IGNITE는 사고 대응 조사를 위한 클라우드 기반의 초기 사례 평가 도구이다. 신속한 원격 스캔과 엔드포인트 분석을 수행하고 사고 범위와 다음 단계를 결정한다. 데이터 유출이나 주요 자산 접근을 확인할 수 있다. 또한, 자산 오용 및 정책 위반 파악하고 악의적인 활동을 한 엔드포인트를 분류할 수 있다.
IGNITE는 Chrome, Firefox, Edge에서 지원되고 웹사이트(Magnet IGNITE)에서 이메일 주소를 사용해 로그인한 후 사용할 수 있다. 일정 시간 활동이 없으면 로그아웃된다.
IGNITE 수집 단계
IGNITE 수집은 3단계(케이스 생성 & Agnet 생성 → Agnet 배포 → 수집)로 이루어진다.
케이스를 생성하면서 수집을 원하는 메모리 수집 및 아티팩트를 선택해 Agent를 생성한다. 생성된 Agent를 엔드포인트에 배포한 후 실행하면 자동으로 수집이 진행된다. 수집이 끝나면 배포된 Agent는 삭제된다.
IGNITE 시작하기
로그인 후 VIEW CASES 버튼을 클릭하면 [그림 3]과 같은 화면을 볼 수 있다. 기존에 생성했던 케이스 목록을 확인할 수 있고, CREATE CASE를 선택해 새로운 케이스를 생성할 수 있다. 또한. 우측 상단의 MY CASES, SHARED CASES로 사용자만 볼 수 있는 케이스와 팀 사용자들과 공유된 케이스를 분리해서 볼 수 있다.
생성된 케이스를 선택하면 케이스 관련 정보와 Agent 세팅 목록을 확인할 수 있다. 수집된 엔드포인트 관련 정보를 확인할 수 있고, 수집된 데이터와 분석된 데이터를 다운로드 할 수 있다.
SHARE CASE를 선택하면 같은 조직 내의 사용자에게 현재 케이스를 공유할 수 있다.
IGNITE Agent
Agent란 원격 획득을 수행하기 위해 엔드포인트에 배포된 독립 실행 프로세스이다. IGNITE에서는 케이스 생성 시 Agent 세팅을 진행하며, 생성된 Agent는 여러 엔드포인트에 배포 가능하다.
1) Agent 종류
Agent 유형은 Normal Agent, Covert Agent로 나뉘며 스캔 목적에 따라 선택할 수 있다. 엔드포인트 사용자의 악의적인 의도가 의심되지 않는다면 Normal Agnet 유형을 선택하길 권장한다.
- Normal Agent : 엔드포인트에서 CLI 창이 열리고 스캔하는 동안 모든 명령어가 표시된다. 작업관리자의 프로세스 탭에는 IgniteAgent.exe로 표시되며, 수집이 완료되면 프로그램이 자동으로 삭제 된다.
- Covert Agent : CLI 창이 표시되지 않으며 스캔하는 동안 명령어가 숨겨진다. 작업관리자의 프로세스 탭에는 services.exe로 표시되며, 수집이 완료되면 프로그램이 자동으로 삭제된다.
2) Agent 배포
Agent 배포 방법은 유형과 사용자에 따라 달라진다.
- Agent 다운로드 : IgniteAgent.exe 애플리케이션을 컴퓨터에 다운로드 한다. 로컬에서 다운로드 한 애플리케이션을 실행하거나 USB 등의 장치를 이용해 다른 엔드포인트로 복사할 수 있다.
- Agent 다운로드 링크 생성 : 클립보드에 링크를 복사해서 사용자에게 전송할 수 있다. 이 링크를 이용하면 IgniteAgent.exe 애플리케이션을 다운로드 받을 수 있다.
생성된 케이스 내 DOWNLOAD AGENT, DOWNLOAD COVERT AGENT 버튼을 선택해 직접 다운로드 할 수 있으며, 그 옆의 Copy 버튼을 눌러 다운로드 링크를 복사할 수 있다.
Magnet IGNITE 기능
1) 빠른 포렌식 인사이트 확보
RAM과 사고 대응, 네트워크 활동, 파일 로그, 라이브 시스템 등에 대한 아티팩트를 카테고리로 나누어 목적에 맞게 수집하고 검토할 수 있다. MTTR(Mean Time To Resolve)를 줄일 수 있고, 사고 범위를 평가할 수 있는 도구를 제공한다.
2) 필요시 확장 가능
클라우드 기반 솔루션이기 때문에 조사 규모에 맞게 확장할 수 있으며, 유지 관리나 하드웨어 투자가 필요하지 않다. 언제 어디서나 엑세스 가능하며 엔드포인트를 원격으로 스캔할 수 있어 데이터 수집에 편리하다.
3) 표면 침해 지표
엔드포인트 데이터에 맞춤 YARA 규칙을 적용해 악성코드 인스턴스와 기타 침해 지표를 신속하게 식별할 수 있다. 또한, 키워드 검색과 시간 필터를 사용해 사건에 필요한 증거에 초점을 맞출 수 있다. 필요 시 IGNITE에서 다운로드 한 Magnet Forensics MFDB로 AXIOM Cyber에서 심층 분석을 할 수 있다.
4) 팀과 공유 가능
조직 관리자가 팀 구성원을 쉽게 추가하거나 제거할 수 있고, 추가 비용이나 라이선스 없이 팀의 여러 구성원이 사용 가능하다.
Magnet Cyber와 IGNITE 비교
Magnet Cyber와 IGNITE는 아래 표와 같은 차이점이 있다.
AXIOM Cyber | Magnet IGNITE |
---|---|
분석가 ip 변경시 agent 재 배포 필요 | 분석가 ip 상관 없이 case 별로 배포 가능 |
Agent 배포 후 connet 상태일 때 분석가가 수집 범위 지정 필요 | Agent 배포 후 엔드포인트에서 프로그램을 실행시켜 자동으로 수집 시작 |
분석할 폴더,드라이브,메모리 선택 가능 | 폴더,드라이브 선택 불가능 |
동시 수집 불가 | 여러 엔드포인트에서 동시 수집 가능 |
IGNITE 특징
장점
- 원격 엔트포인트 빠른 스캔이 가능하다.
- 어디서나 액세스할 수 있다.
- 하나의 에이전트로 여러 엔드포인트를 동시에 실행할 수 있다.
- 아티팩트 및 파일의 초기 분석을 수행하고 키워드 검색 및 시간 필터를 적용할 수 있다.
- 초기 분석 된 데이터를 케이스 파일 형식으로 제공해 준다.
단점
- 폴더, 드라이브 단위 선택이 불가능하다.