Carbon Black Cloud Workload

개요

  VMware의 워크로드 보안 제품인 Carbon Black Cloud의 주요 기능 및 규격에 대해 에디션 별로 명시하여 정보제공요청서 혹은 제안요청서에 대응할 수 있도록 한다.

  VMware 특장점은 붉은색으로 표기한다.

기능 요건

일반 및 관리

콘솔

• HTML 5 기반의 웹 콘솔 환경 제공
• 벤더 커뮤니티를 통한 보안 리포트 및 위협 색적 방안 수시 제공
• 트리 구조로 모 조직에서의 하부 조직 별 관리 콘솔 생성 및 관리하는 멀티테넌시 제공
  

관리

• 역할 관리
  • 콘솔 사용자 별 역할 부여
  • 모범사례 역할 제공
  • 역할 커스터마이즈 제공
• 범주 별 알림 제공
  • 일반 (경보 및 위협)
  • 쿠버네티스
  • 통합성
• 보안 스택의 통합을 위한 API 및 SDK 제공
• 로그 추출 및 SIEM 연동 제공
  

에이전트 운영 환경

• 공통
  • 운영체제 별 에이전트 그룹 분류 제공
  • Active Directory 기반 에이전트 그룹 분류 제공
  • Hostname 기반 에이전트 그룹 분류 제공
    
  • IP 서브넷 기반 에이전트 그룹 분류 제공
    
  • 에이전트 그룹 분류 기준 별 혼합 정의 제공
    
  • 에이전트 활동 이용자 안내 여부 제공
    
  • 에이전트 이용자 통제 여부 제공
    
  • 이용자의 에이전트 삭제 시도 시 코드 요청 방안 제공
    
  • 지원 운영체제 및 에이전트 버전 단위 라이프사이클 기간 명시
    
  • 복제형 VDI 인식 및 정리 방안 제공
    
  • 자산 단위 격리 여부 제공
    
  • 에이전트 설치 및 업그레이드 편의성 제공 (시스템 리부트 불필요)
•  Windows
  • 데스크탑 및 서버 지원
  • Windows 보안센터 연동 제공
  • AMSI 지원
  • ARM64 칩셋 지원
• Linux
  • 커널 기반한 다양한 운영체제 지원
  • ARM64 칩셋 지원
• Mac
  • Kernel Extensions 기반 지원
  • System Extensions 기반 지원
  • ARM64 칩셋 지원

Prevention

예방

• 네이티브 프로그램과 일반적인 스크립팅 언어를 활용하는 악성 파일리스 및 파일 지원 스크립트를 방지
  • Advanced Scripting Prevention
    
• 악의적인 활동에 사용되는 일반적이고 널리 퍼져 있는 TTP와 Carbon Black의 위협 분석 부서에서 탐지한 일상적인 TTP 행위에 대응
  • Carbon Black Threat Intel
• 자격 증명을 획득하는 위협 행위자에 대응하고 이러한 활동을 나타내는 악의적인 TTP 행위에 대응
  • Credential Theft
    
• 보안 소프트웨어 제거 또는 비활성화, 데이터/스크립트 난독화 또는 암호화, 신뢰할 수 있는 프로세스를 악용하여 악성 활동을 숨기고 위장하는 등 위협 행위자가 탐지를 피하기 위해 사용하는 일반적인 TTP 행위에 대응
  • Defense Evasion
• 위협 행위자가 재시작, 자격 증명 변경, 기타 액세스를 차단할 수 있는 기타 중단을 통해 시스템에 대한 액세스 권한을 유지하기 위해 사용하는 일반적인 TTP 행위에 대응
  • Persistence
• 위협 행위자가 운영 체제의 버그 또는 잘못된 구성을 통해 상승된 액세스 권한을 획득했음을 나타내는 동작을 해결하고 이러한 활동을 방지하기 위한 TTP 행위에 대응
  • Privilege Escalation
• 지정 프로세스에 대해 보안 위협 행위의 유형 별 허용 및 불허 제공
• 평판 기반 프로세스 범주에 대해 보안 위협 행위의 유형 별 허용 및 불허 기능 제공

검사

• USB 장치 정보에 기반한 허용 및 불허 제공
• 안티바이러스 시그니처 기반 검사 제공
• 에이전트 설치 전 존재한 맬웨어 차단을 위한 백그라운드 검사 제공
• 컴퓨터 성능을 위한 실행 파일 (exe, dll, scripts) 포커스 검사 제공
• 컴퓨터 자원 절약을 위한 낮은 우선 순위 백그라운드 검사 제공
•  빠른 색적을 위한 높은 우선 순위 백그라운드 검사 제공
• 평판 기반 검사 제공
• 엄격하게 제어되는 환경 운영을 위해 바이너리 실행 전 검사 제공
• 실시간 원격 접속 및 진단 제공
  • https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-DED51138-E9A8-4BCC-873E-5768DAB596BE.html
• 에이전트 상태 보고 확인
• 프로세스 중지 및 실행
• 메모리 덤프
• 네트워크 드라이브 스캔 제공
  맬웨어 격리/삭제/추출 제공
• 클라우드 분석 제공
  • https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-3CCF9929-0913-4F2A-8086-087A423CFE88.html

