Menlo Security

다운로드 12
업데이트 2024. 8. 4.

맬웨어 다운로드

Menlo Security Isolation Platform이 사용자의 맬웨어 다운로드를 탐지하면 이벤트가 발생합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Menlo Security Web Access
  • 대상 수집모델
    • Menlo Security Web Access

쿼리

요청 유형이 file_download 이고 공격명 분류가 Malware 인 웹 접근 로그에 대해 탐지합니다.

| search req_type == "file_download" and category == "Malware"

메시지

  • 맬웨어 다운로드: 사용자 $user, 도메인 $domain

출력 필드 순서

  • _log_time, risk, risk_tally, user, req_type, site_category, domain, src_ip, dst_ip, dst_addrs, egress_ip, category, signature, action, reason, status, method, url, top_url, app, is_iframe, has_password, is_inconsistent_domain, num_subfiles, file_size, content_type, browser_version, user_agent_type, user_agent, referer

위협 분석

  • 다운로드한 맬웨어 파일을 실행하는 경우 랜섬웨어에 감염되거나, 기밀 정보가 유출될 수 있습니다.

오탐 유형

  • Menlo Security 격리 플랫폼이 정상 파일을 악성코드로 오탐지할 수 있습니다.

대응 방안

  • Malware 탐지 시 Isolate 대응하고 있는 경우, Block 으로 정책을 변경하는 방안을 검토합니다.
  • Menlo Security 어드민 콘솔 로그인 후 Policy > Web > Threats 메뉴로 이동하여 Malware에 대한 정책을 Block으로 변경할 수 있습니다.

MITRE ATT&CK