NetWitness Platform XDR

다차원 데이터 수집 + 고도화된 탐지 + 강력한 대응 XDR은 보안 예방, 탐지 및 대응 구성 요소의 데이터 및 경보를 통합, 연계분석 및 컨텍스트화 하는 플랫폼입니다.

NetWitness Platform XDR 개요

RSA NetWitness Logs & Packets

네트워크 전체의 정보 수집 및 중요 정보 연계를 통한 위협 분석 RSA NetWitness Logs & Packets는 IT인프라 전반에 대한 가시성을 제공하여 보다 빠르고 정확하게 보안 사고에 대한 탐지, 조사 및 대응을 수행합니다.
로그와 네트워크 패킷 데이터를 실시간으로 수집한 후 이벤트 상관분석 모델을 사용하여 공격자가 피해를 주기 전에 보안 위협을 탐지하고 인식합니다.

• 사전 대응
  • 수집되는 Packet에서 실시간 위협을 탐지
  • 세션상의 이상행위 뿐 아니라 Threat Intelligence를 이용하여 조기 대응
• 행위기반분석
  • C&C 통신등 이상행위를 행위기반으로 자동탐지
  • 여러개의 세션을 분석하여 이상행위를 탐지
  • 경보를 통한 즉각적인 대응
• 사후 대응
  • 트래픽 전수 검사를 통해 사전 이상 징후 확인
  • 기존 보안 솔루션과 협업을 통한 대응

RSA NetWitness Log & Packets 구성요소

구성요소	설명
RSA NetWitness Server	Web UI 기반 사용자 인터페이스 제공, 하위 장비 설정 및 관리, 분석 화면 제공
Broker	다수의 Concentrator의 데이터를 취합하여 검색할 수 있는 환경 제공
Event Stream Analysis (ESA)	단일 조건 또는 Log, Packet, Endpoint 간의 상관 관계 조건을 적용하여 실시간으로 이벤트를 탐지하고 관리하는 엔진
Concentrator	메타데이터를 저장하고 빠른 검색 결과를 표기하기 위해 메타데이터를 인덱싱
Decoder	원본 로그 또는 트래픽을 저장하고 적용된 파서를 통해 메타데이터를 생성
Virtual Log Collector (VLC)	원격지에서 Decoder로 로그를 전달을 위한 가상 Collector 인스턴스
Archiver	Log 또는 Packet 데이터를 장기간 보존하기 위해 압축 저장하는 기능을

NetWitness Endpoint

침해위협, Hooking, 외부 통신등의 위협을 수치화하여 위협 행위 탐지

• 디스크 분석

  

  • 메모리에서 동작하는 프로세스의 관련 파일 탐지
  • 원본 파일을 가상 메모리 영역에서 실행후 기존 프로세스와 비교
• 메모리 분석

  

  • 시그니처에 의존하지 않고, 악성코드 행위 기반 분석
  • 다양한 Hooking에 대한 분석
  • 프로세스의 이전&이후 행위 모니터링
  • 프로세스가 생성하는 신규 프로세스 추적
  • 프로세스의 레지스트리 추가 내역 탐지
• 네트워크 모니터링

  

  • 프로세스가 유발하는 네트워크 행위 탐지
  • 외부 통신 행위 탐지

특장점 : 위협 인텔리전스(TI) 제공

ThreatConnect와의 파트너십을 통해 ThreatConnect의 상용 CTI 정보와 OSINT 정보를 위협 인텔리전스로 기본 제공

특장점 : 인시던트 대응 - 연관 분석 기능 제공

Log / Network / Endpoint 통합 모니터링을 통한 공격 탐지