Carbon Black Cloud Workload
개요
VMware의 워크로드 보안 제품인 Carbon Black Cloud의 주요 기능 및 규격에 대해 에디션 별로 명시하여 정보제공요청서 혹은 제안요청서에 대응할 수 있도록 한다.
VMware 특장점은 붉은색으로 표기한다.
기능 요건
일반 및 관리
콘솔
- HTML 5 기반의 웹 콘솔 환경 제공
- 벤더 커뮤니티를 통한 보안 리포트 및 위협 색적 방안 수시 제공
- 트리 구조로 모 조직에서의 하부 조직 별 관리 콘솔 생성 및 관리하는 멀티테넌시 제공
관리
- 역할 관리
- 콘솔 사용자 별 역할 부여
- 모범사례 역할 제공
- 역할 커스터마이즈 제공
- 범주 별 알림 제공
- 일반 (경보 및 위협)
- 쿠버네티스
- 통합성
- 보안 스택의 통합을 위한 API 및 SDK 제공
- 로그 추출 및 SIEM 연동 제공
에이전트 운영 환경
- 공통
- 운영체제 별 에이전트 그룹 분류 제공
- Active Directory 기반 에이전트 그룹 분류 제공
- Hostname 기반 에이전트 그룹 분류 제공
- IP 서브넷 기반 에이전트 그룹 분류 제공
- 에이전트 그룹 분류 기준 별 혼합 정의 제공
- 에이전트 활동 이용자 안내 여부 제공
- 에이전트 이용자 통제 여부 제공
- 이용자의 에이전트 삭제 시도 시 코드 요청 방안 제공
- 지원 운영체제 및 에이전트 버전 단위 라이프사이클 기간 명시
- 복제형 VDI 인식 및 정리 방안 제공
- 자산 단위 격리 여부 제공
- 에이전트 설치 및 업그레이드 편의성 제공 (시스템 리부트 불필요)
- Windows
- 데스크탑 및 서버 지원
- Windows 보안센터 연동 제공
- AMSI 지원
- ARM64 칩셋 지원
- Linux
- 커널 기반한 다양한 운영체제 지원
- ARM64 칩셋 지원
- Mac
- Kernel Extensions 기반 지원
- System Extensions 기반 지원
- ARM64 칩셋 지원
Prevention
예방
- 네이티브 프로그램과 일반적인 스크립팅 언어를 활용하는 악성 파일리스 및 파일 지원 스크립트를 방지
- Advanced Scripting Prevention
- Advanced Scripting Prevention
- 악의적인 활동에 사용되는 일반적이고 널리 퍼져 있는 TTP와 Carbon Black의 위협 분석 부서에서 탐지한 일상적인 TTP 행위에 대응
- Carbon Black Threat Intel
- 자격 증명을 획득하는 위협 행위자에 대응하고 이러한 활동을 나타내는 악의적인 TTP 행위에 대응
- Credential Theft
- Credential Theft
- 보안 소프트웨어 제거 또는 비활성화, 데이터/스크립트 난독화 또는 암호화, 신뢰할 수 있는 프로세스를 악용하여 악성 활동을 숨기고 위장하는 등 위협 행위자가 탐지를 피하기 위해 사용하는 일반적인 TTP 행위에 대응
- Defense Evasion
- 위협 행위자가 재시작, 자격 증명 변경, 기타 액세스를 차단할 수 있는 기타 중단을 통해 시스템에 대한 액세스 권한을 유지하기 위해 사용하는 일반적인 TTP 행위에 대응
- Persistence
- 위협 행위자가 운영 체제의 버그 또는 잘못된 구성을 통해 상승된 액세스 권한을 획득했음을 나타내는 동작을 해결하고 이러한 활동을 방지하기 위한 TTP 행위에 대응
- Privilege Escalation
- 지정 프로세스에 대해 보안 위협 행위의 유형 별 허용 및 불허 제공
- 평판 기반 프로세스 범주에 대해 보안 위협 행위의 유형 별 허용 및 불허 기능 제공
검사
- USB 장치 정보에 기반한 허용 및 불허 제공
- 안티바이러스 시그니처 기반 검사 제공
- 에이전트 설치 전 존재한 맬웨어 차단을 위한 백그라운드 검사 제공
