팔로알토 네트웍스 방화벽

다운로드 243
업데이트 2024. 2. 21.

대량 데이터 유출

내부 호스트에서 인터넷 구간으로 대량 데이터 전송 발생 시 탐지합니다.

개요

  • 중요도: 중
  • 유형: 실시간 탐지
  • 대상 수집모델
    • Palo Alto Networks NGFW (Syslog)

쿼리

팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 쿼리를 적용하여 실시간 탐지를 수행합니다.

| search sent_pkts >= 100000000
| search rcvd_bytes > 0
| search sent_bytes >= rcvd_bytes * 10
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| matchnet invert=t field=dst_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f

설명

  • 업로드 세션 분류: 100MB 이상 송신한 세션 중 수신 바이트 대비 송신 바이트 값이 10배 이상인 경우
  • 외부 데이터 유출 분류: 출발지 IP가 내부망 IP 대역이고, 목적지 IP가 내부망 IP 대역이 아닌 세션

참조 객체

  • 내부망 네트워크 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5

위협 분석

  • 공격자는 임의의 네트워크 프로토콜을 통해 인터넷 호스트로 대량의 데이터를 유출할 수 있습니다.
  • 특히 전송 바이트(sent_bytes) 값이 큰 경우 어떤 작업이 있었는지 확인할 필요가 있습니다.

오탐 유형

  • 정상적인 대량 데이터 전송도 탐지하므로, 특정 내부 IP 주소에서 특정 인터넷 서버로 대량의 데이터를 전송하는 것이 허용된 경우에는 해당 IP 주소의 쌍을 탐지 예외 조건으로 추가하여 조정합니다.
    • 예시: 내부 에이전트가 클라우드 SIEM 서버로 로그 데이터 대량 전송

MITRE ATT&CK