Carbon Black: 공개 문서
기능 및 규격
Cloud Workload Protection Platfom (CWPP)
개요
VMware의 워크로드 보안 제품인 Carbon Black Cloud의 주요 기능 및 규격에 대해 에디션 별로 명시하여 정보제공요청서 혹은 제안요청서에 대응할 수 있도록 한다.
VMware 특장점은 붉은색으로 표기한다.
기능 요건
일반 및 관리
콘솔
- HTML 5 기반의 웹 콘솔 환경 제공
- 벤더 커뮤니티를 통한 보안 리포트 및 위협 색적 방안 수시 제공
- 여러 조직 별 관리 콘솔 생성 및 관리하는 멀티테넌시 제공
관리
- 역할 관리
- 콘솔 사용자 별 역할 부여
- 모범사례 역할 제공
- 역할 커스터마이즈 제공
- 범주 별 알림 제공
- 보안 스택의 통합을 위한 API 및 SDK 제공
- 로그 추출 및 SIEM 연동 제공
에이전트 운영 환경
- 공통
- 운영체제 별 에이전트 그룹 분류 제공
- Active Directory 기반 에이전트 그룹 분류 제공
- Hostname 기반 에이전트 그룹 분류 제공
- IP 서브넷 기반 에이전트 그룹 분류 제공
- 에이전트 그룹 분류 기준 별 혼합 정의 제공
- 에이전트 활동 이용자 안내 여부 제공
- 에이전트 이용자 통제 여부 제공
- 이용자의 에이전트 삭제 시도 시 코드 요청 방안 제공
- 지원 운영체제 및 에이전트 버전 단위 라이프사이클 기간 명시
- 복제형 VDI 인식 및 정리 방안 제공
- 자산 단위 격리 여부 제공
- 에이전트 설치 및 업그레이드 편의성 제공 (시스템 리부트 불필요)
- Windows
- 데스크탑 및 서버 지원
- Windows 보안센터 연동 제공
- AMSI 지원
- ARM64 칩셋 지원
- Linux
- Mac
- Kernel Extensions 기반 지원
- System Extensions 기반 지원
- ARM64 칩셋 지원
Prevention
예방
- 네이티브 프로그램과 일반적인 스크립팅 언어를 활용하는 악성 파일리스 및 파일 지원 스크립트를 방지
- 악의적인 활동에 사용되는 일반적이고 널리 퍼져 있는 TTP와 Carbon Black의 위협 분석 부서에서 탐지한 일상적인 TTP 행위에 대응
- 자격 증명을 획득하는 위협 행위자에 대응하고 이러한 활동을 나타내는 악의적인 TTP 행위에 대응
- 보안 소프트웨어 제거 또는 비활성화, 데이터/스크립트 난독화 또는 암호화, 신뢰할 수 있는 프로세스를 악용하여 악성 활동을 숨기고 위장하는 등 위협 행위자가 탐지를 피하기 위해 사용하는 일반적인 TTP 행위에 대응
- 위협 행위자가 재시작, 자격 증명 변경, 기타 액세스를 차단할 수 있는 기타 중단을 통해 시스템에 대한 액세스 권한을 유지하기 위해 사용하는 일반적인 TTP 행위에 대응
- 위협 행위자가 운영 체제의 버그 또는 잘못된 구성을 통해 상승된 액세스 권한을 획득했음을 나타내는 동작을 해결하고 이러한 활동을 방지하기 위한 TTP 행위에 대응
- 지정 프로세스에 대해 보안 위협 행위의 유형 별 허용 및 불허 제공
- 프로세스 범주에 대해 보안 위협 행위의 유형 별 허용 및 불허 기능 제공
- 프로세스 종료 및 파일 삭제 등을 통한 공격 중단 지원
검사
- USB 장치 정보에 기반한 허용 및 불허 제공
- 안티바이러스 시그니처 기반 검사 제공
- 에이전트 설치 전 존재한 맬웨어 차단을 위한 백그라운드 검사 제공
- 컴퓨터 성능을 위한 실행 파일 (exe, dll, scripts) 포커스 검사 제공
- 컴퓨터 자원 절약을 위한 낮은 우선 순위 백그라운드 검사 제공
- 빠른 색적을 위한 높은 우선 순위 백그라운드 검사 제공
- 평판 기반 검사 제공
- 엄격하게 제어되는 환경 운영을 위해 바이너리 실행 전 검사 제공
- 실시간 원격 접속 및 진단 제공
- 에이전트 상태 보고 확인
- 메모리 덤프
- 네트워크 드라이브 스캔 제공
- 맬웨어 격리/삭제/추출 제공
- 클라우드 분석 제공
Standard
보호
- 사용자화 침해지표 경보 제공
- USB 장치 통제 경보 제공
- 클라우드 분석 경보 제공
- 심각도 분석 제공
- 유사 경보의 자동 그룹화 통한 행위 기반 경보 시야 제공
- 경보 및 조사 기능 연동
- 경보 대응 빠른 방안 제공
- 경보 내 유형 별 필터 제공
- 경보 관련 근본원인분석 및 시각화 제공
행위 탐지 및 대응
- 모든 프로세스 근본원인분석 및 시각화 조사 제공
- 파일 수정 여부 수집
- 레지스트리 수정 여부 수집
- 네트워크 접속 등 연결에 대한 정보 제공
- TTPs and MITRE 기법 참조 제공
- 악성 이벤트 의심 내역 조사 제공
- 스크립트 기반 공격 조사 제공
Workload Protection
- 하이퍼바이저 커널 기반 모듈 제공
- vCenter를 통해 배포 명령 내릴 수 있는 ESXi 하이퍼바이저 VIB 패키지 제공
- Instant Clone VDI 등의 인식에 도움
