공격 지표

Tenable Identity Exposure 공격 지표(IoA)를 이용하면 가장 지능적인 익스플로잇 기법이 조직의 Active Directory(AD) 인프라를 침해하려 시도할 때 이를 감지하여 즉각적으로 조치하는 데 도움이 됩니다. 예를 들면 다음과 같습니다.

  • 3대 인시던트: IoA 통합 프레젠테이션은 실시간 타임라인과 AD에 영향을 미친 3대 인시던트 및 공격의 분포도까지 모두 단일 인터페이스 내에 표시합니다.

  • IoA 관련 세부 정보: Tenable Identity Exposure 내부의 IoA 패널에서 AD 내에서 발생한 공격에 관한 정보를 제공합니다.

  • IoA 관련 인시던트: IoA 인시던트 목록을 통해 조직의 AD를 노리는 구체적인 공격에 관한 종합적인 세부 정보를 알 수 있습니다. 이 정보를 확보하면 IoA의 심각도 수준에 따라 적절하게 대응할 수 있습니다.

공격 지표 기능에는 조사 역량을 한 단계 업그레이드하도록 설계된 광범위한 기능이 함께 제공됩니다.

  • 검색 가능 및 필터링 가능: 타임라인을 활용하여 손쉽게 IoA를 탐색하거나 포리스트, 도메인 및 중요도 수준에 따라 필터를 적용하여 효율적이며 타게팅된 결과를 얻을 수 있습니다.

  • 내보내기 기능: IoA 데이터를 PDF, CSV 또는 PPTX 형식으로 내보낼 수 있습니다.

  • 차트 유형 수정: 차트 유형을 변경하는 옵션을 제공해 공격 심각도 분포도를 표시하거나 3대 공격과 각각의 발생 횟수를 표시할 수 있습니다.

  • IoA 인시던트에 대한 작업: 닫거나 다시 열려는 인시던트를 선택할 수 있습니다.

Tenable Identity Exposure에서 공격을 탐지하고 공격에 심각도 수준을 할당합니다.

수준 설명
위험 - 빨간색 도메인 우위가 전제 조건으로 필요한 증명된 악용 이후 공격을 탐지했습니다.
높음 - 주황색 공격자가 도메인 우위를 점할 수 있게 해주는 중대한 공격을 탐지했습니다.
중간 - 노란색 이런 IoA는 위험한 권한 상승을 초래할 수 있거나 중요한 리소스에 대한 액세스를 허용할 수 있는 공격과 관련이 있습니다.
낮음 - 파란색 정찰 작업 또는 영향이 적은 인시던트와 관련된 의심스러운 동작에 대한 알림입니다.

구체적인 보안 위험 및 우려 사항에 따른 중요하며 영향이 큰 IoA를 인식합니다.

오탐 위험 또는 실제 공격을 간과하는 위험을 완화하려면 환경에 따라 IoA를 보정하는 것이 중요합니다. 그러려면 다음과 같은 과정을 거쳐야 합니다.

  • 임계값 조정: IoA 민감도를 보정하여 오탐을 줄여, 의미 있고 실행 가능한 알림을 보장합니다.

  • 계정과 활동을 허용 목록에 추가: 정상 활동이 IoA를 트리거하지 않도록 하여 알림 정확도를 향상하고 조사를 간소화합니다.

  • IoA 상관 관계 분석: 다양한 IoA 간 관계를 분석하여 더 넓은 범위의 공격 패턴을 식별합니다.

: 옵션과 권장 값에 관한 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드(https://kr.tenable.com/downloads/identity-exposure에서 이용 가능)를 참조하시기 바랍니다. 이러한 옵션과 값을 보안 프로필 내 각 IoA에 적용합니다.

  1. IoA를 활성화할 때 탐색 창에서 "공격 지표"를 선택하거나 홈 페이지 오른쪽 상단에 있는 종 모양 아이콘을 클릭합니다.

  2. 각 지표가 인시던트에 관한 상세한 정보를 제공하며 검토 후 적절하게 조치할 수 있게 해줍니다.

    • 공격 발생 시

    • 공격에 대한 설명

    • 공격 출처

    • 공격 대상

    • MITRE ATT&CK® 정보

    • YARA 감지 규칙

    • 추가 리소스

  1. 이 예시에 표시된 것처럼 "세부 정보"를 클릭하면 로컬 관리자 열거에 중점을 둔 설명에 액세스할 수 있습니다.

  2. 설명 탭을 보면 Active Directory(AD)의 특정 공격에 관한 정보를 알 수 있습니다.

  3. YARA 감지 규칙 탭에서는 Tenable Identity Exposure가 네트워크 수준에서 Active Directory 공격을 감지하기 위해 사용하는 YARA 규칙에 관한 정보를 표시하여, Tenable Identity Exposure의 전반적인 감지 기능을 강화합니다.

  4. Active Directory 관리자나 관련 이해 관계자와 협업하여 인시던트를 검토 및 해결하고, 인시던트를 종료할지 다시 열지를 결정한 다음, 재발을 방지하기 위한 조치를 단행합니다.

  5. 이것이 인식되거나 승인된 공격인 경우, 그에 따라 IoA를 사용자 지정하여 향후 인스턴스에서 IoA가 이 항목에 플래그를 지정하지 않도록 할 수 있습니다.

참고 항목