- 컴퓨터 성능을 위한 실행 파일 (exe, dll, scripts) 포커스 검사 제공
- 컴퓨터 자원 절약을 위한 낮은 우선 순위 백그라운드 검사 제공
- 빠른 색적을 위한 높은 우선 순위 백그라운드 검사 제공
- 평판 기반 검사 제공
- 엄격하게 제어되는 환경 운영을 위해 바이너리 실행 전 검사 제공
- 실시간 원격 접속 및 진단 제공
- 에이전트 상태 보고 확인
- 프로세스 중지 및 실행
- 메모리 덤프
- 네트워크 드라이브 스캔 제공
맬웨어 격리/삭제/추출 제공 - 클라우드 분석 제공
Standard
보호
- 1. 사용자화 침해지표 경보 제공
2. USB 장치 통제 경보 제공
3. 클라우드 분석 경보 제공
4. 심각도 분석 제공
5. 유사 경보의 자동 그룹화 통한 행위 기반 경보 시야 제공
6. 경보 및 조사 기능 연동
7. 경보 대응 빠른 방안 제공
8. 경보 내 유형 별 필터 제공
9. 경보 관련 근본원인분석 및 시각화 제공
행위 탐지 및 대응
- 1. 모든 프로세스 근본원인분석 및 시각화 조사 제공
1.2. 파일 및 레지스트리 수정 여부2.3. 네트워크 접속 여부2.4 . TTPs and MITRE 기법 참조 제공3.5. 악성 이벤트 의심 내역 조사 제공4.6. 스크립트 기반 공격 조사 제공
Workload Protection
- 하이퍼바이저 커널 기반 모듈 제공
- vCenter를 통해 배포 명령 내릴 수 있는 ESXi 하이퍼바이저 VIB 패키지 제공
- Instant Clone VDI 등의 인식에 도움
- https://docs.vmware.com/en/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-071DC7EC-3CB1-487B-BBB9-CD670513EA70.html
- 하이퍼바이저 관리자와 웹 콘솔 간 보안 명령 중계 가상 애플라이언스 제공
- 하이퍼바이저 관리자와 웹 콘솔 간 보안 명령 중계에 프록시 통한 이중 보안 방안 제공
- 하이퍼바이저 관리자와 가상 애플라이언스 통합하여 인프라 및 보안 간 동일 시야 방안 제공
- 엄격하게 제어되는 환경을 운영하여 워크로드를 안전하게 보호하고 인터넷 트래픽에 직접 노출되지 않도록 가상 애플라이언스 제공
Advanced
Audit & Remediation
- Osquery 통한 에이전트 배포 환경의 규정 준수 및 위협도 실시간 검사 제공
- Osquery 템플릿 제공
- Osquery 사용자화 제공
- CIS Benchmarks 수행 및 보고 제공
Vulnerability Management
- Windows 운영체제 및 애플리케이션 취약점 확인 및 평가 제공
- Linux 운영체제 및 애플리케이션 취약점 확인 및 평가 제공
- CVSS 기반 위협 계측 제공
- CVE-ID 기준 안내 제공
Enterprise
Enterprise EDR
- 1. 인증 이벤트 조사 제공
2. 바이너리 별 상세 보고 제공
3. 강화된 데이터 조사 쿼리 제공
4. 위협 정보와 보안담당자의 쿼리를 추가해 사용자화한침해지표 목록 생성 및 관리 제공
5. 이상징후 분류 경보 연동
Add-on
Host Based Firewall
Extended Detection and Response (XDR)
- Network Detection and Response
- Host Intrusion Detection System
Extended Data Retention
Managed Detection
Managed Detection and Response
에이전트 운영 환경
