SharedIT | 묻고 답하기(AMP)

혹시 다크트레이스 쓰시는 분 있을까요?

현 회사에서 다크트레이스를 쓰는 중인데

딱히 기본적인 세팅으로 쓰는 중입니다.

혹 다크트레이스 운영하시는 분 중에 최적화 밑 오탐 줄이기 위해 어떤 일을 하시는지 알 수 있을까요?

그리고 별도의 커스텀 모델을 만드시기도 하나요?? 

2개의 답변이 있습니다.

한그루
  0 추천 | 3년 이상 전

이거 사용하시는 회사가 그대도 좀 있군요. 

저희도 사용중 이긴한데 잘 몰라서 좀 답답한 면이 없지않아 있었는데

이렇게 사용하시는 곳들이 있으시니 반갑네요. 

저희는 본사에서 보내줘서 설치해놓고 크게 신경을 안쓰고 있습니다.

사무실단에서 이상 증후 포착 용으로 사용하고 있습니다.

개복치 | 3년 이상 전

오피스단에서 보안솔류션은 다크트레이스 말고 어떤거 운영하시는 지 알 수 있을까요? IDS라도 구축해야하려나. 백신이랑 DLP 있긴 한데.. 이걸로는 좀 부족한거 같아서

pakco39
  0 추천 | 3년 이상 전

우리회사도 사용중인데요.

아시다시피 다크트래이스는 이상탐지 목적이지 차단까지 진행되지는 않습니다.

c&c 사이트 접속 및 다운로드 유도, 서버 접근 시도에 대한 이상행위 탐지 능력은 탁월하다고 생각됩니다.

모바일 관제도 제공되는데요. 이거 하면 담당자가 피곤하겠죠.

오탐을 줄이려면 항시관제,추적 밖에 답이 없을 것 같습니다. 

개복치 | 3년 이상 전

탐지 자체는 시그니처 기반보다는 확실히 해당 행위에 대한 탐지가 있긴한데, 문제는 이벤트의 대다수가 오탐이고, 실제 확인할 정도의 영향력 있는 이벤트는 1%로 안되는 문제가 있네요;;; 좀 최적화를 해서 최대한 리소스를 줄이고 싶은데...  단순 감사용 로그로는 진짜 좋은거 같긴한데;;; 차라리 IDS, FW, DLP 등 등 조합으로 ELK SIEM을 구축하는게 좋을지... 단순 IDS라면 진짜 커스텀 하기 편한데..  룰에 대한 커스텀이 너무 힘드네요..