 가지고 질의하여 모델링에 의거한 이상한 행동들을 Alert 으로 생성해 제공합니다.

#AI, 지도학습, 비지도학습 Machine-learning

#Network Traffic 수집(Mirroring Traffic) 및 분석

#실시간 탐지 Alert

#평시 행위 대비 네트워크 이상행위 감지

#탐지 모델 범위 유사 제품군 중 제일 넓음

#국내 및 국외 최다 납품(글작성시간기준)

#정상 및 비정상 메타데이터(L7 수준까지) 저장하여 검색환경까지 제공

#API, Syslog(CEF/JSON/LEEF 등) 연동 제공

[현재 관제 분야에서 NDR/NTA 영역 제품에 대한 고민..]

1. SOC 관제센터를 통한 내부 네트워크 관제 필요성 증대

* SOC 란 ? 

Security Operations Center의 약자로 이미 국내 주요 엔터프라이즈 대기업들은 구축 및 안정화가 다수 진행된 상태로 조직 네트워크 및 단말에 대한 포괄적 관제 환경을 구축하는 것을 의미합니다.

(1) SIEM/UEBA 

 - 의미 및 강점: 이기종 다양한 운영중인 보안 시스템의 보안 로그 연동을 목적으로 하는 통합 관제 플랫폼, 하나의 환경에서 모든 보안로그를 수집하고, 이를 통해 관제하고자 하는 제품군입니다.

 - 보완필요사항: 기존 운영중인 보안솔루션이 탐지하는 수준 + 상관관계 룰에 의한 탐지 한계성을 지닙니다, 운영 시나리오에 대한 보안운영자의 많은 고민과 지속적인 관심이 필요합니다.

(2) NDR(Network Detection and Response)

 - 의미 및 강점 : 내부<->내부간, 내부<->외부 간을 비롯한 조직 네트워크에서 발생하는 트래픽을 수집/분석해 이상행위를 찾아내는 솔루션 영역입니다.

 - 보완필요사항 : 기존의 전통적인 관문형(방화벽/IDS/IPS/SWG)은 내부<->외부간 구간의 알려진(Known) 악성 이벤트만 탐지 가능하거나 로그를 상세하게 저장하지 않음(사고 대응 어려움), 네트워크 트래픽만 수집하게 될 경우 그 분량이 매우 방대하며 사람이 전수 조사 할 수 없음=> AI(인공지능)을 통한 분석 기능의 필수화

 - Darktrace 필요성? : 내부<->내부간, 내부<->외부간 조직 네트워크를 학습(Machine-Learning)하고 학습된 데이터 기반 이상행위 발생시 보안운영자에게 제공하는 컨셉을 가진 제품으로,
 수많은 네트워크 빅 트래픽을 사람이 이해할 필요 없으며, 확인 해야 할 포인트를 제공하기 때문에 어디서부터 분석을 시작해야 할지 사람이 고민 할 필요가 없습니다, 또한 네트워크 트래픽 메타데이터를 상세하게 저장하기 때문에 

각종 네트워크 보안 사고 시 실시간에 가까운 빠른 탐지(Detection) 및 회귀적(Historical) 분석을 통해 사고 대응 증적 자료 확보(Response)가 용이합니다, 

SIEM 과의 연동 시 SIEM 에서 발생한 보안사고에 대한 상세한 데이터를 확보 할 수 있습니다.(다른 보안 제품은 탐지하고 관련 필수데이터만 남기고 분석이 충분한 수준의 상세한 데이터를 저장하지 않습니다)

2016년도부터 가트너에서는 이 영역을 NTA(Network Traffic Analysis)로 규정하고 있습니다. 

보기에는 도입 이후 마치 업무가 늘어나는 것처럼 보이지만, 결국 관심을 기울이지 않는다면, 인지하지 못하는 내부 악성 이벤트들을 방치하는 것이 됩니다. 

작은 사고 하나를 찾기 위해서 수많은 보안 솔루션이 도입되지만 그럼에도 불구하고 놓치는 것이 발생하는 것이 현실입니다.