1. 공통1. 운영체제 별 에이전트 그룹 분류 제공2. Active Directory 기반 에이전트 그룹 분류 제공3. Hostname 기반 에이전트 그룹 분류 제공4. IP 서브넷 기반 에이전트 그룹 분류 제공5. 에이전트 그룹 분류 기준 별 혼합 정의 제공6. 에이전트 활동 이용자 안내 여부 제공7. 에이전트 이용자 통제 여부 제공8. 이용자의 에이전트 삭제 시도 시 코드 요청 방안 제공9. 지원 운영체제 및 에이전트 버전 단위 라이프사이클 기간 명시10. 복제형 VDI 인식 및 정리 방안 제공11. 자산 단위 격리 여부 제공12. 에이전트 설치 및 업그레이드 편의성 제공 (시스템 리부트 불필요)2. Windows1. 데스크탑 및 서버 지원2. Windows보안센터 연동 제공3. AMSI 지원4. ARM64 칩셋 지원.3. Linux1. 커널 기반한 다양한 운영체제 지원2. ARM64 칩셋 지원4. Mac1. Kernel Extensions 기반 지원2. System Extensions 기반 지원3. ARM64 칩셋 지원
기능 매트릭스
|
FEATURE |
Prevention |
Standard |
Advanced |
Enterprise |
|
Policy-Based Prevention |
☑ |
☑ |
☑ |
☑ |
|
Up-to-Date Threat Intel |
☑ |
☑ |
☑ |
☑ |
|
Malware Detection & Deletion |
☑ |
☑ |
☑ |
☑ |
|
Prevention Alerts |
☑ |
☑ |
☑ |
☑ |
|
Alert Triage |
☑ |
☑ |
☑ |
☑ |
|
Bypass & Quarantine |
☑ |
☑ |
☑ |
☑ |
|
Process Banning |
|
☑ |
☑ |
☑ |
|
Event Investigation |
|
☑ |
☑ |
☑ |
|
Behavioral EDR |
|
☑ |
☑ |
☑ |
|
Device Control |
|
☑ |
☑ |
☑ |
|
API, Event Forwarder |
|
☑ |
☑ |
☑ |
|
Audit and Remediation |
|
? |
☑ |
☑ |
|
> Live Query |
|
☑ |
☑ |
☑ |
|
> Live Response |
|
☑ |
☑ |
☑ |
|
> CIS Benchmarks |
|
? |
☑ |
☑ |
|
Vulnerability Management |
|
|
☑ |
☑ |
|
Enterprise EDR |
|
|
|
☑ |
|
Watchlists |
|
|
|
☑ |
|
Process Trees |
|
|
|
☑ |
|
Workload Protection |
|
☑ |
☑ |
☑ |
|
> vSphere Integration |
|
☑ |
☑ |
☑ |
|
> Sensor Gateways |
|
☑ |
☑ |
☑ |
| Host Based Firewall |
add-on |
add-on |
add-on |
|
| Extended Detection and Response (XDR) |
add-on |
add-on |
add-on |
|
| > Network Detection and Response |
add-on |
add-on |
add-on |
|
| > Host Intrusion Detection System |
add-on |
add-on |
add-on |
|
|
Extended Data Retention |
add-on |
add-on |
add-on |
add-on |
|
Managed Detection |
|
add-on |
add-on |
add-on |
|
Managed Detection and Response |
|
add-on |
add-on |
add-on |
고지사항
총판인 에티버스의 해석 및 검토의견은 특정한 효력이 없으며, 진행과 결정을 보다 수월하도록 돕기 위한 참고 용도로서 제공됩니다. 사업 진행 시, 특히 정보제공요청서 작성 등에는 수행을 책임지는 담당자와 함께 충분한 검토하여 진행하시기 바랍니다.