목차/16. Cyber Attack View·MITRE·참조

16Cyber Attack View·MITRE·참조Cyber Attack View·MITRE·참조

이 장은 Threat Prevention이 잡아낸 위협을 한눈에 보여 주는 분석 뷰(Cyber Attack View)와, 공격자의 수법을 표준 언어로 풀어 주는 MITRE ATT&CK, 그리고 로그를 해석하는 데 필요한 로그 필드 참조 를 빠짐없이 정리합니다. 이어서 명령줄 참조·커널 파라미터·커널 디버그를 어느 가이드에서 찾아야 하는지도 안내합니다. 여기서 다루는 내용은 Custom Policy와 Autonomous Policy 모두에 공통입니다.

Cyber Attack View — 공격을 한눈에

Cyber Attack View - Gateway공격 벡터(attack vector)별로 네트워크를 노린 사이버 공격을 시각화 해, 주의가 필요한 이벤트를 콕 짚어 주는 분석 뷰입니다. 화면 곳곳의 위젯(widget)을 더블클릭하면 다음 드릴다운(drill-down) 단계로 파고들어, 요약 통계에서 출발해 결국 개별 로그까지 추적할 수 있습니다.

뷰를 여는 두 가지 길

이 뷰는 SmartConsole 에서도, 웹 기반 SmartView 에서도 열 수 있습니다.

SmartConsole에서 열기

  1. SmartConsole로 Security Management Server 또는 Domain Management Server 에 접속합니다.
  2. 왼쪽 탐색 패널에서 Logs & Events 를 클릭합니다.
  3. 상단의 + 탭을 클릭하면 New Tab 탭이 열립니다.
  4. 왼쪽 트리에서 Views 를 클릭합니다.
  5. 상단 검색창에 cyber 를 입력합니다.
  6. 사용 가능한 Cyber Attack View 목록이 나타납니다.
  7. Cyber Attack View - Gateway 를 더블클릭합니다(또는 선택 후 Open).
p.433
p.433
p.434
p.434

SmartView에서 열기

  1. 웹 브라우저로 관리 서버의 SmartView에 접속합니다.
   https://<IP Address of Management Server>/smartview
   
  1. 상단의 + 탭을 클릭하면 New Tab Catalog 탭이 열립니다.
  2. 왼쪽 트리에서 Views 를 클릭합니다.
  3. 상단 검색창에 cyber 를 입력합니다.
  4. 사용 가능한 Cyber Attack View 목록이 나타납니다.
  5. Cyber Attack View - Gateway 를 더블클릭합니다(또는 선택 후 Open).
p.435
p.435
p.435
p.435

어떤 이벤트가 화면에 올라오는가

이 뷰에서 서로 연관 지어진(correlated) 이벤트는 모두 Severity(심각도)와 Confidence Level(신뢰도)이 Medium 이상으로 태그 되어 있습니다. 이 태그는 Check Point가 부여하며 사용자가 바꿀 수 없 습니다. 뷰의 배경에서 도는 쿼리는 이 태그가 붙은 이벤트만 골라 보여 줍니다. 그 밖의 이벤트는 모두 Additional Events 섹션에 따로 모입니다.

기본 쿼리(Default Query)

뷰 전체는 다음 기본 쿼리로 데이터를 거른 뒤, 그 결과를 여러 위젯에 나눠 그립니다. 아래에서 설명하는 각 위젯은 이 기본 쿼리 위에 자신만의 필터를 덧붙여 동작합니다.

Pre-defined Filter > Log Type Filter
Product Family > Equals > Threat
Severity > Equals > Medium, High, Critical
Confidence Level > Equals > Medium, Medium-High, High

기본 위젯

뷰를 처음 열면 다음 위젯이 기본으로 배치되어 있습니다.

위젯종류설명
Infected HostsInfographic선택한 보고 기간 동안 멀웨어에 감염된 호스트 수 를 보여 줍니다.
Timeline of Infected HostsTimeline보고 기간 동안 감염 호스트에 대한 날짜별 로그 수 를 보여 줍니다.
Attacks Allowed by PolicyInfographic현재 Security Policy가 허용한 공격 수를 공격 벡터별로 보여 줍니다.
Prevented AttacksInfographic현재 Security Policy가 차단한 공격 수를 공격 벡터별로 보여 줍니다.
SandBlast Threat EmulationInfographic차단된 악성 파일 수 를 보여 줍니다.
Cyber Attack TimelineTimelineAnti-Bot·Anti-Virus·IPS·Threat Emulation 등 여러 Software Blade의 로그 수 를 기간별로 보여 줍니다.

뷰와 위젯 편집하기

뷰와 위젯을 직접 손보려면 오른쪽 위 모서리에서 Options > Edit 를 클릭합니다. 그러면 상단 툴바에 다음 버튼이 활성화됩니다.

버튼설명
Add Widget새 위젯을 추가합니다. 종류: Table, Chart, Timeline, Map, Infographic, Container, Rich Text
Undo마지막 동작을 되돌립니다.
Redo되돌린 동작을 다시 합니다.
Discard모든 변경을 버리고 편집 모드를 나갑니다.
Done모든 변경을 저장하고 편집 모드를 나갑니다.

편집 모드에서는 각 위젯의 오른쪽 위 모서리에도 위젯 종류에 따라 다음 버튼이 나타납니다.

