Threat Intelligence
글로벌 위협 탐지 현황을
한눈에 보여주는
인텔리전스 대시보드
산업군, 기업 규모, 공격자 국가별 필터링을 통해 CrowdStrike(크라우드스트라이크)가 탐지한 IOC 지표를 직관적인 대시보드로 확인할 수 있습니다. 전 세계 Falcon 센서에서 수집된 데이터를 기반으로 공격자, 멀웨어 패밀리, MITRE ATT&CK 전술·기술별 탐지 현황을 비교 분석할 수 있으며, 관련 위협 인텔리전스 리포트를 함께 제공해 위협의 맥락을 빠르게 파악할 수 있습니다.
별도의 설정 없이 즉시 활용 가능하며, 데이터는 24시간 주기로 자동 업데이트됩니다. 또한 과거 IOC 이력 조회를 통해 장기적인 위협 추이 분석도 지원합니다.
국가 기반 공격 그룹을
체계적으로 관리하는
Threat Actor Intelligence
CrowdStrike는 전 세계 260개 이상의 국가 기반 위협 공격 그룹을 지속적으로 추적하고 있으며, 출신 국가와 조직적 특성에 따라 공격자 명칭을 체계적으로 정의합니다. 각 공격 그룹은 고유한 동기와 표적 산업군을 가지고 있으며, 다양한 전술과 공격 기법을 활용해 활동합니다.
공격 그룹은 활동 상태에 따라 Active, Inactive, Retired로 분류됩니다. Active는 현재 활동 중인 공격자를 의미하며, Inactive는 일정 기간 활동이 중단되었거나 체포·기소된 경우를, Retired는 다른 공격 그룹과의 병합 등으로 더 이상 개별 추적되지 않는 경우를 의미합니다.
공격자 아이콘 또는 이름을 클릭하면 상세 프로필 화면으로 이동하며, 개요 정보, 인텔리전스 리포트, Kill Chain 분석, MITRE ATT&CK 매핑, 관련 IOC 등 심층 분석 정보를 확인할 수 있습니다.
악성코드 패밀리 기반의
정밀한 위협 분석
CrowdStrike는 전 세계에서 탐지된 악성코드를 패밀리 단위로 체계적으로 분류해 제공합니다. 각 악성코드에 대해 명칭과 상세 설명은 물론, 연관된 공격자 및 APT 그룹 정보를 함께 제공해 위협의 배경을 명확히 이해할 수 있도록 지원합니다.
또한 해당 악성코드가 활용하는 MITRE ATT&CK 전술과 기술, 관련 IOC, 연계된 위협 리포트까지 함께 확인할 수 있어 악성코드의 특성과 전체 공격 흐름을 종합적으로 파악할 수 있습니다.
대규모 IOC 데이터베이스
쿼리 및 유연한 연동 지원
Indicators 메뉴를 통해 CrowdStrike Intelligence의 방대한 침해 지표(IOC) 데이터베이스를 직접 쿼리할 수 있습니다. IOC 데이터는 지속적으로 업데이트되며, Falcon 콘솔뿐 아니라 API를 통해 SIEM 및 타사 위협 인텔리전스 플랫폼과 연동해 활용할 수 있습니다.
Export 기능을 사용하면 최대 100만 건까지 CSV 또는 JSON 형식으로 데이터를 내보낼 수 있으며, 이를 초과하는 경우 검색 조건을 분할해 다운로드할 수 있습니다. 생성된 파일은 요청 시점 기준 72시간 동안 다운로드 가능하며, 동시에 최대 5개까지 생성할 수 있습니다.
YARA 기반
고성능 악성코드 검색 엔진
Falcon MalQuery
Falcon MalQuery는 방대한 악성코드 샘플을 신속하고 효율적으로 탐색할 수 있는 고성능 검색 엔진입니다. 보안 연구원과 전문가는 YARA 룰 기반 검색을 통해 악성코드를 탐색하고, 헌팅 및 모니터링 룰을 생성할 수 있습니다.
ASCII 및 유니코드를 포함한 바이트 시퀀스와 패턴 조합 검색을 지원하며, 사용자 정의 YARA 패턴과 일치하는 샘플을 직접 다운로드할 수 있습니다. 또한 YARA 패턴을 모니터링 룰로 등록하면, 이후 새롭게 탐지되는 결과에 대해 이메일 알림을 받아볼 수 있습니다.
실제 행위 기반 분석을
제공하는
자동·수동 샌드박스 분석
의심스럽거나 악성으로 판단된 파일과 URL을 자동 또는 수동으로 수집해 분석하는 샌드박스 기반 모듈입니다. 가상머신 환경에서 실제로 샘플을 실행하거나 URL에 접근해 악성 행위를 분석하며, 분석 결과는 상세 리포트로 제공됩니다.
리포트에는 파일 또는 URL의 위험 여부를 판단하는 데 필요한 핵심 행위 정보가 포함되어 있어, 신속하고 정확한 대응이 가능합니다. 자동 Sandbox 분석이 수행되는 경우 고객의 수동 분석 요청 횟수는 차감되지 않으며, 이는 악성 파일 격리 시 또는 Android APK 분석이 활성화된 경우에 적용됩니다.
