N2SF-IN-16: 악성코드 감염 차단
정보시스템 구성요소 (Information System Component) · 제6장 정보자산
기본 정보
보안통제 설명
악성코드 유입 및 실행 등으로 인한 악성코드 감염을 실시간 탐지하고 차단한다.
관련 로그 스키마 (17)
-
엑소스피어 악성코드 경보
high
엔드포인트 안티바이러스의 악성코드 탐지명, 파일경로, 대응결과를 통해 악성코드 감염 탐지·차단 통제의 실제 이행 여부를 직접 확인할 수 있다.
-
엑소스피어 악성코드 검사
high
엔드포인트 안티바이러스의 예약·수동 검사 이력과 탐지·격리·치료 결과를 통해 악성코드 감염 차단 통제의 수행 여부를 직접 확인할 수 있다.
-
엑소스피어 랜섬웨어 파일변조 차단
high
엔드포인트에서 랜섬웨어 프로세스의 보호파일 변조 시도를 탐지·차단한 로그이므로 악성코드 감염 차단 통제의 이행 여부를 직접 확인할 수 있다.
-
엑소스피어 랜섬웨어 실행 차단
high
엔드포인트에서 랜섬웨어 프로세스의 실행을 탐지·차단한 이력은 악성코드 감염 차단 통제의 직접적인 운영 증적이 된다.
-
지니안 EDR 모듈 로그
high
EDR 모듈 로그의 프로세스, 파일 경로, 해시(MD5/SHA256), 이벤트 분류 정보로 악성코드 실행·감염 징후를 직접 탐지하고 추적할 수 있다.
-
지니안 EDR 프로세스 로그
high
EDR 프로세스 로그는 악성 프로세스 실행, 비정상 부모-자식 체인, 의심 명령줄 등을 탐지해 악성코드 감염 징후 확인에 직접 활용된다.
-
지니안 EDR 레지스트리 로그
medium
악성코드가 지속성 확보나 보안설정 약화를 위해 수행하는 레지스트리 변조 행위를 EDR 레지스트리 로그로 모니터링할 수 있다.
-
지니안 EDR 파일 로그
high
EDR 파일 로그는 의심 파일의 해시, 경로, 실행 프로세스 연계를 제공하므로 악성코드 유입 및 실행 흔적을 탐지·분석하는 데 직접적이다.
-
지니안 EDR DNS 로그
medium
DNS 요청을 발생시킨 프로세스명과 경로를 통해 악성코드의 도메인 접속 행위를 추적하여 감염 징후 탐지와 대응을 지원할 수 있다.
-
지니안 EDR 위협 로그
high
EDR 위협 로그는 악성코드 탐지분류, 패턴명, 해시, 대응 결과를 제공하므로 엔드포인트의 악성코드 감염 탐지·차단 운영 여부를 직접 확인할 수 있다.
-
Sysmon DNS 쿼리
medium
악성 프로세스의 의심 도메인 조회 행위를 식별하여 악성코드 감염 징후를 탐지하고 후속 차단·대응 근거로 활용할 수 있다.
-
Sysmon 파일 생성
medium
악성 프로세스의 드롭 파일 생성이나 시스템 경로 내 비정상 파일 생성 패턴을 분석해 악성코드 감염 징후를 탐지할 수 있다.
-
Sysmon 파일 스트림 생성
high
파일 스트림 생성 시 다운로드 URL, ZoneId, 해시를 통해 인터넷 유입 파일의 악성코드 감염 징후를 직접 탐지할 수 있다.
-
Sysmon 파일 생성 시각
medium
악성코드가 은폐를 위해 파일 생성 시각을 조작하는 경우가 있어 해당 이벤트는 감염 징후 탐지와 분석에 유용하다.
-
Sysmon 프로세스
medium
악성 행위에 사용되는 비정상 프로세스 실행, 의심 명령줄, 알려진 악성 해시를 탐지해 악성코드 감염 징후 분석을 지원한다.
-
Sysmon 프로세스 접근
medium
악성코드가 다른 프로세스에 핸들을 열거나 메모리 접근을 시도하는 행위를 Sysmon 이벤트 10으로 포착해 감염 징후 탐지에 활용할 수 있다.
-
Sysmon 이미지 로드
medium
악성 DLL이나 DLL 하이재킹 징후를 프로세스별 모듈 로드 행위로 탐지해 악성코드 감염 징후 분석을 지원한다.