결국 중요한 것은 보안담당자가 관심을 가지고 시스템을 잘 활용하여 위와 같은 SOC 모델을 참고하여 놓치는 부분없이 잘 관리해야 합니다.

(3) EDR(Endpoint Detection and Response)

 - 의미 및 강점: 에이전트 설치 등을 기반으로 장치 수준에서 일어나는 File/memory/Directory/Registry 등 엔드포인트 영역의 이벤트에 대한 위협요소에 대한 것을 탐지하고 수집하기 위한 영역입니다. SIEM/NDR 등을 통해 발견된 악성코드 등을 원격에서 격리하거나 조치하고 증적 자료를 얻어 낼 수 있는 강점을 지니고 있습니다.

 - 보완필요사항 : 내부 단말이 많을 경우 배포 및 형상관리의 어려움, 1:N 형태로 관리가 이루어지기 때문에 문제가 많은 제품 사용시 많은 인력 리소스가 필요함, 국내에서도 EDR 에 대한 많은 관심이 쏟아지고 있습니다. 국내에서는 최근부터 엔터프라이즈 대기업 및 금융 시장을 대상으로 기능성/안정성 이 좋은 외산 벤더의 제품이 주력이 되어 시장을 선도하고 있습니다.

[국내 주요 레퍼런스]

1. OOO 카드사

 - 배경 및 도입필요성

 (1) 기존 솔루션에서 탐지하지 못하는 Unknown 악성행위에 대한 AI 탐지 기대

 (2) 너무 많은 이벤트 로그로 인해 분석 인력이 과도하게 필요한 솔루션이 아닌, AI 기술기반 지능형 이벤트 탐지를 통해 적은 인력으로 운용 가능한 솔루션 기대

 (3) IP를 가진 모든 내부 장치에 대한 학습 및 비정상 행위 탐지, 장치의 라이플 사이클 파악

 (4) 보안 이벤트 시각화를 통한 직관적 관리/대응

 (5) 내부<->내부 네트워크에 대한 네트워크 트래픽 가시성 확보(기존에는 볼 수 있는 수단이 없었음)

 - 구축 범위

 * 내부 구간 및 SSL VPN 적용 구간

 - 데모 수준

 - OOO Subnet(실망)

 - 만대 이상의 Devices

 - 데모 시나리오 및 결과

 * 고객이 그들의 데이터로 자체 수행한 내역

 - 공격 정보를 알려주지 않은 상태에서, 고객이 자체적으로 고객사 테스트용 웹서버를 대상으로 OWASP Top 10 과 관련한 아래의 웹 공격을 총 'OOOO' 건 수행

 (1) Python 스크립트 사용

 (2) 불법 채굴 프로그램 User-Agent 트래픽 발생 

 (3) SQL Injection 패턴 접속 시도

 (4) 네트워크 포트 스캐닝 공격 

 * 실망에서 발견된 이벤트

 (1) 망 내에 없었던 새로이 발견된 장치에서 내부 자산으로 네트워크 스캔 공격 : 해당 장치의 망 내 출현 시간 및 공격 사항을 보고하고, 지속활동 여부를 보고함 

 (2) 비정상적인 과도한 AD 로그인 시도 단말 탐지

 (3) 비 암호화 되어 계정정보가 노출된 웹서비스 사용 탐지 : 기존에 인지하지 못했던 비암호화 평문 사이트 취약점을 발견하여 보고함

 (4) 취약한 버전의 SMB(파일공유서비스) 사용 탐지 : MS 에서 비사용을 권고하는 매우 취약한 버전의 서비스 사용

 - 정리

 (1) 고객은 다크트레이스가 네트워크 보안 영역의 제품임을 이해하고, 그들이 보유한 공격 데이터 중 네트워크 관련 공격 패턴을 선별하여 실제 테스트 단말 및 서버를 지정하여 공격을 수행하였습니다.

다만, 네트워크 관련 공격 패턴 전체를 사용하지 않고 웹공격 한정으로 수행하였습니다. 데모 진행 엔지니어는 공격을 탐지하고 탐지 근거 및 분석 하는 과정을 보고서로 담아 제출하였고, 고객은 탐지 성공 내역, 분석 과정, 제공 데이터의 수준으로 도입을 결정 하였습니다.