버튼설명
Remove(Add Widget으로 추가한) 요소를 위젯에서 지웁니다.
Add위젯에 요소를 더 추가합니다(Chart, Timeline, Map, Infographic, Rich Text).
Chart Type차트 종류를 고릅니다(Columns, Bars, Pie, Area, Line).
Edit Filter쿼리 필터를 편집합니다.
Settings이 위젯(Container)과 그 요소의 설정을 구성합니다.
Remove Widget위젯을 뷰에서 통째로 삭제합니다.

Settings 로 구성할 수 있는 항목은 위젯 종류마다 다릅니다.

  • Container — Title, Description, Layout(Horizontal·Vertical·Grid·Tabs).
  • Infographic — Title, Field Name, Filter, Icon(마우스를 올리면 아이콘 이름 툴팁이 보임), Primary Text(아이콘 오른쪽에 표시), Secondary Text(Primary Text 아래 작은 글씨), Icon template(아이콘 모양·크기와 카운터 표시 여부), Horizontal Alignment(Left·Center·Right), Vertical Alignment(Top·Middle·Bottom), Style(Normal·Small).
  • Table — Title, Description, Table Type(Statistical Table·Logs Table), Columns(분석할 로그 필드와 표시 방식).
  • Chart — Title, Description, Chart Type, Values for Y-axis, Values for X-axis, Sort order, Number of values to show, Number of samples to show, Axis titles, Legend.

위젯 크기를 바꾸려면 위젯 오른쪽 아래 모서리를 누른 채 끌어 원하는 크기로 맞춘 뒤 마우스를 놓습니다. 기본값으로 되돌리려면 오른쪽 위 모서리에서 Options > Restore Defaults 를 클릭합니다.

위젯 다루기 — 종류별 조작법

위젯 종류에 따라 드릴다운·필터링·정렬 방법이 조금씩 다릅니다.

  • Infographic — 제목이나 아이콘을 더블클릭하거나, 오른쪽 클릭 후 Drill Down 을 누르면 다음 단계로 들어갑니다.
  • Table — 열 머리글을 한 번 클릭하면 오름차순·내림차순 정렬, 값에 마우스를 올리면 전체 텍스트 툴팁이 보입니다. 다음 단계로 가려면 행을 더블클릭하거나 오른쪽 클릭 후 Drill Down. 특정 값만 보려면 그 값을 오른쪽 클릭 후 Filter: "<VALUE>", 특정 값을 빼고 보려면 Filter Out: "<VALUE>".
  • Chart — 차트 영역에 마우스를 올리면 툴팁이 보입니다. 막대를 더블클릭하거나 오른쪽 클릭 후 Drill Down 으로 내려갑니다. 필터링은 Table과 같은 방식(Filter / Filter Out)입니다.
  • Timeline — 막대를 더블클릭하거나 오른쪽 클릭 후 Drill Down. 범례(legend)에서는 특정 항목을 더블클릭하면 그 항목만 표시, 한 번 클릭하면 그 항목을 그래프에서 제거, 같은 항목을 다시 한 번 클릭하면 복원합니다. 두 개 이상을 끈 뒤 모두 되살리려면, 꺼진 항목을 하나씩 한 번 클릭해 전부 켜거나, 한 항목을 더블클릭해 그것만 표시한 뒤 같은 항목을 한 번 더 클릭합니다.
  • Map — 원으로 표시된 나라에 마우스를 올리면 툴팁이 보이고, 더블클릭하거나 오른쪽 클릭 후 Drill Down. 필터링도 Filter / Filter Out 으로 합니다.

Infected Hosts — 감염된 호스트

이 위젯은 보고 기간 동안 멀웨어에 감염된 네트워크 호스트 수 를 보여 줍니다. Security Gateway는 어떤 호스트에서 바깥으로 나가는 악성 통신이나 전파(측면 이동, lateral movement) 를 감지하면 그 호스트를 감염된 것으로 간주합니다. 이런 멀웨어 통신은 Anti-BotIPS 이벤트에 드러나며, 여기 표시되는 이벤트는 Severity·Confidence Level이 Medium 이상입니다. 제목이나 아이콘을 더블클릭하면 내부 네트워크의 감염 호스트에 대한 요약 드릴다운 뷰로 들어갑니다.

p.442
p.442

드릴다운 뷰의 위젯

위젯종류설명
Infected HostsInfographic멀웨어에 감염된 호스트 수.
Top 20 Infected HostsChart(로그 수 기준) C&C 서버에 접속한 상위 호스트 — 상위 20개 감염 호스트의 출발지 IP와 탐지된 악성 연결 수. 색이 다르면 다른 호스트.
Top Malicious Command And Control ConnectionsTable(연결 빈도 기준) C&C 서버에 접속한 상위 호스트 — 감염 호스트의 호스트명·출발지 IP·출발지 사용자명, C&C 서버 IP, 악성 C&C 연결 수.
List of Infected HostsTable감염 호스트 목록 — 호스트명·출발지 IP·출발지 사용자명, 탐지된 멀웨어 시그니처 이름(ThreatWiki·Check Point Research 기준), Malware action, 로그 수.
Timeline of Infections (Top 20)Timeline모든 감염 호스트의 C&C 악성 연결을 시간순으로 — 상위 20개 호스트의 출발지 IP·로그 수·날짜·시각. 색이 다르면 다른 호스트.

