λ³Έλ¬Έ λ°”λ‘œκ°€κΈ°
VMware/Carbon Black

Carbon Black EDR ꡬ좕 확인 사항

by Seungming 2023. 9. 6.
λ°˜μ‘ν˜•

Carbon Black Cloud ꡬ좕 확인 사항에 이어 On-prem 버전인 Carbon Black EDR 의 ꡬ좕 확인 사항에 λŒ€ν•΄ μž‘μ„±ν•˜κ³ μž ν•œλ‹€.
SaaS ν˜•μ‹μœΌλ‘œ μ œκ³΅ν•˜λŠ” Carbon Black Cloud 와 달리 Carbon Black EDR 은 On-prem 에 κ΅¬μΆ•λ˜μ–΄ μ‚¬μš©λœλ‹€. 
λ”°λΌμ„œ μ—”λ“œν¬μΈνŠΈμ˜ μ™ΈλΆ€ 톡신을 ν—ˆμš©ν•˜μ§€ μ•ŠλŠ” ν™˜κ²½μ—μ„œ μ„ ν˜Έν•˜κ³  μžˆλŠ” μ œν’ˆμ΄λ‹€.

1. ꡬ좕 정보

Carbon Black EDR 의 ν•„μš” μ •λ³΄λŠ” μ•„λž˜μ™€ κ°™λ‹€. 
μ‚¬μš©μžλŠ” μ›Ή μ‚¬μš©μž μΈν„°νŽ˜μ΄μŠ€λ₯Ό μ œκ³΅ν•˜λŠ” EDR Server ꡬ좕과 μ—”λ“œν¬μΈνŠΈμ— μ„€μΉ˜λ  Sensor 배포λ₯Ό μ§„ν–‰ν•˜κ³ , μœ„ν˜‘ μΈν…”λ¦¬μ „μŠ€λ₯Ό μ œκ³΅ν•˜λŠ” Feeds μ™€μ˜ 연동을 μ§„ν–‰ν•œλ‹€.

System Architecture

1-1. Carbon Black EDR

μ‚¬μš©μžλŠ” λ¨Όμ € λ‚΄λΆ€ μ›Œν¬λ‘œλ“œμ— Carbon Black EDR Appliance λ₯Ό λ°°ν¬ν•œλ‹€. 
EDR Appliance μ—μ„œλŠ” CB μ„œλΉ„μŠ€ μ‹€ν–‰/μ„Όμ„œ 데이터 μˆ˜μ§‘/Web UI 제곡/API μ—‘μ„ΈμŠ€ λ“±μ˜ κΈ°λŠ₯을 μ œκ³΅ν•œλ‹€.

Carbon Black EDRμ—μ„œ μ‚¬μš©ν•˜λŠ” DBλŠ” PostgreSQL κ³Ό Solr DB λ₯Ό μ‚¬μš©ν•˜κ³  μžˆλ‹€.
λ¨Όμ € PostgreSQL 에 μ €μž₯λ˜λŠ” λ°μ΄ν„°λŠ” μ˜¨λΌμΈμ— 접속할 λ•Œ μ„Όμ„œ 등둝과 같은 μ‚¬μš©μž ꡬ성, μ„œλ²„ ꡬ성 및 기타 μ‹œμŠ€ν…œ 관리에 μ‚¬μš©λ˜λŠ” 데이터λ₯Ό μ €μž₯ν•˜λ‚˜, μ„Όμ„œμ—μ„œ μˆ˜μ§‘λœ 이벀트λ₯Ό μ €μž₯ν•˜μ§€λŠ” μ•ŠλŠ”λ‹€. 

Solr DBλŠ” Carbon Black의 μ„Όμ„œ 데이터, 이벀트, λͺ¨λ“ˆ, ν”Όλ“œ, μ•ŒλžŒ λ“±κ³Ό 같은 핡심 λ°μ΄ν„°μ˜ μ €μž₯μ†Œλ‘œ ν™œμš©λœλ‹€
λ˜ν•œ Solr 검색 엔진을 ν™œμš©ν•˜μ—¬ λͺ¨λ“  λ°”μ΄λ„ˆλ¦¬, λͺ¨λ“  파일 μ‹€ν–‰, 파일 μˆ˜μ •, λ„€νŠΈμ›Œν¬ μ—°κ²° 및 λ ˆμ§€μŠ€νŠΈλ¦¬ μˆ˜μ •μ— λŒ€ν•œ 인덱싱을 μ œκ³΅ν•œλ‹€. 