 (2) 실망에서 발견된 이벤트들은 실제로 OOO카드사가 이미 알고 있던 사항과, 모르고 있던 사항으로 나뉘어져 탐지되었으며, 모르고 있던 사항에 대해서 흥미로워 했으며, 도입 이후 '이런 이벤트 탐지를 위해 도입했다' 라고 피드백 주었습니다.

2. ㅁㅁㅁ 카드사

- 배경 및 도입필요성]

 (1) 업무 시간 내 내부 직원들 PC에서 이루어지는 비 업무 행위탐지 필요

 (2) POV 기간 중 출장 복귀한 내부 직원의 PC 감염으로 인한 비정상적인 통신 행위 탐지 (수상한 도메인)
 (3) 업무상 인가 되지 않은 행위에 대한 탐지 필요  
 (4) 기존 Signature와 정책 기반의 솔루션의 단점 보완을 위한 행위기반 솔루션 필요성 대두

- 구축 범위

 * 내부 구간 및 SSL VPN 적용 구간

- 데모 범위

 * 내부망

- 데모 테스트 시나리오 및 결과

* 고객이 그들의 데이터로 자체 수행한 내역

 - 취약점 스캐닝 도구를 통한 취약점 공격 및 탐지 여부 (OWASP Top 10)

* 실망에서 발견된 이벤트

 - 보안 규정 위반 의심 및 감염 사례 

[정리]

(1) ㅁㅁㅁ 카드사는 내부<->내부 간 트래픽 흐름 가시성 확보 및 비정상트래픽 발견이 주 목적인 프로젝트로 AI 기반 NTA(Network Traffic Analysis) 제품들을 대상으로 BMT를 실시하였으며, 

시인성 높고, 근거 제공 능력, 회귀적 분석 능력, AI를 통한 비정상 이벤트 표현, 공격 탐지 성능 평가의 관점에서 Darktrace 를 No.1 으로 결정하고 도입함

3. OOO 은행

- 배경 및 도입필요성

 * 기존 솔루션에서 탐지하지 못하는 Unknown 악성행위에 대한 AI 탐지 기대(보안 영역 보완)

- 구축 범위

 * 내부 및 인터넷 망

- 데모 범위

 * 내부 실망

- 데모 테스트 시나리오 및 결과

* 고객이 그들의 데이터로 자체 수행한 내역

 (1) 취약점 스캐닝

 (2) Exploit 

 (3) SMTP

* 실망에서 발견된 이벤트

 - 비정상 악성행위 의심 단말 탐지

[정리]

 - 기존 솔루션에서 탐지하지 못했던 보안 규정 위반 항목 및 기존 솔루션 차단 정책 우회 단말(비정상행위) 탐지 목적으로 구매하고 성공적인 운영중

•  공격 데이터 

 고객들은 그들이 보유한 공격 데이터 중 활용 가능하고 고객이 검증하고자 하는 영역에 대해 공격테스트를 수행하였으나, 파일 등 실물데이터에 대한 행위분석 등을 수행하는 샌드박스와는 다르게, 네트워크 보안 제품의 관점에서 공격 데이터의 유형이 네트워크 보안 영역으로 한정되었습니다. Darktrace EIS 는 네트워크 보안의 관점에서 유입/내부전파/유출/컴플라이언스의 측면에 대한 강점을 가지고 있습니다.

• 고객 도입 포인트

 레퍼런스 고객들은 이미 탐지가 가능한 공격들을 AI로 탐지하여 인력을 감축할 수 있냐의 관점보다는,

(1) 기존 시그니처/패턴 기반 솔루션으로 탐지하지 못하는 공격들을 AI를 통해서, 사람보다 정교하고 효과적으로 찾아낼 수 있는가? 

(2) 기존 가시성이 없던 영역에 대해 해당 솔루션은 얼마나 시인성(Visualization) 있게 데이터를 제공하는가?

