SOLUTION


TXHunter 제품은 엔드포인트 침해 조사를 자동으로 수행합니다. 

TXHunter는 위협 사고 조사를 자동으로 수행하기 위해 사용하기 쉽고 편리한 도구를 제공합니다. 어떤 엔드포인트 시스템이나 서버가 공격을 당했다고 의심되면 TXHunter는 의심스러운 시스템의 스냅샷을 찍고 사건 조사를 자동으로 수행 할 수 있습니다. 조사 프로세스에서 의심스러운 파일이나 URL 링크를 식별 하면 행동 분석을 위해 자동으로 TXSandbox가 실행됩니다 . TXHunter의 주요 이점 중 하나는 사전 공격 및 악성 프로그램 분석을 수행하는데 필요한 기술 수준을 줄이고 분석 프로세스를 가속화하며 핵심 방어를 우회 할 수 있는 고급 위협 요소를 식별하는데 도움이 된다는 것입니다.


TXHunter 운영 방식 

위협 헌팅(threat hunting) 프로그램의 주요 목표는 외부 위협에 대한 노출을 줄이고, 위협 대응의 속도와 정확도를 향상시켜 데이터 침해 사건의 심각성과 횟수를 줄이는 것입니다. 이 사이클은 일반적으로 (a) 준비(Preparation), (b) 식별(Identification), (c) 봉쇄(Containment), (d) 제거(Eradication), (e) 복구(Recovery) 및 (f) 학습(Lessons)의 6단계 프로세스입니다. 더 많은 툴을 구축하고 폭발적으로 증가하는 데이터 볼륨에 액세스할 수 있음에도 불구하고 사이버 보안 분석 및 운영이 점점 더 어려워지고 있으며 이러한 툴을 사용할 수 있을 만큼 훈련되고 경험이 풍부한 엔지니어의 수가 수요를 충족하기에 충분하지 않다는 것이 당면 과제입니다. 


TriagingX에서는 자동화되고 이해하기 쉬운 심층 분석을 통해 헌팅 솔루션이 정보 보안팀의 인적 정보와 경험을 향상시켜야 한다고 생각합니다. 우리의 철학은 (알려진 IOC에 의존하지 않는) 초기 징후로부터 공격을 탐지하는 것입니다. 다른 연결된 시스템의 약점을 찾아 사용 및 적응하는 공격 방법을 학습합니다. 이렇게 함으로써, 우리는 공격자가 행동하기 전에 약점을 고칠 수 있습니다. 


TXHunter는 매우 집중적인 위협 사건 조사를 원격으로 수행하는데 사용되는 새로운 세대의 기계 지원 헌터입니다. 조사할 엔드포인트는 TXHunter에게만 알리고, 데이터를 수집하기 위해 일회용 런타임 에이전트를 다운로드하고 분석을 대기하면 됩니다. 에이전트가 의심스러운 시스템의 스냅샷을 작성하여 자동으로 사건 조사를 수행합니다. 조사 프로세스에서 의심스러운 파일이나 URL 링크를 식별하면 동작 분석을 위한 기본 제공 샌드박스 기능이 자동으로 시작됩니다. 또한 타사 엔진 및 인텔리전스와 통합되어 감지된 개체에 대한 추가 컨텍스트를 제공합니다. 약 5분에서 10분 이내에 TXHunter는 엔드포인트가 감염되었는지 또는 해킹되었는지, 해당 작업의 심각도 수준 및 모든 지원 데이터를 정확하게 답변합니다.


