top of page

[Release News] Cellebrite Endpoint Inspector 1.7, Inspector 10.7.2

최종 수정일: 2023년 7월 31일






새로운 사고 대응 기능

Cellebrite는 컴퓨터 수집을 위한 다음과 같은 새로운 사고 대응 기능을 발표하게 된 것을 기쁘게 생각합니다.

  • YARA 규칙 지원

  • YARA 규칙을 사용하여 컴퓨터에서 수집

YARA 규칙 지원

Cellebrite는 Endpoint Inspector에서 사건 대응 수집을 위한 YARA 규칙을 도입하게 된 것을 기쁘게 생각합니다. 이러한 규칙은 텍스트 또는 이진 패턴을 기반으로 맬웨어군을 설명합니다. YARA 규칙을 사용하여 사고 대응자는 맬웨어 및 보안 위협을 식별하고 탐지하는 컴퓨터 컬렉션을 정의할 수 있습니다.


YARA 규칙은 원격 컴퓨터에 있는 파일의 내용을 검사합니다. 따라서 많은 양의 규칙을 선택하면 에이전트가 많은 리소스를 소비할 수 있습니다. 파일 경로를 지정하여 YARA 규칙 검색 범위를 제한할 수 있습니다.


Windows 컴퓨터용 YARA 규칙 세트는 이미 ReversingLabs에서 엔드포인트 서버로 로드되었습니다 (https://github.com/reversinglabs/reversinglabs-yara-rules).


YARA 규칙 가져오기

GitHub와 같은 사이트, 조직에서 이미 사용하는 규칙 또는 직접 작성한 규칙에서 추가 규칙을 가져올 수 있습니다.


YARA 규칙을 사용하여 컴퓨터에서 수집

사건 대응을 위한 컴퓨터 컬렉션을 정의할 때 조사관은 규칙 카테고리를 선택한 다음 Select YARA Rule Sets 대화 상자의 목록에서 규칙 세트를 선택할 수 있습니다. YARA 규칙에 응답하는 파일도 수집하려면 Collect Responsive Files 확인란을 선택합니다.


YARA 규칙이 포함된 컴퓨터 컬렉션의 세부 정보 페이지에서 해당 규칙을 볼 수 있습니다. 결과 보고서는 텍스트 파일입니다. 반응형 파일 수집을 선택하면 반응형 파일과 폴더가 포함된 L01 파일이 생성됩니다.


컴퓨터에서 사고 대응 파일 수집

이제 인시던트 대응을 위한 공통 대상에 초점을 맞춘 컴퓨터 컬렉션 및 템플릿을 정의하기가 더 쉬워졌습니다. 수집 대상으로 지정할 휘발성 데이터 유형을 정확히 선택할 수 있습니다. YARA 규칙을 사용하여 파일을 수집할 수도 있습니다. 결과 컬렉션은 L01 파일입니다. Endpoint Inspector는 이러한 파일을 수집할 수 있으므로 인시던트 대응 컬렉션의 항목을 검사할 수 있습니다.



Mac 컴퓨터를 위한 새로운 기능

Mac 컴퓨터를 위한 다음 기능을 소개하게 되어 기쁩니다.

  • Mac 컴퓨터 이미지 수집

  • Mac 컴퓨터로 모바일 데이터 수집

Mac 컴퓨터 이미지 수집

Mac 컴퓨터용 Endpoint 모바일 에이전트를 소개하게 되어 기쁩니다. 이 모바일 에이전트는 iOS 및 Android 장치 모두에서 정보를 수집할 수 있습니다. 먼저 관리자는 Mac 모바일 에이전트용 설치 관리자를 Endpoint 서버에 업로드해야 합니다.


그런 다음 심사관은 정상적으로 모바일 컬렉션을 만들 수 있습니다. 관리인의 컴퓨터가 실행되는 플랫폼을 알거나 지정할 필요가 없습니다. Windows 컴퓨터를 사용하여 모바일 데이터를 수집할 때와 마찬가지로 관리인은 모바일 수집을 시작하는 데 필요한 정보가 포함된 자동 이메일 메시지를 받습니다. 이 이메일 메시지에서 모바일 애플리케이션 링크를 클릭하면 기본 웹 브라우저에서 에이전트 다운로드 페이지가 열립니다. 여기에서 관리인은 웹 브라우저의 지침에 따라 수집 프로세스를 완료합니다.


운영 체제 색인 검색

파일을 수집하기 위해 컴퓨터 컬렉션을 정의할 때 이제 키워드를 사용하여 운영 체제의 색인을 검색할 수 있습니다. macOS에서 인덱스는 Spotlight입니다. Windows에서 색인은 검색입니다.

컴퓨터 컬렉션의 OS 인덱스 검색에는 다음과 같은 이점이 있습니다.

  • 수집된 파일의 양이 줄어들고 수집이 더 빨리 완료됩니다.

  • 수집된 파일은 관련성이 높을 가능성이 높으므로 의미 있는 통찰력을 얻는 시간이 단축됩니다.

  • Endpoint Inspector는 인덱싱, 검색 및 수집되는 항목에 대해 투명하므로 방어 가능한 결과를 생성합니다.

OS 인덱스 검색 키워드

OS 색인 검색은 대소문자를 구분하지 않습니다. 각 키워드는 한 줄에 있어야 합니다. 심사관은 이름이나 텍스트 콘텐츠에 제공된 키워드 중 모두 또는 적어도 하나에 대한 정확한 일치가 결과에 포함되는지 여부를 선택할 수 있습니다. 키워드는 부분 단어 또는 구문일 수 있으며 별표(*)를 와일드카드로 포함할 수 있습니다. 심사관은 키워드 목록을 입력하거나 로드할 수 있습니다.


Mac용 컴퓨터 에이전트 설치 요구 사항

이는 원격 M1 및 M2 Mac 컴퓨터에서 메모리 수집을 활성화하기 위한 요구 사항입니다. 이러한 컴퓨터에 컴퓨터 수집 에이전트를 설치할 때 복구 환경에서 타사 커널 확장(kext)을 활성화해야 합니다. 이러한 컴퓨터의 사용자는 컴퓨터를 두 번 다시 시작해야 하는 이 프로세스에 참여해야 합니다.


이 메모리 kext 설치에 실패하면 kext가 로드되지 않도록 원격 Mac 컴퓨터의 config.json 파일이 업데이트됩니다. 즉, 이러한 컴퓨터에서 컬렉션을 만들 수는 있지만 메모리 수집 시도는 성공할 수 없습니다.




조회수 37회댓글 3개

최근 게시물

전체 보기
bottom of page