이 위젯들은 기본 쿼리에 더해 다음 쿼리를 함께 실행합니다.

(blade:Anti-Bot AND severity:(Medium OR High OR Critical) AND
confidence_level:(Medium OR Medium-High OR High) NOT "Mail
analysis") OR (blade:IPS AND "Malware Traffic")

Timeline of Infected Hosts — 감염 추세

이 위젯은 보고 기간 동안 감염 호스트의 날짜별 로그 수 를 보여 줘, 네트워크의 감염 추세를 파악하게 합니다. 색이 다르면 다른 호스트를 가리킵니다. 막대를 더블클릭하면 해당 로그(다음 드릴다운 단계)로 들어갑니다.

p.445
p.445

기본 쿼리에 더해 다음 쿼리를 실행합니다.

Customer Filter = NOT "Mail analysis"
Blade > Equals > Anti-Bot

Attacks Allowed By Policy — 정책이 허용한 공격

이 위젯은 현재 Security Policy가 (차단하도록 구성되지 않아) 허용한 공격을 공격 벡터별로 보여 줍니다. 어떤 벡터와 어떤 종류의 공격이 들어오는지 이해해 방어를 개선하는 것이 목적입니다. 제목·아이콘을 더블클릭하면 아래의 세부 드릴다운 뷰로 들어갑니다.

p.446
p.446

이 섹션의 쿼리는 기본 쿼리에 더해 허용 계열 액션 만 고릅니다.

Action > Equals > Bypass,Detect

Attacks Allowed By Policy 섹션은 다음 다섯 가지 드릴다운으로 나뉩니다 — Users that Received Malicious Emails, Hosts that Downloaded Malicious Files, Directly Targeted Hosts, Host Scanned by Attackers, Hosts that Accessed Malicious Sites.

Users that Received Malicious Emails (Allowed)

이메일은 악성 페이로드를 나르는 가장 흔한 벡터입니다. 이 드릴다운은 이메일 공격 시도를 요약합니다. IPS·Anti-Virus·Threat Emulation·Threat Extraction 블레이드가 나란히 작동해 이메일의 악성 여부를 판정 하고 다층 방어를 제공합니다.

p.447
p.447
위젯종류설명
Malicious EmailsInfographicSecurity Gateway가 악성으로 판정한 이메일 총수.
Top 10 Email Protection TypesChart악성 이메일을 잡아낸 상위 Check Point 보호 기능(전체 블레이드)의 이름과 잡은 이메일 수.
Top Targeted RecipientsChart악성 이메일을 가장 많이 받은 수신자와 그 수.
Top Malicious SendersChart악성 이메일을 가장 많이 보낸 발신자와 그 수.
Detected Malicious EmailsTableFrom, To, Subject, File Name, File Size, File MD5, Protection Name.
Timeline of Email Campaigns (Top 10 Protections)Timeline탐지된 악성 이메일 수와 시간 흐름. 보호 종류별로 나뉘며, 색이 다르면 다른 캠페인.

기본 쿼리에 더해 다음을 실행합니다.

Calculated Service > Equals > SMTP

Hosts that Downloaded Malicious Files (Allowed)

이 드릴다운은 악성 파일을 이용한 공격 을 요약하며, Check Point Threat Prevention의 다층 방어가 잡은 모든 악성 파일을 보여 줍니다.

p.450
p.450
위젯종류설명
Malicious Downloaded FilesInfographic악성 파일을 내려받은 호스트 수와 내려받은 악성 파일 수.
Malware FamiliesChart내려받은 상위 멀웨어 패밀리(ThreatWiki·Research 기준). 색이 다르면 다른 패밀리.
Top Users that Downloaded Malicious FilesChart악성 파일을 가장 많이 내려받은 호스트(다운로드 수 기준 정렬).
Top Downloaded Malicious FilesChart상위 악성 파일의 다운로드 횟수(등장 횟수 기준 정렬).
Detected Malicious FilesTable내려받은 호스트, 탐지한 보호 기능 이름, 파일 이름·유형·MD5, Malicious Domain.
Timeline of Downloaded Malicious Files (Top 10 Protections)Timeline내려받은 악성 파일의 로그 수. 색이 다르면 다른 파일.

기본 쿼리에 더해 다음을 실행합니다.

Custom Filter = ((blade:"threat emulation") OR (blade:"anti-virus"
AND "signature") OR (blade:ips AND (("Adobe Reader Violation" OR
"Content Protection Violation" OR "Instant Messenger" OR "Adobe
Flash Protection Violation"))))

Directly Targeted Hosts (Allowed)

이 드릴다운은 네트워크·호스트 익스플로잇(exploit) 시도 를 요약합니다. 호스트 익스플로잇 시도는 Threat Prevention 이벤트의 대부분을 차지합니다.

p.453
p.453
위젯종류설명
Top HostsInfographic공격받은 내부 호스트 총수와 탐지된 익스플로잇 시도 총수.
Top 5 AttackersChart익스플로잇 시도 수 기준 상위 공격자 — 출발지 IP와 로그 수. 색이 다르면 다른 취약점.
Top 5 Attacked HostsChart익스플로잇 시도 수 기준 상위 피공격 호스트 — IP와 로그 수.
Top Detected Exploit AttemptsChart상위 익스플로잇 시도 — 익스플로잇 이름과 로그 수. 색이 다르면 다른 취약점.
Top Detected Attacked Hosts on the NetworkTable피공격 내부 호스트 IP, 악용된 취약점 이름, CVE, 호스트별 이벤트 수, Severity.
Timeline of Exploit AttacksTimeline악용된 취약점 이름과 시간 흐름. 색이 다르면 다른 취약점.