Standard

보호

• 1.    사용자화 침해지표 경보 제공
  2.    USB 장치 통제 경보 제공
  3.    클라우드 분석 경보 제공    
  4.    심각도 분석 제공
  5.    유사 경보의 자동 그룹화 통한 행위 기반 경보 시야 제공
  6.    경보 및 조사 기능 연동
  7.    경보 대응 빠른 방안 제공
  8.    경보 내 유형 별 필터 제공
  9.    경보 관련 근본원인분석 및 시각화 제공
  

행위 탐지 및 대응

• 1.    모든 프로세스 근본원인분석 및 시각화 조사 제공
  2.    파일 및 레지스트리 수정 여부
  3.    네트워크 접속 여부
  4 .    TTPs and MITRE 기법 참조 제공
  5.    악성 이벤트 의심 내역 조사 제공
  6.    스크립트 기반 공격 조사 제공
  

Workload Protection

• 하이퍼바이저 커널 기반 모듈 제공
  • vCenter를 통해 배포 명령 내릴 수 있는  ESXi 하이퍼바이저 VIB 패키지 제공
  • Instant Clone VDI 등의 인식에 도움
  • https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-071DC7EC-3CB1-487B-BBB9-CD670513EA70.html
• 하이퍼바이저 관리자와 웹 콘솔 간 보안 명령 중계 가상 애플라이언스 제공
  • https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-E2ED3713-315B-4EEE-A3E8-A7A09A011101.html
• 하이퍼바이저 관리자와 웹 콘솔 간 보안 명령 중계에 프록시 통한 이중 보안 방안 제공
  • https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-E579E334-80F1-4876-8AA0-F29BAB441887.html
• 하이퍼바이저 관리자와 가상 애플라이언스 통합하여 인프라 및 보안 간 동일 시야 방안 제공
• 엄격하게 제어되는 환경을 운영하여 워크로드를 안전하게 보호하고 인터넷 트래픽에 직접 노출되지 않도록 가상 애플라이언스 제공
  • https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-CC4071BA-E3A5-4E3D-A659-AF2F14B508C6.html

Advanced

Audit & Remediation

• Osquery 통한 에이전트 배포 환경의 규정 준수 및 위협도 실시간 검사 제공
• Osquery 템플릿 제공
• Osquery 사용자화 제공
  
• CIS Benchmarks 수행 및 보고 제공

Vulnerability Management

•  Windows 운영체제 및 애플리케이션 취약점 확인 및 평가 제공
• Linux 운영체제 및 애플리케이션 취약점 확인 및 평가 제공
• CVSS 기반 위협 계측 제공
• CVE-ID 기준 안내 제공
  

Enterprise

Enterprise EDR

• 1.    인증 이벤트 조사 제공
  2.    바이너리 별 상세 보고 제공
  3.    강화된 데이터 조사 쿼리 제공
  4.    위협 정보와 보안담당자의 쿼리를 추가해 사용자화 침해지표 목록 생성 및 관리 제공
  5.    이상징후 분류 경보 연동
  

Add-on

Host Based Firewall

Extended Detection and Response (XDR)

• Network Detection and Response
• Host Intrusion Detection System

Extended Data Retention

Managed Detection

Managed Detection and Response

기능 매트릭스

FEATURE	Prevention	Standard	Advanced	Enterprise
Policy-Based Prevention	☑	☑	☑	☑
Up-to-Date Threat Intel	☑	☑	☑	☑
Malware Detection & Deletion	☑	☑	☑	☑
Prevention Alerts	☑	☑	☑	☑
Alert Triage	☑	☑	☑	☑
Bypass & Quarantine	☑	☑	☑	☑
Process Banning		☑	☑	☑
Event Investigation		☑	☑	☑
Behavioral EDR		☑	☑	☑
Device Control		☑	☑	☑
API, Event Forwarder		☑	☑	☑
Audit and Remediation		?	☑	☑
> Live Query		☑	☑	☑
> Live Response		☑	☑	☑
> CIS Benchmarks		?	☑	☑
Vulnerability Management			☑	☑
Enterprise EDR				☑
Watchlists				☑
Process Trees				☑
Workload Protection		☑	☑	☑
> vSphere Integration		☑	☑	☑
> Sensor Gateways		☑	☑	☑
Host Based Firewall		add-on	add-on	add-on
Extended Detection and Response (XDR)		add-on	add-on	add-on
> Network Detection and Response		add-on	add-on	add-on
> Host Intrusion Detection System		add-on	add-on	add-on
Extended Data Retention	add-on	add-on	add-on	add-on
Managed Detection		add-on	add-on	add-on
Managed Detection and Response		add-on	add-on	add-on

고지사항

  총판인 에티버스의 해석 및 검토의견은 특정한 효력이 없으며, 진행과 결정을 보다 수월하도록 돕기 위한 참고 용도로서 제공됩니다. 사업 진행 시, 특히 정보제공요청서 작성 등에는 수행을 책임지는 담당자와 함께 충분한 검토하여 진행하시기 바랍니다.