의 관점으로 경쟁 제품들을 모아 BMT 를 진행 하였고, 검증 된 결과로 탐지역량 및 기능 우수로 다크트레이스를 선정 및 도입하였습니다.

• 데모 시나리오

  (1) 테스트망 또는 실망 장비 설치(트래픽이 없는 구간에 BMT 진행 불가)

  (2) 자동 학습 및 이벤트 탐지  

  (3) 탐지 결과 검토

• Darktrace 도입을 통한 인력 감축이란?     

 AI 제품 도입 시, 추가적으로 보지 못하던 데이터를 분석하기 때문에 추가 분석 인력이 필요할 수 밖에 없습니다. 

다만 이미 아시는바와같이 본 솔루션의 기본 가치는, 기존 보안 구성으로 잡지 못하는 Unknown 미탐 공격을 잡기 위한 것이 주 목적으로, 

수많은 로그를 각 역량이 다른 다수의 사람이 분석하여 Unkown Attack을 찾아내는 것보다, 기계 학습(AI)를 통해 선제적으로 지속적으로 정교하게 분석 하는 것이, 훨씬 효과적이고 비용 절감적이라는 것입니다

[주관적인 생각]

 필자인 저는 네트워크 포렌직 제품군에 업데이트된 AI 기반 이상행위 탐지기능과(S사의 S제품, R사의 N제품), EDR 분야의 AI 탐지 기능이 있는 제품(C사의 EPP), DB 머신러닝 제품(I사의 C제품)을 포함한 AI 제품 구축/데모 프로젝트를 최근까지 구축을 실무 엔지니어로서 경험해보았으나, 확실히 태생 AI 제품과 뒤늦게 부분 기능으로 추가된 AI 제품들은 아키텍쳐에서, 학습수준에 있어서의, 이상행위 모델링에서의, 성능에서의 차이가 체감 될 수준이었습니다.. (쉽게 말해서 안정화가 불가능할 정도의 과탐..? 모 제품에서는 AI 기능을 키자마자 1G도 안되는 트래픽에서 이상행위가 10만건 이상 발생...) 물론 방법론적으로 잘 풀어 나갈수 있을지언정, 잘 동작한다라는 말을 붙이기에는 역부족인 제품이 많았습니다.

 기능적인 관점에서 결국 AI기반 네트워크 이상행위 탐지 시스템은 얼마나 잘 데이터를 학습 할 수 있는 아키텍쳐를 가지고 있는지, 제조사에서 설정한 학습 방식이 제품의 목적과 맞는지, 실질적으로 잘 데이터를 처리하고 뽑아내는지, 충분히 탐지 근거를 제공하는지 등 체크포인트가 그려지는 것 같습니다.

[기타 질문]

subepo8712@gmail.com

SentinelONE ?

머신러닝 기반의 차세대 EDR 솔루션인 센티넬원(SentinelOne)은 실시간으로 악성파일 및 행위를 차단 하고

사고 분석을 위한 포렌직 기능을 통해 엔드포인트를 외부 공격으로 부터 보호하는 엔드포인트 통합 보안 솔루션입니다.

​

삼성SDS에서 대규모로 투자하여 보안업계에서는 이슈가 되기도 했습니다.

엔드포인트란 네트워크 끝 단에서 실제 사용자가 관리하거나 사용하는 단말 및 디바이스를 이야기 하며 기업의 내부의 데이터, 잠재적으로 전체 비즈니스에 진입하게 되는 지점입니다. 외부의 공격, 악성 이메일 및 url, 내/외부자들의 저장매체 등을 통한 다양한 침투 경로를 통해 악성행위가 실제로 발생되는 곳이며, 해커가 표적으로 하는 최종 목적지이자 보안의 최종 방어선이라고 할 수 있습니다.

해커들의 공격에 대응하지 못해 이 방어선이 무너지게 되면 공격자는 침해된 엔트포인트를 통해 네트워크에서 활동할 수 있는 발판을 확보하고 데이터나 주요자산을 취득하여 결과적으로 기업에게 막대한 피해를 가져오게됩니다.