기본 쿼리에 더해 다음을 실행합니다.

Custom Filter = blade:IPS NOT ("SMTP" OR "Adobe Reader Violation"
OR "Content Protection Violation" OR "Mail Content Protection
Violation" OR "SMTP Protection Violation" OR "Phishing Enforcement
Protection" OR "Adobe Flash Protection Violation" OR "Adobe Reader
Violation" OR "Content Protection Violation" OR "Instant
Messenger" OR "Adobe Flash Protection Violation" OR "Scanner
Enforcement Violation" OR "Port Scan" OR "Novell NMAP Protocol
Violation" OR "Adobe Flash Protection Violation" OR "Adobe
Shockwave Protection Violation" OR "Web Client Enforcement
Violation" OR "Exploit Kit")

Host Scanned by Attackers (Allowed)

이 드릴다운은 내부 네트워크에서 스캔당한 호스트 를 보여 줍니다. 네트워크 스캐너는 흔하므로 이 단계의 이벤트가 많이 보이는 것은 정상입니다.

p.458
p.458
위젯종류설명
Top StatisticsInfographic가장 많이 스캔당한 내부 호스트 수.
Top Scanning Attempts Per ScannerChart스캐너별 스캔 시도 수(시도 수 기준 정렬) — 스캐너 출발지 IP와 시도 수.
Top ProtectionsChart스캔 이벤트를 가장 많이 보고한 보호 기능 이름과 탐지 수.
Top Scanned HostsTable가장 많이 스캔당한 내부 호스트 — 목적지(호스트) IP, 출발지(스캐너) IP, 목적지·출발지 총수.
Top ScannersTable스캐너 정보 — 출발지(스캐너) IP, 목적지(호스트) IP와 스캔당한 목적지 총수, 매칭된 Check Point 서비스(프로토콜·포트).
Timeline of Top 10 ScannersTimeline탐지된 스캐너별 스캔당한 호스트 수와 시간 흐름. 색이 다르면 다른 스캐너.

기본 쿼리에 더해 다음을 실행합니다.

Custom Filter = "Scanner Enforcement Violation" OR "Port Scan" OR
"Novell NMAP Protocol Violation"

Hosts that Accessed Malicious Sites (Allowed)

이 드릴다운은 내부 네트워크에서 악성 사이트로 접근한 시도 를 요약합니다.

p.460
p.460
위젯종류설명
Hosts that Accessed Malicious SitesInfographic악성 웹사이트에 접근한 내부 호스트 수.
Top 10 Protection TypesChart웹 공격 보호가 보고한, 탐지된 멀웨어 패밀리별 이벤트 수(ThreatWiki·Research 기준). 색이 다르면 다른 패밀리.
Top 15 HostsChart악성 사이트에 접근한 내부 호스트(호스트별 연결 수 기준 정렬) — 출발지 IP, 탐지된 멀웨어 패밀리, 호스트별 연결 로그 수.
Top Malicious SitesTable내부 호스트 출발지 IP, 호스트별 연결 로그 수, 악성 사이트 URL, 악성 사이트 목적지 포트.
Timeline Showing Access to Malicious SitesTimeline탐지된 멀웨어 패밀리와 시간 흐름. 보호 종류별로 나뉘며, 색이 다르면 다른 패밀리.

기본 쿼리에 더해 다음을 실행합니다.

Custom Filter = ((blade:IPS AND ("Adobe Flash Protection
Violation" OR "Adobe Shockwave Protection Violation" OR "Web
Client Enforcement Violation" OR "Exploit Kit")) OR (blade:Anti-
Virus AND ("URL Reputation" OR "DNS Reputation")))
Calculated Service > Not equals > smtp

Attacks Prevented By Policy — 정책이 차단한 공격

이 위젯은 Security Policy가 실제로 차단한 공격을 공격 벡터별로 보여 줍니다.

p.462
p.462

이 섹션의 쿼리는 기본 쿼리에 더해 차단 계열 액션 만 고릅니다.

Action > Equals > Drop,Reject,Block,Prevent,Redirect

차단 섹션의 드릴다운은 허용 섹션과 같은 다섯 갈래로 나뉘고, 위젯 구성도 동일합니다. 다만 보여 주는 것이 허용된 공격이 아니라 차단된 공격 이라는 점, 그리고 일부 쿼리·Best Practice가 다릅니다.

Users that Received Malicious Emails (Prevented)

위젯 구성(Malicious Emails, Top 10 Email Protection Types, Top Targeted Recipients, Top Malicious Senders, Detected Malicious Emails, Timeline of Email Campaigns)은 허용 섹션과 같습니다.

p.463
p.463

기본 쿼리에 더해 다음을 실행합니다.

