N2SF-IN-2: 비인가 구성요소 식별
정보시스템 구성요소 (Information System Component) · 제6장 정보자산
기본 정보
보안통제 설명
정보시스템 내 비인가 하드웨어, 소프트웨어 및 펌웨어 구성요소를 검사하여 식별한다.
관련 로그 스키마 (9)
-
Criminal IP ASM 도메인 자산
high
신규 발견 도메인과 수집 방식, 초기 도메인 연계 정보를 통해 승인되지 않은 외부 노출 자산이나 섀도우 IT를 식별할 수 있다.
-
Criminal IP ASM OSINT 자산
medium
조직 키워드로 발견된 문서·웹 서버 등 외부 노출 자산은 관리되지 않거나 비인가된 구성요소 존재 여부를 식별하는 단서가 된다.
-
Criminal IP ASM IP 자산
high
신규 자산 여부와 수집된 외부 노출 정보를 통해 승인되지 않은 대외 공개 자산이나 미관리 자산을 식별하는 데 유용하다.
-
엑소스피어 악성코드 경보
medium
악성 또는 원치 않는 프로그램 분류(category/program)와 파일 해시 정보는 엔드포인트 내 비인가 소프트웨어 식별의 근거로 활용될 수 있다.
-
엑소스피어 악성코드 검사
low
검사 중 탐지된 악성 파일이나 의심 항목은 인가되지 않은 소프트웨어 또는 비정상 구성요소 존재를 간접적으로 식별하는 근거가 된다.
-
지니안 EDR 파일 로그
medium
엔드포인트에 생성·변경·존재하는 파일과 관련 프로세스를 분석하면 비인가 소프트웨어나 의심 구성요소 식별을 지원할 수 있다.
-
지니안 NAC 감사 로그
medium
네트워크정보·시스템정보·알람 분류의 감사 로그는 네트워크에 새로 나타난 비인가 자산이나 이상 노드를 식별하는 근거가 된다.
-
Sysmon 파일 생성
medium
비인가 프로세스가 실행 파일이나 관련 파일을 생성하는 행위를 식별해 비인가 소프트웨어 구성요소 존재 여부를 탐지하는 데 활용할 수 있다.
-
Sysmon 이미지 로드
high
비정상 경로, 미서명 DLL, 알려지지 않은 해시의 모듈 로드를 탐지하여 비인가 소프트웨어 구성요소 식별에 활용할 수 있다.