팔로알토 네트웍스 방화벽

구독
다운로드 178
업데이트 2024. 2. 21.

내부 윈도우 RDP 접속

내부망 호스트에서 내부망의 다른 윈도우 호스트로 원격 데스크탑 접속하는 경우 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: 세션
  • 대상 수집모델
    • Palo Alto Networks NGFW (Syslog)

쿼리

팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 L7 프로토콜을 식별하므로 포트 번호에 관계없이 RDP 프로토콜 접속을 정확하게 식별할 수 있습니다.

| search app == "ms-rdp" and duration >= 5
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| matchnet field=dst_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
  • 내부망 네트워크 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5

위협 분석

  • 내부 윈도우 RDP 접속 이벤트가 발생하기 이전 시점에, 이벤트의 출발지 IP를 대상으로 침해 의심 징후가 있는지 분석합니다.

오탐 유형

  • 사용자의 정상적인 RDP 접속도 탐지하므로, 특정 내부 IP 주소에서 특정 서버로 RDP 접속하는 것이 허용된 경우에는 탐지 예외 조건을 추가하여 조정합니다.

대응 방안

  • RDP 서비스 비활성화
    • 원격 데스크탑 접속이 불필요한 경우에는 서비스를 비활성화합니다.
  • 접속 허용 IP 제한
    • 지정된 IP 주소 또는 네트워크 대역에서만 접속할 수 있도록 방화벽 정책을 조정합니다.
  • 2차 인증 적용
    • YubiKey 등 인증서 기반 스마트카드를 통해 인증을 제어합니다.

MITRE ATT&CK