Calculated Service > Equals > SMTP
Custom Filter = ((blade:ips AND ("Adobe Reader Violation" OR
"Content Protection Violation" OR "Mail Content Protection
Violation" OR "SMTP Protection Violation" OR "Phishing Enforcement
Protection" OR "Adobe Flash Protection Violation")) OR
(blade:"Threat Emulation") OR (blade:Anti-Virus ) OR
(blade:"Threat Extraction" AND content_risk ("Medium" OR "High" OR
"Critical"))) AND service:("pop3" OR "smtp" OR "imap")

Hosts that Downloaded Malicious Files (Prevented)

위젯 구성(Malicious Downloaded Files, Malware Families, Top Users that Downloaded Malicious Files, Top Downloaded Malicious Files, Detected Malicious Files, Timeline of Downloaded Malicious Files)은 허용 섹션과 같습니다.

p.466
p.466

기본 쿼리에 더해 다음을 실행합니다.

Custom Filter = ((blade:"threat emulation") OR (blade:"anti-virus"
AND "signature") OR (blade:ips AND (("Adobe Reader Violation" OR
"Content Protection Violation" OR "Instant Messenger" OR "Adobe
Flash Protection Violation"))))

Directly Targeted Hosts (Prevented)

위젯 구성(Top Hosts, Top 5 Attackers, Top 5 Attacked Hosts, Top Detected Exploit Attempts, Top Detected Attacked Hosts on the Network, Timeline of Exploit Attacks)과 쿼리는 허용 섹션의 Directly Targeted Hosts와 같습니다.

p.469
p.469

Host Scanned by Attackers (Prevented)

위젯 구성(Top Statistics, Top Scanning Attempts Per Scanner, Top Protections, Top Scanned Hosts, Top Scanners, Timeline of Top 10 Scanners)과 쿼리는 허용 섹션과 같습니다.

p.473
p.473
Custom Filter = "Scanner Enforcement Violation" OR "Port Scan" OR
"Novell NMAP Protocol Violation"

Hosts that Accessed Malicious Sites (Prevented)

위젯 구성(Hosts that Accessed Malicious Sites, Top 10 Protection Types, Top 15 Hosts, Top Malicious Sites, Timeline Showing Access to Malicious Sites)과 쿼리는 허용 섹션과 같습니다.

p.475
p.475
Custom Filter = ((blade:IPS AND ("Adobe Flash Protection
Violation" OR "Adobe Shockwave Protection Violation" OR "Web
Client Enforcement Violation" OR "Exploit Kit")) OR (blade:Anti-
Virus AND ("URL Reputation" OR "DNS Reputation")))
Calculated Service > Not equals > smtp

SandBlast Threat Emulation — 차단된 악성 파일

이 위젯은 보고 기간 동안 차단된 악성 파일 수 를 보여 줍니다. 제목·아이콘을 더블클릭하면 드릴다운 뷰로 들어갑니다.

p.478
p.478
위젯종류설명
Top StatisticsInfographicCPU Level 또는 File Exploit 보호가 악성으로 판정한 파일 수.
Malicious EmailsTable날짜·시각, 발신 이메일, 수신 이메일, 제목, 첨부 파일 이름·MD5, Protection Name, 기록된 이메일 수.
Top SendersChart악성 이메일을 가장 많이 보낸 사용자(로그 수 기준 정렬)와 보낸 수.
Top RecipientsChart악성 이메일을 가장 많이 받은 사용자(로그 수 기준 정렬)와 받은 수.
Top SourcesChart악성 이메일을 가장 많이 보낸 출발지 호스트와 그 수.
Downloaded Malicious FilesTableFrom, To, Subject, File Name, File Size, File MD5, Protection Name.
Timeline of CPU Level and File Exploit ProtectionsTimeline보호 로그 수와 시간 흐름.

기본 쿼리에 더해 다음을 실행합니다.

Custom Filter = "*CPU-Level Detection Event*" OR Exploited
Blade > Equals > Threat Emulation
Product Family > Equals > Threat

MITRE ATT&CK

MITRE ATT&CK전 세계 보안 커뮤니티가 위협 모델과 방법론을 발전시키는 데 쓰는 지식 베이스 입니다. 이를 통해 Check Point 고객은 공격자가 자기 네트워크에 쓴 상위 기법(technique)과 전술(tactic) 을 드러내는 방식으로 보안 사고를 검토할 수 있습니다.

동작 원리는 이렇습니다 — 악성 파일이 발견될 때마다 Threat Emulation(SandBlast 기술)이 그 공격에 쓰인 기법·전술을 해당 로그에 덧붙 입니다.

Cyber Attack Timeline 위젯

이 위젯은 보고 기간 동안 Anti-Bot·Anti-Virus·IPS·Threat Emulation 등 여러 Software Blade의 로그 수 를 보여 줘, 대규모 공격이 발생했는지 가늠하게 합니다. 막대를 더블클릭하면 다음 드릴다운 단계로 들어갑니다. 이 위젯은 앞의 기본 쿼리(Default Query)를 그대로 실행 합니다.

p.480
p.480

Threat Emulation 로그에 MITRE ATT&CK 데이터 넣기

  1. SmartConsole 을 엽니다.
  2. Gateways & Servers 뷰에서 해당 Security Gateway의 Threat Emulation 블레이드를 켭니다.
  3. 그 Security Gateway를 선택하고 Actions > Open Shell 을 클릭합니다.
  4. 다음을 실행해 엔진 버전을 확인합니다.
   tecli advanced engine version
   

Threat Emulation 엔진 버전이 58.990001056보다 높아야 합니다. 5. 사용 중인 Threat Prevention 프로파일(예: Optimized)을 열어 Threat Emulation 블레이드가 활성화되어 있는지 확인합니다.