1-2. Sensor Endpoint

Sensor μ„€μΉ˜κ°€ κ°€λŠ₯ν•œ μ—”λ“œν¬μΈνŠΈ OS λ²”μœ„λŠ” μ•„λž˜μ™€ κ°™λ‹€.

  • Windows (Desktop/Server) : UI μ„€μΉ˜, CLI μ„€μΉ˜
  • Linux : CLI μ„€μΉ˜
  • MAC : UI μ„€μΉ˜, CLI μ„€μΉ˜

μ›Ή μƒμ—μ„œ λ‹€μš΄λ°›μ„ 수 μžˆλŠ” Sensor 버전에 λŒ€ν•΄ 관리 λ˜ν•œ ν•„μš”ν•˜λ‹€. 버전 κ΄€λ¦¬λŠ” EDR Appliance μ—μ„œ κ°€λŠ₯ν•˜λ‹€.

  • /etc/yum.repos.d/CarbonBlack.repo 등둝 및 yum search λ₯Ό 톡해 μ΅œμ‹  νŒ¨ν‚€μ§€ 등둝
  • μ„Όμ„œ μ €μž₯ 경둜 :  /usr/share/cb/coreservices/installers

μ„Όμ„œλŠ” μ—”λ“œν¬μΈνŠΈμ—μ„œμ˜ ν™œλ™μ— λŒ€ν•œ 이벀트λ₯Ό μˆ˜μ§‘ν•˜κ³  있으며, μ‚¬μš©μžλŠ” μ„Όμ„œ κ·Έλ£Ή κΈ°μ€€μœΌλ‘œ 데이터 μˆ˜μ§‘ ν•­λͺ©μ„ 선택할 수 μžˆλ‹€.
μ„Όμ„œμ—μ„œ μˆ˜μ§‘λ˜λŠ” 상세 데이터에 λŒ€ν•œ μžμ„Έν•œ ν•­λͺ©μ€ VMware Docs λ₯Ό 톡해 확인이 κ°€λŠ₯ν•˜λ‹€.

1-3. Cloud Services (Threat Intelligence)

Carbon Black EDR 은 μ„Όμ„œμ—μ„œ μˆ˜μ§‘λœ 데이터λ₯Ό 기반으둜 λ³΄κ³ μ„œλ₯Ό μ œκ³΅ν•˜κ³  μžˆλ‹€. 
μ—°λ™λœ μœ„ν˜‘ μΈν…”λ¦¬μ „μŠ€ ν”Όλ“œ 기반으둜 λ³΄κ³ μ„œκ°€ 제곡되며, λ³΄κ³ μ„œ λ‚΄μš©μ—λŠ” μ•„λž˜μ™€ 같은 ν•­λͺ©μ΄ ν¬ν•¨λ˜μ–΄ μžˆλ‹€.

  • μœ„ν˜‘ 점수
  • IOC 정보 (파일 ν•΄μ‹œ κ°’(MD5/SHA-256), IP, 도메인, 쿼리, JA3, JA3S, ν–‰μœ„ νŒ¨ν„΄ λ“±)
  • λ³΄κ³ μ„œ μ„€λͺ… (μœ„ν˜‘ 탐지 원인, μ˜€νƒ 원인, ν–‰μœ„μ˜ μœ„ν˜‘λ„ 점수)
  • 탐지 근거에 λŒ€ν•œ 레포트 링크 (μ™ΈλΆ€ μ‚¬μ΄νŠΈ 연동 μ‹œ)

μ΄λŸ¬ν•œ λ³΄κ³ μ„œλ₯Ό μ œκ³΅ν•¨μœΌλ‘œμ¨ μ—”λ“œν¬μΈνŠΈμ—μ„œ λ°œμƒν•œ μœ„ν˜‘μ— λŒ€ν•œ κ°€μ‹œμ„±μ„ ν™•μž₯ν•˜μ—¬, μ‚¬μš©μžμ—κ²Œ 뢄석에 λŒ€ν•œ νŽΈλ¦¬μ„±μ„ μ œκ³΅ν•œλ‹€.
Feeds λ³„λ‘œ Enabled ν•˜μ—¬ ν™œμ„±ν™” 및 μ•Œλ¦Όμ„ 제곡 받을 수 있으며, Email λ˜λŠ” Syslog 둜 μ•Œλ¦Όμ΄ κ°€λŠ₯ν•˜λ‹€. 

