월간 보고서 이해하기
개요
Sophos MDR 보호 등급은 구현된 보안 상태 개선 권장 사항과 구현되지 않은 보안 상태 개선 권장 사항을 비교하여 종합적으로 분석한 것입니다.
Sophos 계정 상태 검사 권장 사항에는 자격 증명 도용 방지 또는 권한 상승으로부터 보호하기 위한 악용 방지 기능 사용 또는 명령 및 제어 서버와의 통신을 방해하는 악성 트래픽 감지 기능 사용 등이 포함될 수 있습니다. 계정 상태 검사는 보안 상태를 선제적으로 개선하고 보안 기능에 부정적인 영향을 줄 수 있는 약점을 해결하는 데 사용됩니다.
전체 보호 등급은 다음 중 하나입니다.
- 녹색: 최적(권장 모범 사례를 완전히 준수)
- 노란색: 성능 저하(일부 구성은 위험을 증가시키지만 MDR 서비스의 효과에는 영향을 미치지 않음)
- 빨간색: 주의 필요(MDR 서비스가 최적의 수준에서 작동하지 못하도록 하는 여러 고위험 구성이 있음)
배포된 총 라이선스는 Central의 라이선스 페이지로 이동할 수 있는 링크와 함께 라이선스 사용 정보를 제공합니다.
이벤트 파이프라인은 Sophos를 통해 전달되는 데이터의 전체 환경 및 MDR 서비스가 데이터를 관리 및 처리한 방법을 시각적으로 보여줍니다.
사례
월별 보고서에는 사례 유형 및 시간에 따른 감지 출처를 시각화하는 데 도움이 되는 추세선에 대한 3개월(90일) 동안의 사례 지표가 포함됩니다.
또한 이번 달의 상태별 사례 지표도 분석되어 있습니다.
사례 활동에는 현재 진행 중인 사례 및 최근에 해결된 사례, 사례 번호, 사례 유형, 간단한 설명 및 요약, 사례 상태가 나열되어 있습니다.
총 감지 수
MDR Ops 팀은 보고서에 표시되는 감지 볼륨에 자연스럽게 변동을 유발할 수 있는 감지 기능을 지속적으로 개선하고 있습니다. 이러한 조정은 위협을 식별하는 데 제한적인 가치를 제공하는 감지를 무시하거나 새롭게 등장하는 위협을 식별하기 위해 범위와 가시성을 늘리기 위한 것일 수 있습니다.
현재 환경에서 총 위협 감지 수가 증가, 감소 또는 동일하게 유지됩니까? 이 섹션은 한 달 동안 관찰된 총 감지 볼륨에 대한 정보를 제공하고 MDR Ops 팀이 잠재적인 악의적 활동에서 변곡점을 식별할 수 있도록 도움을 줍니다.
총 감지는 월별 및 심각도별로 분류됩니다. 이 보고서에는 월별 비교를 위해 3개월간의 데이터가 포함됩니다.
감지 분류 요약
MDR 감지는 네트워크에서 관찰되는 감지의 전체 유형을 이해하는 데 도움이 되도록 상위 수준 범주로 분류됩니다. 일반적인 공격 도구, PowerShell 실행 및 지속성을 예로 들 수 있습니다. 모든 감지와 마찬가지로, 이런 감지는 본질적으로 의심스럽거나 악의적인 활동을 나타내는 것은 아니며 수집된 양성 데이터와 관련이 있을 수 있습니다.
MITRE ATT&CK 프레임워크
MDR 감지는 실제 관찰을 바탕으로 악의적 동작에 대해 널리 사용되는 참조 자료인 MITRE ATT&CK 프레임워크의 특정 기법에 매핑됩니다. 월간 보고서의 이 섹션에서 감지 결과를 백분율로 세분화하여 볼 수 있습니다.
모든 감지와 마찬가지로, 이런 감지가 반드시 악의적인 활동을 나타내는 것은 아니며 양성 동작이라도 악의적 전술과 기법에 부합할 수 있습니다. 또한 MDR 사례의 총 수가 관찰된 악의적 전술의 총 수와 같지 않을 수도 있다는 점도 유의해야 합니다. 하나의 MDR 사례에서 여러 개의 악의적 전술이 관찰될 수 있으며, 결과적으로 전술의 수가 MDR 사례의 총 수보다 많을 수 있습니다. 반대로, MDR 사례는 악의적 전술과 관련 없이 생성될 수도 있으며(예: 상태 검사 사례), 결과적으로 MDR 사례의 총 수가 악의적 전술의 총 수보다 많을 수 있습니다.
통합별 감지
MDR 통합은 MDR 운영자가 가장 중요한 데이터를 손쉽게 사용할 수 있도록 하여 공격자가 숨어 있을 공간을 줄입니다. 통합별 감지는 어떤 통합이 감지를 생성했는지를 나타냅니다.
추가 Sophos MDR 활동에는 가장 최근에 수행한 대응 조치 및 고객 담당자와의 커뮤니케이션 목록이 있습니다.