p.481
p.481

MITRE 데이터가 담긴 로그 보기

  1. Logs & Events 뷰에서 Logs 탭을 엽니다.
  2. 검색창에 다음 쿼리를 입력해 Threat Emulation이 찾은 악성 파일을 찾습니다.
   Blade:"threat Emulation" AND type:"log" AND NOT severity:
   "informational"
   
  1. 로그 중 하나를 엽니다.
p.482
p.482
p.482
p.482

이 로그는 해당 공격에 쓰인 MITRE ATT&CK 기법(Techniques)과 전술(Tactics) 을 보여 줍니다. 한 로그에 execution·persistence처럼 여러 동작이 함께 나타날 수 있습니다. 각 기법의 자세한 설명과 완화(mitigation) 방안은 MITRE ATT&CK 웹사이트에서 확인하세요.

SmartView의 MITRE ATT&CK 뷰

악성 파일에 초점을 맞춘 Logs & Events 의 MITRE ATT&CK 뷰는 공격자가 네트워크에 쓴 기법을 한눈에 보여 줍니다.

  1. 가장 많이 쓰인 상위 기법을 검토합니다.
  2. 그중 하나를 더블클릭합니다.
  3. 하위 뷰(sub-view)로 공격의 표적과 공격 벡터를 식별합니다.
p.483
p.483
p.484
p.484

로그 필드 (Log Fields)

Log FieldsThreat Prevention 로그에 담기는 각 필드의 의미 를 정리한 참조입니다. 로그를 해석하거나 위 Cyber Attack View의 쿼리를 짤 때 바탕이 됩니다. 각 필드에는 SmartConsole에 보이는 표시 이름(Display Name), 내부적으로 쓰는 Check Point 필드 이름(쿼리에 사용), 설명, 출력 예시가 있습니다.