기본적으둜 μ›Ή μƒμ—μ„œ 확인 κ°€λŠ₯ν•œ 20μ—¬κ°œμ˜ Feeds 외에 μ‚¬μš©μžκ°€ Feed λ₯Ό μΆ”κ°€ν•˜μ—¬ μ‚¬μš© κ°€λŠ₯ν•˜λ‹€. 
단 μƒμ„±λœ ν”Όλ“œκ°€ μŠ€ν‚€λ§ˆ 및 ν”Όλ“œ ꡬ쑰와 μΌμΉ˜ν•΄μ•Ό ν•¨μœΌλ‘œ 검증 μ ˆμ°¨κ°€ ν•„μš”ν•˜λ‹€. VMware μ—μ„œλŠ” μ‚¬μš©μž ν”Όλ“œμ— λŒ€ν•΄ 검증할 수 μžˆλ„λ‘ 슀크립트λ₯Ό μ œκ³΅ν•˜λŠ” Github μ‚¬μ΄νŠΈ λ˜ν•œ μš΄μ˜ν•˜κ³  μžˆλ‹€.

2. μ„€μΉ˜ ν™˜κ²½

Carbon Black EDR 은 λ§Žμ€ μ–‘μ˜ 데이터λ₯Ό μˆ˜μ§‘ 및 κ΄€λ¦¬ν•˜κ³  있으며, μˆ˜μ§‘λœ 데이터λ₯Ό ν™œμš©ν•˜μ—¬ ν™˜κ²½ 뢄석에 κ°€μ‹œμ„±μ„ μ œκ³΅ν•˜κ³  μžˆλ‹€.
λ”°λΌμ„œ μΌμ •ν•œ ν•˜λ“œμ›¨μ–΄ μ„±λŠ₯이 보μž₯λ˜μ§€ μ•ŠμœΌλ©΄ μ‚¬μš©μž κ²½ν—˜μ— μ•ˆμ’‹μ€ 영ν–₯을 끼칠 수 μžˆμœΌλ―€λ‘œ μ μ ˆν•œ μ„±λŠ₯ 보μž₯이 ν•„μš”ν•˜λ‹€. 

VMware μ—μ„œλŠ” μ μ ˆν•œ ν•˜λ“œμ›¨μ–΄ μ„±λŠ₯을 κ²°μ •ν•  수 μžˆλ„λ‘ ꢌμž₯ 사항에 λŒ€ν•œ κ°€μ΄λ“œλ₯Ό μ œκ³΅ν•˜κ³  μžˆλ‹€.
κ°€μ΄λ“œμ—μ„œλŠ” μ—”λ“œν¬μΈνŠΈ ν™œλ™μ— 따라 μ μ ˆν•œ CPU, RAM, λ””μŠ€ν¬, ν΄λŸ¬μŠ€ν„° 크기λ₯Ό κ²°μ •ν•˜λ„λ‘ μ•ˆλ‚΄ν•˜κ³  μžˆλ‹€. 

2-1. 관리 μ„œλ²„

μ„œλ²„ λ‹Ή μ΅œλŒ€ 18,150 개의 μ„Όμ„œ λ˜λŠ” μ΅œλŒ€ 10.5 TB 의 ν”„λ‘œμ„ΈμŠ€ 이벀트 데이터λ₯Ό 지원할 수 μžˆμŒμ„ μ•ˆλ‚΄ν•œλ‹€.
μ‹€ ν™˜κ²½μ—μ„œ μ‚¬μš©λ˜λŠ” μ„Όμ„œ μˆ˜μ™€ 데이터 μ €μž₯ 기간은 μ—”λ“œν¬μΈνŠΈ ν™œλ™μ— 따라 κ²°μ •λ˜λ―€λ‘œ λ¦¬μ†ŒμŠ€ 결정을 μœ„ν•΄ 사전 확인 μ ˆμ°¨κ°€ ν•„μš”ν•˜λ‹€.

이벀트 데이터 양이 10.5TB λ₯Ό μ΄ˆκ³Όν•  경우, 단일 μ„œλ²„λ‘œ κ΅¬μ„±ν•˜μ§€ μ•Šκ³  ν΄λŸ¬μŠ€ν„°λ₯Ό κ΅¬μ„±ν•˜μ—¬ μ‚¬μš©λœλ‹€.
ν΄λŸ¬μŠ€ν„°λ‘œ ꡬ성할 경우 단일 μ½˜μ†” μ•„λž˜μ—μ„œ DBλ₯Ό μ΅œλŒ€ 8개의 ν΄λŸ¬μŠ€ν„°λ‘œ κ·Έλ£Ήν™”ν•˜μ—¬ μ‚¬μš© κ°€λŠ₯ν•˜λ©°, ν•΄λ‹Ή κ΅¬μ„±μ—μ„œλŠ” μ΅œλŒ€ 150,000 개의 μ„Όμ„œλ₯Ό 지원할 수 μžˆλ‹€. 