- https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-071DC7EC-3CB1-487B-BBB9-CD670513EA70.html
- 하이퍼바이저 관리자와 웹 콘솔 간 보안 명령 중계 가상 애플라이언스 제공
- 하이퍼바이저 관리자와 웹 콘솔 간 보안 명령 중계에 프록시 통한 이중 보안 방안 제공
- 하이퍼바이저 관리자와 가상 애플라이언스 통합하여 인프라 및 보안 간 동일 시야 방안 제공
- 엄격하게 제어되는 환경을 운영하여 워크로드를 안전하게 보호하고 인터넷 트래픽에 직접 노출되지 않도록 가상 애플라이언스 제공
Advanced
Audit & Remediation
- Osquery 통한 에이전트 배포 환경의 규정 준수 및 위협도 실시간 검사 제공
- Osquery 템플릿 제공
- Osquery 사용자화 제공
- CIS Benchmarks 수행 및 보고 제공
Vulnerability Management
- Windows 운영체제 및 애플리케이션 취약점 확인 및 평가 제공
- Linux 운영체제 및 애플리케이션 취약점 확인 및 평가 제공
- CVSS 기반 위협 계측 제공
- CVE-ID 기준 안내 제공
Enterprise
Enterprise EDR
- 인증 이벤트 조사 제공
- 바이너리 자동 상세 보고 제공
- 바이너리 수집 제공
- 강화된 데이터 조사 쿼리 제공
- 위협 정보와 보안담당자의 쿼리를 추가해 사용자화 침해지표 목록 생성 및 관리 제공
- 이상징후 분류 경보 연동
Add-on
Host Based Firewall
Extended Detection and Response (XDR)
- Network Detection and Response
- Host Intrusion Detection System
- Anomaly Classification
Extended Data Retention
Managed Detection
Managed Detection and Response
기능 매트릭스
|
FEATURE |
Prevention |
Standard |
Advanced |
Enterprise |
|
Policy-Based Prevention |
☑ |
☑ |
☑ |
☑ |
|
Up-to-Date Threat Intel |
☑ |
☑ |
☑ |
☑ |
|
Malware Detection & Deletion |
☑ |
☑ |
☑ |
☑ |
|
Prevention Alerts |
☑ |
☑ |
☑ |
☑ |
|
Alert Triage |
☑ |
☑ |
☑ |
☑ |
|
Bypass & Quarantine |
☑ |
☑ |
☑ |
☑ |
|
Process Banning |
|
☑ |
☑ |
☑ |
|
Event Investigation |
|
☑ |
☑ |
☑ |
|
Behavioral EDR |
|
☑ |
☑ |
☑ |
|
Device Control |
|
☑ |
☑ |
☑ |
|
API, Event Forwarder |
|
☑ |
☑ |
☑ |
|
Audit and Remediation |
|
|
☑ |
☑ |
|
> Live Query |
|
|
☑ |
☑ |
|
> Live Response |
|
|
☑ |
☑ |
|
> CIS Benchmarks |
|
|
☑ |
☑ |
|
Vulnerability Management |
|
|
☑ |
☑ |
|
Enterprise EDR |
|
|
|
☑ |
|
> Anomaly Classification |
|
|
|
☑ |
|
Watchlists |
|
|
|
☑ |
|
Process Trees |
|
|
|
☑ |
|
Workload Protection |
|
☑ |
☑ |
☑ |
|
> vSphere Integration |
|
☑ |
☑ |
☑ |
|
> Sensor Gateways |
|
☑ |
☑ |
☑ |
| Host Based Firewall |
add-on |
add-on |
add-on |
|
| Extended Detection and Response (XDR) |
add-on |
add-on |
add-on |
|
| > Network Detection and Response |
add-on |
add-on |
add-on |
|
|
> Host Intrusion Detection System |
add-on |
add-on |
add-on |
|
|
Extended Data Retention |
add-on |
add-on |
add-on |
add-on |
|
Managed Detection |
|
add-on |
add-on |
add-on |
|
Managed Detection and Response |
|
add-on |
add-on |
add-on |
고지사항
총판인 에티버스의 해석 및 검토의견은 특정한 효력이 없으며, 진행과 결정을 보다 수월하도록 돕기 위한 참고 용도로서 제공됩니다. 사업 진행 시, 특히 정보제공요청서 작성 등에는 수행을 책임지는 담당자와 함께 충분한 검토하여 진행하시기 바랍니다.