표시 이름필드 이름설명출력 예시
Actionaction정책에 정의된, 공격에 대한 대응.prevent
Action Detailsaction_details탐지된 악성 동작의 설명.Communicating with a Command and control server
Analyzed Onanalyzed_on탐지된 리소스가 분석된 위치."Check Point Threat Emulation Cloud"
App Packageapp_package보호 대상 모바일 기기의 앱 고유 식별자.com.facebook.katana
Application Nameappi_name모바일 기기에 내려받은 앱 이름.Free Music MP3 Player
Application Repackagedapp_repackaged원본 앱이 공식 개발자가 아닌 곳에서 리패키징되었는지 여부.TRUE
Application Signature IDapp_sig_id모바일 앱의 고유 SHA 식별자.b6511332331bc8bc64...
Application Versionapp_version모바일 기기에 내려받은 앱 버전.1.3
Attack Informationattack_info호스트·네트워크 취약점일 때 취약점 설명.Linux EternalRed Samba Remote Code Execution
Attack Nameattack호스트·네트워크 취약점일 때 취약점 분류 이름.Windows SMB Protection Violation
Attack Statusattack_status엔드포인트 컴퓨터의 악성 이벤트일 때 공격 상태.Active
Attacker Phone Numberattacker_phone_number악성 SMS일 때 악성 링크를 보낸 발신자 전화번호.15712244010
BCCbcc이메일의 숨은 참조(Blind Carbon Copy) 주소.mail@example.com
BladeproductSoftware Blade 이름.Anti-Bot & Advanced DNS
BSSIDbssid모바일 Wi-Fi 공격과 관련된 Wi-Fi 네트워크의 고유 MAC 주소.98:FC:11:B9:24:12
Bytes (sent\received)sent_bytes + received_bytes 집계공격에서 주고받은 바이트 양.24 B \ 118 B
CCcc이메일의 참조(Carbon Copy) 주소.mail@example.com
Certificate Namecertificate_name인증서와 연관된 호스트명을 식별하는 Common Name.Piso-Nuevo
Client Nameclient_name이벤트를 탐지한 클라이언트 앱 또는 Software Blade.Check Point Endpoint Security Client
Confidence Levelconfidence_levelCheck Point ThreatCloud 기반 탐지 신뢰도.Medium
Content Riskcontent_risk문서에서 추출한 콘텐츠의 위험도.4 - high
Dashboard Event IDdashboard_event_idCloud Dashboard의 이벤트 고유 ID.1729
Dashboard Origindashboard_origCloud Mobile Dashboard 이름.SBM Cloud management
Dashboard Timedashboard_time로그가 생성된 Cloud Mobile Dashboard 시각.7th july 2018 22:27
Descriptiondescription탐지된 공격에 대한 추가 정보 또는 연결 관련 오류.Check Point Online Web Service failure. See sk74040...
Destinationdst공격 목적지 IP 주소.192.168.22.2
Determined Byte_verdict_determined_by파일을 악성으로 판정한 에뮬레이터.Win7 64b,Office 2010,Adobe 11: local cache...
Developer Certificate Namedeveloper_certificate_name모바일 앱 서명에 쓰인 개발자 인증서 이름.iPhone Developer (6MZTQJDTZ)
Developer Certificate Shadeveloper_certificate_sha모바일 앱 서명에 쓰인 개발자 인증서의 SHA.Sha1
Device IDdevice_identification모바일 기기의 고유 ID.2739
Directioninterfacedir연결 방향.'inbound'; 'outbound'
Email Recipients Numberemail_recipients_num같은 이메일을 받은 수신자 수.6
Email Subjectemail_subjectCheck Point가 검사한 이메일 제목.invoice #43662
Extension Versionextension_versionSandBlast Agent 브라우저 확장의 빌드 버전.SandBlast Extension 990.45.6
Extracted File Hashextracted_file_hash압축 파일일 때 내부 파일들의 해시 목록.8e3951897bf8371e6...
Extracted File Namesextracted_file_names압축 파일일 때 내부 파일 이름 목록.malicious.js
Extracted File Typesextracted_file_types압축 파일일 때 내부 파일 유형.js
Extracted File Verdictextracted_file_verdict압축 파일일 때 내부 파일의 판정.malicious
File Directionfile_directionAnti-Virus가 찾은 악성 파일일 때 연결 방향 — Incoming(다운로드), Outgoing(업로드).Incoming
File MD5file_md5탐지된 파일의 MD5 해시.8e3951897bf8371e6...
File Namefile_name탐지된 파일 이름.malicious.exe
File SHA1file_sha1탐지된 파일의 SHA1 해시.4d48c297e2cd81b1ee...
File SHA256file_sha256탐지된 파일의 SHA256 해시.110d6ae802d229a810...
File Sizefile_size탐지된 파일 크기(바이트).8.4KB
File Typefile_type탐지된 파일의 확장자.wsf
First Detectionfirst_detection감염이 처음 탐지된 시각.1th january 2018
Geographic Locationcalc_geo_location모바일 기기 악성 활동 시 기기 위치(경도, 위도).32.0686513, 34.7945463
Hardware Modelhardware_model모바일 기기 하드웨어 모델.Samsung A900
Host Timehost_time엔드포인트 컴퓨터의 로컬 시각.7th july 2018 22:27
Host Typehost_type출발지 엔드포인트 컴퓨터의 유형.Desktop
Impacted Filesimpacted_files엔드포인트 감염 시 멀웨어가 영향을 준 파일 목록.privatedoc.txt; image.png
Industry Referenceindustry_reference관련 MITRE 취약점 문서 링크.https://cve.mitre.org/.../CVE-2017-0148
Installed Bladesinstalled_products설치된 Endpoint Software Blade 목록.Anti-Ransomware, Anti-Exploit, Anti-Bot
InterfaceinterfaceName연결이 지나간 Security Gateway 인터페이스 이름.eth1
Jailbreak Informationjailbreak_message모바일 OS 무결성이 깨졌는지 여부 — True(탈옥·루팅됨), False(정상).TRUE
Last Detectionlast_detection감염이 마지막으로 탐지된 시각.2th january 2018
Malware Actionmalware_action탐지된 멀웨어 활동의 설명.'DNS query for a site known to be malicious'
Malware Familymalware_family악성 IOC와 관련된 멀웨어 이름.Locky
MDM IDmdm_idMDM 시스템상 모바일 기기 ID.4718
Network Certificatenetwork_certificateSSL 가로채기에 쓰인 인증서의 공개 키.example.com
Not Vulnerable OSemulated_on파일을 악성으로 판정하지 못한 에뮬레이터.Win7 64b,Office 2010,Adobe 11
Originorig이 이벤트를 처음 보고한 Security Gateway 이름.My_GW
OS Nameos_name출발지 엔드포인트 컴퓨터의 OS 이름.Windows 7 Professional N Edition
OS Versionos_version출발지 엔드포인트 컴퓨터의 OS 빌드 버전.6.1-7601-SP1.0-SMP
Packet Capturepacket_capture악성 연결을 기록한 PCAP 캡처 파일 링크.
Parent Process MD5parent_process_md5공격을 일으킨 프로세스의 부모 프로세스 MD5 해시.d41d8cd98f00b204e9...
Parent Process Nameparent_process_name공격을 일으킨 프로세스의 부모 프로세스 이름.cmd.exe
Parent Process Usernameparent_process_username부모 프로세스의 소유자 사용자명.johndoe
Performance Impactperformance_impactIPS 시그니처가 Security Gateway에 주는 성능 영향.Medium
Phone Numberphone_number모바일 기기의 전화번호.15712244010
Policypolicy_date마지막 정책 가져오기 날짜.1th january 2018
Policy Managementpolicy_mgmt이 Security Gateway를 관리하는 Management Server 이름.My_MGMT_server
Policy Namepolicy_name이 Security Gateway가 마지막으로 가져온 정책 이름.My_Perimeter
Process MD5process_md5공격을 일으킨 프로세스의 MD5 해시.d41d8cd98f00b204e9...
Process Nameprocess_name공격을 일으킨 프로세스 이름.bot.exe
Process Usernameprocess_username공격을 일으킨 프로세스의 소유자 사용자명.johndoe
Product Familyproduct_familySoftware Blade 패밀리 이름.Threat
Product Versionclient_version컴퓨터에 설치된 SandBlast Agent 클라이언트 빌드 버전.80.85.7076
Protection Nameprotection_name공격 시그니처의 구체적 이름.'Exploited doc document'
Protection Typeprotection_type공격 탐지에 쓰인 보호 유형.SMTP Emulation
Reasonreason공격을 탐지·차단한 이유.Internal error occurred, could not connect to cws.checkpoint.com:80...
Recipientto목적지 이메일 주소.recipient@example.com
Remediated Filesremediated_files감염을 성공적으로 정리했을 때 복구된 파일 목록.malicious.exe, dropper.exe
Resourceresource악성 요청의 URL·도메인·DNS.www[.]maliciousdomain[.]xyz
Riskfile_riskThreat Extraction이 의심 콘텐츠를 찾았을 때 위험도.4
Scopescope규칙에 정의된 보호 범위(Protected scope).192.168.1.3
Senderfrom출발지 이메일 주소.sender@example.com
Serviceservice_name프로토콜과 목적지 포트.http [tcp/80]
SeverityseverityCheck Point ThreatCloud 기반 사고 심각도.High
Sourcesrc공격 출발지 IP 주소.91.2.22.28
Source IP-phonesrc_phone_number출발지 모바일 기기의 전화번호.15712244010
Source Ports_port연결의 출발지 포트.35125
SSIDssidSandBlast Mobile에서 의심·악성 이벤트가 발견된 Wi-Fi 네트워크 이름.Airport_Free_Wifi
SubjectsubjectCheck Point가 검사한 이메일 제목.invoice #43662
Suppressed logssuppressed_logs한 버스트(burst) 안의 악성 연결 시도 수. 버스트는 출발지·목적지·프로토콜이 모두 같은 연결 시도가 아주 짧은 시간에 반복된 것.72
Suspicious Contentscrubbed_contentThreat Extraction이 제거한 콘텐츠.Embedded Objects:
System Appsystem_app탐지된 앱이 기기 ROM에 설치되어 있는지 여부.False
Threat Extraction Activityscrub_activitySecurity Gateway가 찾아 정리한 위험 활성 콘텐츠 설명.Active content was found - DOCX file was converted to PDF
Threat Profilesmartdefense_profile다른 블레이드와 따로 관리될 때의 IPS 프로파일 이름.Recommended_IPS_internal
Timetime로그가 생성된 타임스탬프.7th july 2018 22:27
Total Attachmentstotal_attachments이메일의 첨부 파일 수.3
Triggered Bytriggered_by보호 적용을 촉발한 메커니즘 이름.SandBlast Anti-Ransomware
Trusted Domaintrusted_domain피싱 이벤트일 때 공격자가 사칭한 도메인.www.checkpoint.com
Typetype로그 유형.log
Vendor Listvendor_list악성 URL 판정을 제공한 벤더 이름.Check Point ThreatCloud
Verdictverdict악성 활동·파일의 판정.Malicious
Vulnerable OSdetected_on파일을 악성으로 판정한 에뮬레이터.Win7 Office 2013 Adobe 11 ...