단일 ν΄λŸ¬μŠ€ν„°μ˜ 크기λ₯Ό μ΄ˆκ³Όν•˜μ—¬ μ„€μΉ˜λ˜λŠ” κ²½μš°μ—λŠ” 닀쀑 ν΄λŸ¬μŠ€ν„° ν™˜κ²½ ꡬ성도 μ§€μ›ν•œλ‹€. 
닀쀑 ν΄λŸ¬μŠ€ν„° ꡬ성 μ‹œμ—λŠ” Unified View Server λ₯Ό μ œκ³΅ν•˜μ—¬ μ—¬λŸ¬ ν΄λŸ¬μŠ€ν„°λ₯Ό ν•˜λ‚˜μ˜ μ½˜μ†”μ—μ„œ 확인할 수 μžˆλ‹€.

2-1-1. 사이징 

μœ„μ—μ„œ μ–ΈκΈ‰ν•œ κ²ƒμ²˜λŸΌ 단일 μ„œλ²„μ—μ„œ 지원할 수 μžˆλŠ” 10.5 TB λ₯Ό μ΄ˆκ³Όν•˜λŠ” 경우 ν΄λŸ¬μŠ€ν„° ꡬ성이 ν•„μš”ν•˜λ©°, 단일 ν΄λŸ¬μŠ€ν„°μ—μ„œ 지원 κ°€λŠ₯ν•œ λ²”μœ„λ₯Ό μ΄ˆκ³Όν•˜λŠ” 경우 닀쀑 ν΄λŸ¬μŠ€ν„° ν™˜κ²½ ꡬ성이 ν•„μš”ν•˜λ‹€.

단일 μ„œλ²„ ꡬ성에 λ”°λ₯Έ 사이징에 λŒ€ν•΄ μ•Œμ•„λ³΄μž.
λ””μŠ€ν¬ 곡간은 비데이터 λ“œλΌμ΄λΈŒμ— λŒ€ν•œ λ””μŠ€ν¬ 곡간과 데이터 μ €μž₯을 μœ„ν•œ ν•˜λ“œ λ””μŠ€ν¬ 곡간에 λŒ€ν•œ 츑정을 μ§„ν–‰ν•œλ‹€.

(데이터 μ €μž₯을 μœ„ν•œ λ””μŠ€ν¬ 곡간 μΈ‘μ • 방법)

Total Event Data Volume = (μ—”λ“œν¬μΈνŠΈ μ„Όμ„œ μ„€μΉ˜ 개수 * μ—”λ“œν¬μΈνŠΈ ν™œλ™ μΆ”μ • κ°’ * μ—”λ“œν¬μΈνŠΈ ν™œλ™ λ””μŠ€ν¬ μ €μž₯ 크기) * 보쑴 κΈ°κ°„

(비데이터 λ“œλΌμ΄λΈŒλ₯Ό μœ„ν•œ λ””μŠ€ν¬ 곡간)

/ (OS μ €μž₯ 및 μ–΄ν”Œλ¦¬μΌ€μ΄μ…˜ μ„€μΉ˜ 곡간) : 10 GB 의 μ—¬μœ  곡간
/tmp 디렉토리 용 (진단 파일) :  75GB 의 μ—¬μœ  곡간
/var/log/cb 용(둜그 및 λ©”λͺ¨λ¦¬λ€ν”„) : μ„œλ²„ 총 RAM의 70%에 ν•΄λ‹Ή λ˜λŠ” λ””μŠ€ν¬ 곡간

데이터 νŒŒν‹°μ…˜ 경둜인 /var/cb/data 은 μ΅œλŒ€ν•œ λΉ λ₯΄κ²Œ λ™μž‘ν•΄μ•Ό ν•˜λ―€λ‘œ κ³ μ„±λŠ₯ λ””μŠ€ν¬ SSD ν˜Ήμ€ RAID ꡬ성을 ꢌμž₯ν•©λ‹ˆλ‹€.
VMware κ°€μ΄λ“œ 상 2TB μ €μž₯ 곡간이 ν•„μš”ν•œ 경우, RAID5 ꡬ성에 μ΅œμ†Œ 5개의 solid-state SAS λ“œλΌμ΄λ²„λ₯Ό μ‚¬μš©ν•˜λ„λ‘ ꢌμž₯ν•˜κ³  μžˆλ‹€.

