Tamper Protection TP hit found 이벤트가 발생한 경우 탐지합니다.

개요

• 중요도: 상
• 유형: 실시간 탐지
• 로그 스키마: Trellix HX 자체 보호 (trellix-tx-tamper-protection)
• 대상 수집모델
  • Trellix Endpoint Security

쿼리

Trellix Endpoint Security의 자체 보호 이벤트가 발생하면 탐지합니다.

| search event_name == "Tamper Protection TP hit found"

메시지

• 호스트 $hostname ($host_ip)에서 Trellix Endpoint Security 무력화 시도

출력 필드 순서

• _log_time, device_name, device_id, emp_key, emp_name, nt_domain, hostname, host_ip, os_name, dst_mac, category, signature, action, parent_image_path, md5, technique, description, agent_id, agent_version, agent_last_audit, start_time, external_id, device_group, device_type, object, behavior, outcome, significance, vendor, product, ver, severity, event_name

위협 분석

• 공격자는 엔드포인트 보안 시스템을 무력화하여 악성 행위에 대한 탐지를 회피할 수 있습니다.

오탐 유형

• [ENDPT-86671] Endpoint Security 33.46.0 업그레이드 후 의심스러운 Windows 신뢰 구성에 대한 경보가 발생하는 문제가 알려져 있습니다.
  • https://docs.trellix.com/ko-KR/bundle/hx_5-3-0_rn/page/UUID-2a7a8808-669c-6987-51e7-4f112a6d0d26.html

대응 방안

• Trellix Endpoint Security 에이전트가 정상적으로 동작하는지 확인하고, 위변조 또는 비활성화된 경우에는 구체적인 원인을 식별한 후 복구 조치합니다.

MITRE ATT&CK

• 전술
  • Defense Evasion
• 기법
  • 이름: Impair Defenses: Disable or Modify Tools
  • ID: T1562.001
  • 참조 URL: https://attack.mitre.org/techniques/T1562/001/