명령줄 참조·커널 파라미터·커널 디버그

Threat Prevention의 명령줄과 커널 수준 작업은 별도의 전용 문서에서 다룹니다. 원문도 여기서는 해당 문서로 안내만 합니다.

  • Command Line Reference — Threat Prevention 관련 CLI 명령은 R82 CLI Reference Guide 를 참고하세요.
  • Working with Kernel Parameters(커널 파라미터 다루기)R82 Quantum Security Gateway Guide > "Working with Kernel Parameters" 장을 참고하세요.
  • Kernel Debug(커널 디버그)R82 Quantum Security Gateway Guide > "Kernel Debug on Security Gateway" 장을 참고하세요.

커널·디버그 작업에 알아 둘 용어

커널 파라미터와 커널 디버그를 다루기 전에, Threat Prevention이 도는 게이트웨이 데이터 평면(data plane)의 구조 를 이루는 핵심 용어를 짚어 둡니다. 이 개념들은 위에서 안내한 R82 Quantum Security Gateway Guide의 커널 장에서 본격적으로 쓰입니다.

용어
CoreXL멀티코어 플랫폼에서 여러 Check Point 방화벽 인스턴스를 여러 CPU 코어에 병렬 로 돌려 성능을 높이는 기술입니다.
CoreXL Firewall InstanceCoreXL을 켜면 방화벽 커널이 여러 벌 복제되고, 복제본(=방화벽 인스턴스)마다 한 CPU 코어에서 돕니다. 각 인스턴스는 완전하고 독립적인 방화벽 검사 커널 로, 동시에 트래픽을 처리합니다.
CoreXL SNDSecure Network Distributer. 네트워크 인터페이스에서 들어오는 트래픽을 받아, (SecureXL이 켜져 있으면) 허가된 패킷을 가속하고, 가속되지 않는 패킷을 방화벽 인스턴스들에 분배 합니다. 분배는 출발지 IP·목적지 IP·IP 프로토콜 종류를 기준으로 정적으로 정해지며, 연결의 첫 패킷에서 결정됩니다.
SecureXL게이트웨이를 지나는 IPv4·IPv6 트래픽을 가속 하는 Check Point 기술입니다.
Expert ModeGaia에서 전체 시스템 root 권한 을 주는 상위 명령줄 셸. 커널 파라미터·디버그 작업은 대부분 Expert mode에서 합니다.

정리하면, 이 장의 요지는 Cyber Attack View로 허용·차단된 공격을 벡터별로 분석하고, MITRE ATT&CK으로 공격자의 기법·전술을 표준 언어로 읽어 내며, 로그 필드 참조로 개별 로그를 정확히 해석하고, CLI·커널 참조로 더 깊이 파고든다 는 것입니다.