VMware μ—μ„œλŠ” 배포 규λͺ¨μ—μ„œ μΆ©λΆ„ν•œ μ²˜λ¦¬λŸ‰μ„ μ‚¬μš©ν•  수 μžˆλŠ”μ§€, λ””μŠ€ν¬λ₯Ό 검증할 수 μžˆλŠ” 도ꡬ인 'Carbon Black EDR Qualifier tool' 을 μ œκ³΅ν•˜κ³  μžˆλ‹€.

2-1-2. 지원 OS λ²”μœ„

https://docs.vmware.com/en/VMware-Carbon-Black-EDR/services/cb-edr-oer-guide/GUID-58486932-0436-4495-9ECC-3D269E98722F.html

 

Server Versions and Operating Systems

This topic describes Carbon Black EDR server versions and the operating systems they support.

docs.vmware.com

2-2 μ—”λ“œν¬μΈνŠΈ μ„Όμ„œ

2-2-1. μ—”λ“œν¬μΈνŠΈ ν•˜λ“œμ›¨μ–΄ ꢌμž₯ 사항

2-2-2. μ—”λ“œν¬μΈνŠΈ μ„Όμ„œ OS 지원 λ²”μœ„

2. 톡신 흐름

Carbon Black EDR μ„œλ²„μ—μ„œλŠ” nginx 데λͺ¬μ„ μ‚¬μš©ν•˜μ—¬ μ›Ή 기반의 μΈν„°νŽ˜μ΄μŠ€λ₯Ό μ œκ³΅ν•˜κ³  μžˆλ‹€.
μ„Όμ„œμ™€ μ„œλ²„ κ°„μ˜ 톡신 λ˜λŠ” Thread intelligence와 μ„œλ²„ κ°„μ˜ ν†΅μ‹ μ—λŠ” 기본적으둜 TCP 443 톡신을 μ§„ν–‰ν•œλ‹€.

λ³„λ„μ˜ λ³€κ²½ 없이 μ‚¬μš©ν•˜κ²Œ λœλ‹€λ©΄ 기본적으둜 μ•„λž˜μ™€ 같이 λ°©ν™”λ²½ 섀정이 ν•„μš”ν•˜λ‹€.

μΆœλ°œμ§€ λͺ©μ μ§€  포트 λΉ„κ³ 
Sensors Server tcp/443  
Server CB Threat Intelligence
   - api.alliance.carbonblack.com
   - threatintel.bit9.com
Alliance Server		 tcp/443  
Server yum Repository
  - yum.distro.carbonblack.io		 tcp/443 κΈ°λ³Έ CentOS Repository 일 경우 tcp/80

μœ„μ—μ„œ μ–ΈκΈ‰ν•œ 바와 같이 μ„Όμ„œ-μ„œλ²„ κ°„μ˜ 톡신 or Web UI (API) 톡신 ν¬νŠΈλŠ” 기본적으둜 443 으둜 μ‚¬μš©ν•˜μ§€λ§Œ 변경도 κ°€λŠ₯ν•˜λ‹€.
λ³€κ²½ 방법은 /etc/cb/cb.conf 경둜둜 μ ‘μ†ν•˜μ—¬ μ•„λž˜ ν•­λͺ©μ— λŒ€ν•œ 포트 섀정을 μ§„ν–‰ν•˜λ©΄ λœλ‹€. 이 외에도 cb.conf νŒŒμΌμ„ μˆ˜μ •ν•˜μ—¬ 섀정을 진행할 수 μžˆλ‹€. 

  • NginxSensorHttpPort=443 (μ„Όμ„œ 톡신 포트)
  • NginxWebApiHttpPort=443 (Web UI 및 API 톡신 포트)
λ°˜μ‘ν˜•
μ €μž‘μžν‘œμ‹œ λΉ„μ˜λ¦¬ λ³€κ²½κΈˆμ§€

'VMware > Carbon Black' μΉ΄ν…Œκ³ λ¦¬μ˜ λ‹€λ₯Έ κΈ€

Carbon Black EDR μ„œλ²„ μ„€μΉ˜ 및 ꡬ성  (0) 2023.09.07
Carbon Black Cloud Workload 배포 및 ꡬ성  (0) 2023.08.17
Carbon Black Cloud Sensor Agent 관리  (0) 2023.08.11
Carbon Black Cloud ꡬ좕 확인 사항  (0) 2023.08.01
Carbon Black Cloud μ½˜μ†” μ‚¬μš©μž 계정 관리  (0) 2023.07.19

κ΄€λ ¨κΈ€

λŒ“κΈ€

ν‹°μŠ€ν† λ¦¬νˆ΄λ°”