Introduction to Magnet IGNITE

IGNITE는 사고 대응 조사를 위한 클라우드 기반의 초기 사례 평가 도구이다. 신속한 원격 스캔과 엔드포인트 분석을 수행하고 사고 범위와 다음 단계를 결정한다. 데이터 유출이나 주요 자산 접근을 확인할 수 있다. 또한, 자산 오용 및 정책 위반 파악하고 악의적인 활동을 한 엔드포인트를 분류할 수 있다.

IGNITE는 Chrome, Firefox, Edge에서 지원되고 웹사이트(Magnet IGNITE)에서 이메일 주소를 사용해 로그인한 후 사용할 수 있다. 일정 시간 활동이 없으면 로그아웃된다.

[그림 1] 사이트(Magnet IGNITE)

IGNITE 수집 단계

IGNITE 수집은 3단계(케이스 생성 & Agnet 생성 → Agnet 배포 → 수집)로 이루어진다.

케이스를 생성하면서 수집을 원하는 메모리 수집 및 아티팩트를 선택해 Agent를 생성한다. 생성된 Agent를 엔드포인트에 배포한 후 실행하면 자동으로 수집이 진행된다. 수집이 끝나면 배포된 Agent는 삭제된다.

[그림 2] IGNITE 수집 단계

IGNITE 시작하기

로그인 후 VIEW CASES 버튼을 클릭하면 [그림 3]과 같은 화면을 볼 수 있다. 기존에 생성했던 케이스 목록을 확인할 수 있고, CREATE CASE를 선택해 새로운 케이스를 생성할 수 있다. 또한. 우측 상단의 MY CASES, SHARED CASES로 사용자만 볼 수 있는 케이스와 팀 사용자들과 공유된 케이스를 분리해서 볼 수 있다.

[그림 3] CASE LIST

생성된 케이스를 선택하면 케이스 관련 정보와 Agent 세팅 목록을 확인할 수 있다. 수집된 엔드포인트 관련 정보를 확인할 수 있고, 수집된 데이터와 분석된 데이터를 다운로드 할 수 있다.

[그림 4] CASE

SHARE CASE를 선택하면 같은 조직 내의 사용자에게 현재 케이스를 공유할 수 있다.

[그림 5] Share Case

IGNITE Agent

Agent란 원격 획득을 수행하기 위해 엔드포인트에 배포된 독립 실행 프로세스이다. IGNITE에서는 케이스 생성 시 Agent 세팅을 진행하며, 생성된 Agent는 여러 엔드포인트에 배포 가능하다.

1) Agent 종류

Agent 유형은 Normal Agent, Covert Agent로 나뉘며 스캔 목적에 따라 선택할 수 있다. 엔드포인트 사용자의 악의적인 의도가 의심되지 않는다면 Normal Agnet 유형을 선택하길 권장한다.

  • Normal Agent : 엔드포인트에서 CLI 창이 열리고 스캔하는 동안 모든 명령어가 표시된다. 작업관리자의 프로세스 탭에는 IgniteAgent.exe로 표시되며, 수집이 완료되면 프로그램이 자동으로 삭제 된다.
  • Covert Agent : CLI 창이 표시되지 않으며 스캔하는 동안 명령어가 숨겨진다. 작업관리자의 프로세스 탭에는 services.exe로 표시되며, 수집이 완료되면 프로그램이 자동으로 삭제된다.

2) Agent 배포

Agent 배포 방법은 유형과 사용자에 따라 달라진다.

  • Agent 다운로드 : IgniteAgent.exe 애플리케이션을 컴퓨터에 다운로드 한다. 로컬에서 다운로드 한 애플리케이션을 실행하거나 USB 등의 장치를 이용해 다른 엔드포인트로 복사할 수 있다.
  • Agent 다운로드 링크 생성 : 클립보드에 링크를 복사해서 사용자에게 전송할 수 있다. 이 링크를 이용하면 IgniteAgent.exe 애플리케이션을 다운로드 받을 수 있다.

생성된 케이스 내 DOWNLOAD AGENT, DOWNLOAD COVERT AGENT 버튼을 선택해 직접 다운로드 할 수 있으며, 그 옆의 Copy 버튼을 눌러 다운로드 링크를 복사할 수 있다.

[그림 6] Agent 배포

Magnet IGNITE 기능

1) 빠른 포렌식 인사이트 확보

RAM과 사고 대응, 네트워크 활동, 파일 로그, 라이브 시스템 등에 대한 아티팩트를 카테고리로 나누어 목적에 맞게 수집하고 검토할 수 있다. MTTR(Mean Time To Resolve)를 줄일 수 있고, 사고 범위를 평가할 수 있는 도구를 제공한다.

2) 필요시 확장 가능

클라우드 기반 솔루션이기 때문에 조사 규모에 맞게 확장할 수 있으며, 유지 관리나 하드웨어 투자가 필요하지 않다. 언제 어디서나 엑세스 가능하며 엔드포인트를 원격으로 스캔할 수 있어 데이터 수집에 편리하다.

3) 표면 침해 지표

엔드포인트 데이터에 맞춤 YARA 규칙을 적용해 악성코드 인스턴스와 기타 침해 지표를 신속하게 식별할 수 있다. 또한, 키워드 검색과 시간 필터를 사용해 사건에 필요한 증거에 초점을 맞출 수 있다. 필요 시 IGNITE에서 다운로드 한 Magnet Forensics MFDB로 AXIOM Cyber에서 심층 분석을 할 수 있다.

4) 팀과 공유 가능

조직 관리자가 팀 구성원을 쉽게 추가하거나 제거할 수 있고, 추가 비용이나 라이선스 없이 팀의 여러 구성원이 사용 가능하다.

Magnet Cyber와 IGNITE 비교

Magnet Cyber와 IGNITE는 아래 표와 같은 차이점이 있다.

AXIOM Cyber Magnet IGNITE
분석가 ip 변경시 agent 재 배포 필요 분석가 ip 상관 없이 case 별로 배포 가능
Agent 배포 후 connet 상태일 때 분석가가 수집 범위 지정 필요 Agent 배포 후 엔드포인트에서 프로그램을 실행시켜 자동으로 수집 시작
분석할 폴더,드라이브,메모리 선택 가능 폴더,드라이브 선택 불가능
동시 수집 불가 여러 엔드포인트에서 동시 수집 가능

IGNITE 특징

장점

  • 원격 엔트포인트 빠른 스캔이 가능하다.
  • 어디서나 액세스할 수 있다.
  • 하나의 에이전트로 여러 엔드포인트를 동시에 실행할 수 있다.
  • 아티팩트 및 파일의 초기 분석을 수행하고 키워드 검색 및 시간 필터를 적용할 수 있다.
  • 초기 분석 된 데이터를 케이스 파일 형식으로 제공해 준다.

단점

  • 폴더, 드라이브 단위 선택이 불가능하다.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.