TXHunter 특ㆍ장점 

내장 인텔리전스 및 자동 분석 기능 제공

에이전트가 의심스러운 시스템의 스냅샷을 작성하여 자동으로 사건 조사를 수행합니다. 조사 프로세스에서 의심스러운 파일 또는 URL 링크를 식별하면 동작 분석을 위한 기본 제공 TXSandbox 기능이 자동으로 시작됩니다. 또한 타사 엔진 및 인텔리전스와 통합되어 감지된 개체에 대한 추가 컨텍스트를 제공합니다. 약 5-10분 후에 TXHunter는 엔드포인트가 감염되었는지 또는 해킹되었는지, 특정 공격의 심각도 수준 및 모든 지원 데이터에 대한 정확하고 명확한 답변을 제공합니다. TXHunter의 지능형 엔진은 위협 조사 중에 발견된 모든 새로운 발견을 통해 학습되며, 선택적으로 실행이 예정된 엔드포인트 시스템에 경량 패시브 에이전트로 배포될 수 있습니다. 


IOC가 아닌 행동에 집중

공격자는 감염된 호스트당 고유한 코드(예: 고유한 IP 및/또는 고유한 파일 해시)를 사용하여 알려진 관찰자/IOC(Indicators of Compromise)의 탐지를 방지하는데 점점 더 현명해지고 있습니다. 따라서 오늘날 흔히 수집되는 정적 IOC의 상당수는 역사적이며 깨지기 쉽습니다. 대신 위협 사냥 도구는 공격자 기술 및 이상 징후, 즉 위협 행위자 전술, 기술 및 절차(TTP)에 초점을 맞춥니다. TXHunter는 정적 IOC가 아닌 시스템 동작을 수집하고 분석하는데 초점을 맞추고 있습니다. 


증거 추출

TXHunter는 메모리 및 파일 분석 및 위협 평가 프로파일 개발을 통해 악의적인 활동의 징후를 검색할 수 있는 조사 기능을 제공합니다. 연결된 TXHunter 서버는 여러 TXSandbox 가상 시스템 인스턴스를 사용하여 트라이어리지 프로세스와 관련된 의심스러운 파일 및 URL에 대한 동작 분석을 수행합니다. TXHunter는 통합 분석을 위해 타사 보안 정보에 액세스할 수도 있습니다. 서버가 정찰 활동이나 단서를 탐지하면 의심스러운 행동을 억제하기 위해 SOC/인시던트 팀에 요약 보고서를 생성합니다.


TXHunter 수집 대상 

TXHunter는 조사중인 시스템에서 자동으로 시스템, 프로세스, 네트워크, 자동 실행, 이벤트, 정책, 파일 및 커널 정보를 수집합니다. 이 데이터는 의심스러운 활동에 대해 분석되며 발견 된 모든 관련 파일 오브젝트는 완전한 동적 분석을 위해 서버에 업로드 됩니다.


  1. 시스템: 시스템 정보, 메모리 정보, 이름, CPU 모델 등 
  2. 프로세스: 프로세스의 프로세스 정보, 프로세스 ID 및 상위 ID, 프로세스 이름 및 명령줄 등 실행 
  3. 네트워크: 프로세스 및 열린 포트의 네트워크 연결 정보, 원격 연결 IP 주소, 로컬 바인딩 포트 
  4. 자동 실행: 시스템이 부팅될 때 자동으로 실행될 수 있는 시스템 시작 응용 프로그램 및 서비스 
  5. 이벤트: Windows 시스템 및 응용 프로그램 로그 
  6. 정책: 들어오고 나가는 네트워크 연결을 허용하는 윈도우즈 방화벽 규칙 
  7. 파일: 사용자가 이전에 열거나 실행한 파일 
  8. SysModule: 시스템에 설치된 Windows 드라이버 
  9. KernelInfo: IDT, GDT, SSDT, 섀도 SSDT, 숨겨진 프로세스 정보 등을 보고
제품 및 기술관련 문의

제품구입 및 기술관련 문의는 아래의 연락처로 연락 주시면 빠르고 친철하게 답변 드리겠습니다.

전화번호 : 02-857-5844 / E-mail : sales@tigkorea.com

서울시 영등포구 경인로 775(문래동3가)
에이스하이테크시티 1동 815호
전화 : 02-857-5844 / 팩스 : 02-857-5845
대표자 : 허진석 / 개인정보관리책임자 : 송대혁
사업자등록번호 : 119-86-60344