새로운 사고 대응 기능
Cellebrite는 컴퓨터 수집을 위한 다음과 같은 새로운 사고 대응 기능을 발표하게 된 것을 기쁘게 생각합니다.
YARA 규칙 지원
YARA 규칙을 사용하여 컴퓨터에서 수집
YARA 규칙 지원
Cellebrite는 Endpoint Inspector에서 사건 대응 수집을 위한 YARA 규칙을 도입하게 된 것을 기쁘게 생각합니다. 이러한 규칙은 텍스트 또는 이진 패턴을 기반으로 맬웨어군을 설명합니다. YARA 규칙을 사용하여 사고 대응자는 맬웨어 및 보안 위협을 식별하고 탐지하는 컴퓨터 컬렉션을 정의할 수 있습니다.
YARA 규칙은 원격 컴퓨터에 있는 파일의 내용을 검사합니다. 따라서 많은 양의 규칙을 선택하면 에이전트가 많은 리소스를 소비할 수 있습니다. 파일 경로를 지정하여 YARA 규칙 검색 범위를 제한할 수 있습니다.
Windows 컴퓨터용 YARA 규칙 세트는 이미 ReversingLabs에서 엔드포인트 서버로 로드되었습니다 (https://github.com/reversinglabs/reversinglabs-yara-rules).
YARA 규칙 가져오기
GitHub와 같은 사이트, 조직에서 이미 사용하는 규칙 또는 직접 작성한 규칙에서 추가 규칙을 가져올 수 있습니다.
YARA 규칙을 사용하여 컴퓨터에서 수집
사건 대응을 위한 컴퓨터 컬렉션을 정의할 때 조사관은 규칙 카테고리를 선택한 다음 Select YARA Rule Sets 대화 상자의 목록에서 규칙 세트를 선택할 수 있습니다. YARA 규칙에 응답하는 파일도 수집하려면 Collect Responsive Files 확인란을 선택합니다.
YARA 규칙이 포함된 컴퓨터 컬렉션의 세부 정보 페이지에서 해당 규칙을 볼 수 있습니다. 결과 보고서는 텍스트 파일입니다. 반응형 파일 수집을 선택하면 반응형 파일과 폴더가 포함된 L01 파일이 생성됩니다.
컴퓨터에서 사고 대응 파일 수집
이제 인시던트 대응을 위한 공통 대상에 초점을 맞춘 컴퓨터 컬렉션 및 템플릿을 정의하기가 더 쉬워졌습니다. 수집 대상으로 지정할 휘발성 데이터 유형을 정확히 선택할 수 있습니다. YARA 규칙을 사용하여 파일을 수집할 수도 있습니다. 결과 컬렉션은 L01 파일입니다. Endpoint Inspector는 이러한 파일을 수집할 수 있으므로 인시던트 대응 컬렉션의 항목을 검사할 수 있습니다.
Mac 컴퓨터를 위한 새로운 기능
Mac 컴퓨터를 위한 다음 기능을 소개하게 되어 기쁩니다.
Mac 컴퓨터 이미지 수집
Mac 컴퓨터로 모바일 데이터 수집
Mac 컴퓨터 이미지 수집
Mac 컴퓨터용 Endpoint 모바일 에이전트를 소개하게 되어 기쁩니다. 이 모바일 에이전트는 iOS 및 Android 장치 모두에서 정보를 수집할 수 있습니다. 먼저 관리자는 Mac 모바일 에이전트용 설치 관리자를 Endpoint 서버에 업로드해야 합니다.
그런 다음 심사관은 정상적으로 모바일 컬렉션을 만들 수 있습니다. 관리인의 컴퓨터가 실행되는 플랫폼을 알거나 지정할 필요가 없습니다. Windows 컴퓨터를 사용하여 모바일 데이터를 수집할 때와 마찬가지로 관리인은 모바일 수집을 시작하는 데 필요한 정보가 포함된 자동 이메일 메시지를 받습니다. 이 이메일 메시지에서 모바일 애플리케이션 링크를 클릭하면 기본 웹 브라우저에서 에이전트 다운로드 페이지가 열립니다. 여기에서 관리인은 웹 브라우저의 지침에 따라 수집 프로세스를 완료합니다.
운영 체제 색인 검색
파일을 수집하기 위해 컴퓨터 컬렉션을 정의할 때 이제 키워드를 사용하여 운영 체제의 색인을 검색할 수 있습니다. macOS에서 인덱스는 Spotlight입니다. Windows에서 색인은 검색입니다.
컴퓨터 컬렉션의 OS 인덱스 검색에는 다음과 같은 이점이 있습니다.
수집된 파일의 양이 줄어들고 수집이 더 빨리 완료됩니다.
수집된 파일은 관련성이 높을 가능성이 높으므로 의미 있는 통찰력을 얻는 시간이 단축됩니다.
Endpoint Inspector는 인덱싱, 검색 및 수집되는 항목에 대해 투명하므로 방어 가능한 결과를 생성합니다.
OS 인덱스 검색 키워드
OS 색인 검색은 대소문자를 구분하지 않습니다. 각 키워드는 한 줄에 있어야 합니다. 심사관은 이름이나 텍스트 콘텐츠에 제공된 키워드 중 모두 또는 적어도 하나에 대한 정확한 일치가 결과에 포함되는지 여부를 선택할 수 있습니다. 키워드는 부분 단어 또는 구문일 수 있으며 별표(*)를 와일드카드로 포함할 수 있습니다. 심사관은 키워드 목록을 입력하거나 로드할 수 있습니다.
Mac용 컴퓨터 에이전트 설치 요구 사항
이는 원격 M1 및 M2 Mac 컴퓨터에서 메모리 수집을 활성화하기 위한 요구 사항입니다. 이러한 컴퓨터에 컴퓨터 수집 에이전트를 설치할 때 복구 환경에서 타사 커널 확장(kext)을 활성화해야 합니다. 이러한 컴퓨터의 사용자는 컴퓨터를 두 번 다시 시작해야 하는 이 프로세스에 참여해야 합니다.
이 메모리 kext 설치에 실패하면 kext가 로드되지 않도록 원격 Mac 컴퓨터의 config.json 파일이 업데이트됩니다. 즉, 이러한 컴퓨터에서 컬렉션을 만들 수는 있지만 메모리 수집 시도는 성공할 수 없습니다.