설치 : 서버 설치 요구 사항
개요
App Control 서버를 설치하기 전 요구 사항에 대해 정리한 문서 입니다.
진행 방법
단일 환경 구성 기반으로 작성되었습니다.
1. 서버 요구 사항
1.1 서버 운영 체제
| OS | 버전 | 서비스 팩 | 비고 |
| Windows Server 2012 R2 | |||
| Windows Server 2016 | |||
| Windows Server 2019 | |||
| Windows Server 2022 |
Community
Support Request
VMware Carbon Black Community 가이드
개요
Carbon Black Community 활용 방안을 안내하기 위한 가이드 입니다.
가입 및 관리
VMware Carbon Black Community 사이트에 접속합니다.
VMware Carbon Black Community URL : https://community.carbonblack.com
오른쪽 상단에 위치한 [Sign in] 버튼을 클릭합니다.
[Register Now] 버튼을 선택하여 회원가입을 진행합니다.
정보 기입 후 [Register] 버튼을 클릭하여 계정 생성을 완료 합니다.
* Username 은 Carbon black Community 접속 계정을 의미합니다.
최초 가입 시, 일부 기능에 대한 권한이 제한 되어 있습니다.
권한 추가 작업이 필요하므로, 아래 내용 작성하여 '총판 SE Email' 로 전달 부탁 드립니다.
- 직함 :
- 계정 :
- 이메일 :
추가 계정 등록
해당 절차는 권한을 가진 admin 계정으로 진행합니다.
[Company Group] > [Company Group] 메뉴로 이동합니다.
[Members] > [View All] 버튼을 눌러 Group Details 페이지로 이동합니다.
[Invite members] 버튼을 클릭하여 사용자를 초대합니다.
계정 권한 변경 및 제거
해당 절차는 권한을 가진 Admin 계정으로 진행합니다.
[Company Group] > [Company Group] 메뉴로 이동합니다.
[Members] > [View All] 버튼을 눌러 Group Details 페이지로 이동합니다.
① 사용자를 그룹에서 삭제합니다.
② 사용자의 권한을 수정합니다.
Support Request
생성
Carbon Black 운영 시에 오류, 문의 등에 대한 기술 지원이 필요할 시 사용합니다.
[CREATE] > [CREATE A CASE] 메뉴에 접속합니다.
SR 등록에 필요한 정보를 기입합니다. [Description] 항목은 아래와 같은 추가 정보 작성이 필요합니다.
1. Partner Internal Case Number (If Applicable) :
2. Customer company name :
3. Impacted Product :
4. For EDR/Hosted EDR/CB Response cases ONLY :
a. On prem or Cloud :
b. Instance alias :
5. For Carbon Black Cloud cases ONLY :
a. Production environment :
b. orgID :
c. Sensor Name/ID :
6. Server version :
7. Sensor version :
8. Number of sensors impacted :
9. OS of impacted endpoints :
10. Issue start time :
11. Issue description :
12. Are additional AV/Security Products installed : Yes/No
13. AV exclusion in place and verified to be correct : Yes/No
14. If AV exclusions have been verified are they the most current recommended exclusion :
15. Keywords searched on the User eXchange :
16. Troubleshooting steps done so far in Partner Support case :
17. Logs collected :
18. Log findings from Partner Support Review :
작성이 완료되면 [Submit] 버튼을 클릭하여 Case 를 Open 합니다.
첨부 파일 업로드
케이스 해결을 위한 로그/이미지/비디오/문서 등의 파일 첨부 시, 25MB 가 넘는 파일은 CB Vault 를 이용하여 업로드를 진행합니다.
첨부 파일의 용량이 25MB 이하인 경우 : [파일 선택] 버튼 클릭하여 업로드 진행합니다.
[Resource] > [CB Vault] 메뉴를 클릭하여 이동하여 아래 정보를 기입합니다.
- Name :
- Email :
- Cast Number :
- File :
[Submit] 버튼을 클릭하여 첨부파일 업로드를 완료합니다.