N2SF-EB-6: 외부로의 사이버 위협 통신 발신 제한
외부경계 (External Boundary) · 제4장 통제
기본 정보
보안통제 설명
내부에서 외부 네트워크에 사이버 위협을 가하는 발신(outbound) 통신을 탐지 및 차단하고, 발신자(사용자 및 정보자산 등)를 식별한다.
관련 로그 스키마 (8)
-
엑소스피어 웹 필터
high
엔드포인트의 악성사이트 접속 시도와 차단 여부를 사용자·호스트 단위로 확인할 수 있어 외부 위협 통신 발신 제한 통제를 직접 모니터링할 수 있다.
-
지니안 EDR 네트워크 로그
high
엔드포인트별 프로세스의 외부 발신 통신 대상, 포트, 전송량을 확인할 수 있어 위협성 outbound 통신 탐지와 발신 주체 식별에 직접 활용된다.
-
지니안 EDR DNS 로그
high
악성 프로세스의 C2 도메인 조회나 위협 도메인 질의를 호스트·프로세스 기준으로 식별해 외부 위협 통신 발신 징후를 탐지할 수 있다.
-
지니안 EDR 위협 로그
high
원격 IP·포트, 방향, 프로토콜, 프로세스 정보를 통해 엔드포인트의 외부 위협 통신 발신 행위와 해당 발신 주체를 식별할 수 있다.
-
MNX DNS
high
내부 자산의 DNS 질의 대상 도메인, 응답 IP, 국가·ASN 정보를 분석해 C2·피싱·악성 도메인 등 외부 위협 통신 발신을 탐지하는 데 직접 활용된다.
-
MNX HTTP
high
출발지/목적지 IP, HTTP 요청 경로, 공격·봇 분류와 CVE 정보로 내부 자산의 외부 위협 발신 통신 여부를 직접 탐지하고 식별할 수 있다.
-
Sysmon DNS 쿼리
high
프로세스별 DNS 질의 도메인과 사용자·호스트 정보를 통해 악성코드의 C2·피싱·위협 인프라로 향하는 외부 위협 통신 시도를 탐지할 수 있다.
-
Sysmon 네트워크 접속
high
프로세스별 출발지·목적지 IP/포트와 사용자 정보를 통해 단말에서 외부로 발생하는 위협성 발신 통신을 직접 식별할 수 있다.