Zeroday 공격, File-less 공격에 대한 위협 증가

신/변종 악성코드는 기존의 악성코드를 자동화된 툴로 변종을 생성해내어 시그니처 기반의 백신을 무력화 시키기 때문에 시그니처 생성 속도가 악성코드 생성의 속도를 따라갈 수 없고, 이에 대한 대응 속도가 느릴 수 밖에 없습니다.

스크립트 및 메모리공격 등 악성코드가 HDD등에 파일이 없는 Fileless 형태의 공격은 파일 검사 기반의 백신을 우회 할 수 있습니다.

따라서 최신 패치를 설치하고 바이러스 백신 업데이트를 통해 주의를 기울여도 여전히 알려지지 않은 새로운 위협에 대한 위험은 존재하며, 기존의 백신의 탐지/치료 방식은 한계가 존재합니다.

기존 백신 솔루션으로는 진화하는 사이버 공격에 대응하기 어려우며, 실제 기업의 보안 담당자들도 이 한계점을 인지하고 있습니다.

차세대 EDR 솔루션 센티넬원(Sentinel One)은 머신러닝 기술을 기반으로 악성코드 유형을 학습하여 신/변종 악성코드와 공격을 탐지하고 실시간으로 대응하며, 악성코드 탐지 및 차단 대응이 이뤄진 후 발생된 행위에 대한 분석을 지원하여 여러 유형의 공격에 대한 탐지율을 높이고 자동 대응을 통해 운영 인력에 대한 효율을 높일 수 있습니다.

센티넬원은 악성파일 및 행위를 사전 차단 하는 EPP(Endpoint Protection Platform)의 기능과 사후 대응 및 사고 분석을 위한 포렌직 기능을 하는 EDR(Endpoint Detection & Response) 기능을 지원하는 통합 솔루션입니다.

악성파일 사전 차단의 단계에서는 악성코드가 실행되기 전에 시그니처 기반의 백신 및 평판조회를 통한 차단, 인공지능을 기반으로 학습된 파일 패턴 분석 등을 통해 사전 차단이 이뤄집니다.

악성행위 사전 차단 단계에서는 악성코드가 실행되고 있을 시에 시그니처 기반 백신에서 차단하기 어려운 Exploit, File-less 공격 및 이상행위 를 차단합니다.

차단이 된 후 EDR은 악성코드가 감염되었을 시 감염되기 이전으로 복구하는 사후 대응과 내부 네트워크 어디까지 감염이 진행되었으며, 내부의 어떤 pc가 더 감염되어 있는 지 정보를 제공하는 사고대응 Workflow자동화 기능을 제공합니다.

또한 감염 전후의 상황을 알 수 있는 엔드포인트의 이벤트를 모두 수집하여 확인 할 수 있는 로그분석/ 사고분석 기능을 제공합니다.

SentinelONE 센티넬원 강점

● 악성코드 및 해킹 탐지를 위한 독자적 AI 기술 보유

- R&D 인력 대부분 Data Scientist 및 악성코드 분석가로 구성

- AV TEST 테스트 결과 최우수 평가

- 파일 정적(Static) 분석 및 행위(Behavior) 기반 AI 기술 모두 보유

​

● 랜섬웨어 등에 의한 데이터 피해 자동복구 (EDR 솔루션 중 유일)

- ‘18년 데이터 자동복구 기술 특허 획득

​

● Light-Agent 방식으로 Endpoint 성능 부하를 최소화하는 구조

- 로컬에서 초기 분석 진행, 상세분석은 분석서버/클라우드에서 진행

​

●Cloud, On-Premise, Hybrid 모두 지원

​

출처 : https://m.blog.naver.com/PostView.nhn?blogId=huevertech_solution&logNo=221658953010&targetKeyword=&targetRecommendationCode=1

 DNS Configuration

 * 네트워크 속성 > 어댑터 속성 > IPv4 Properties

 DNS 서버 IP를 Local 서버 IP 로 변경

AD 설치

* 서버 관리자(Server Manager) > 대시보드(Dashboard) > 역할 추가(Add roles and features)

도메인 컨트롤러 승격(Promote this server to a domain controller)

* Alert 아이콘 > Promote this server to a domain controller