CrowdStrike Falcon 솔루션이 엔드포인트에서 임의의 공격 기법을 탐지하면 이벤트가 발생합니다.

개요

• 중요도: 중
• 유형: 실시간 탐지
• 로그 스키마: CrowdStrike Falcon 탐지 (crowdstrike-falcon-detect)
• 대상 수집모델
  • CrowdStrike Falcon (Syslog)

쿼리

호스트명 (hostname), 공격명 (signature), 명령줄 (cmd_line)이 비어있지 않은 모든 로그에 대해 탐지합니다.

| search isnotnull(hostname) and isnotnull(signature) and isnotnull(cmd_line)

메시지

• $hostname 호스트에서 $signature 탐지 ($cmd_line)

출력 필드 순서

• _log_time, risk, event_name, emp_key, emp_name, nt_domain, hostname, user, cmd_line, category, signature, action, msg, objective, file_name, file_path, md5, access_file_name, access_file_path, access_file_time, output_file_name, output_file_path, output_file_time, pguid, ppguid, offset, falcon_host_link

위협 분석

• CrowdStrike Falcon 탐지 로그는 원본 자체가 MITRE ATTACK TTP 기준에 맞춰져 있으므로, 별도 구분 없이 모든 CrowdStrike Falcon의 탐지 로그를 로그프레소 이벤트로 탐지합니다.

오탐 유형

• CrowdStrike Falcon에서 정상적인 사용자의 행위를 공격으로 오진할 수 있습니다.

대응 방안

• 동일 호스트에 대해 여러 MITRE ATTACK 전술이 탐지되는 경우는 사고 가능성이 높으므로 유의하여 분석하고 침해가 발생한 경우에는 대응 조치해야 합니다.
  • 이 경우에는 CrowdStrike Falcon도 사고(Incident)로 판단하여 경보할 수 있습니다.

MITRE ATT&CK

모든 유형의 MITRE ATTACK TTP가 탐지될 수 있습니다.