전역 위협 알림의 알림을 SecureX 인시던트 관리자로 승격하는 기능을 추가했습니다. 이 기능을 켜려면 전역 위협 알림 콘솔의 헤더에서 Early Access(얼리 액세스)를 활성화해야 합니다.

활성화되면 SecureX 인시던트 관리자가 전역 위협 알림의 기존 워크플로우를 대체합니다. 알림은 New(신규), Accepted(수락됨) 또는 Rejected(거부됨)로 분류됩니다.

Accept(수락) 또는 Reject(거부) 버튼을 사용하여 새 알림을 두 가지 상태 중 하나로 전환할 수 있습니다.

글로벌 위협 알림은 확장된 탐지 및 효율적인 알림 분류 같은 핵심 역량에 계속 집중하지만, 이제 클릭 한 번으로 탐지를 SecureX의 인시던트 대응 워크플로우로 승격하는 SecureX 에코시스템을 이용해 더욱 긴밀하게 통합됩니다.

수락한 알림은 SecureX 인시던트 관리자에서 기존 또는 새 인시던트에 연결할 수 있습니다.

SecureX 인시던트 관리자에 있는 인시던트에는 Summary(요약) 및 원래 알림의 모든 보안 Events(이벤트)와 Observables(관찰 가능 항목)을 포함한 세부 정보가 포함됩니다. 조사, 강화 및 오케스트레이션 같은 SecureX 기능을 사용하여 추가로 조사하고 대응할 수 있습니다.

알림을 인시던트로 승격하는 것이 바람직하지 않다면 거부하면 됩니다. 이 경우 Cisco 팀에 피드백을 보내 알림을 거부한 이유를 통보할 수 있습니다. 감사합니다. 귀하의 소중한 피드백은 네트워크에서의 향후 탐지를 개선하는 데 도움이 됩니다.

다음과 같은 새로운 위협 탐지가 포트폴리오에 추가되었습니다.

• IceID

• Lemon Duck

또한 다양한 저위험 위협 탐지가 강화되었습니다.

IceID

BokBot이라고도 하는 IcedID(S0483)는 금융 정보를 노리는 모듈형 뱅킹 트로이 목마입니다. 다양한 감염 벡터를 활용하며, 다른 악성코드에 대한 드로퍼 역할을 하기도 합니다(T1105). 모듈형 구조와 드로퍼 기능 때문에 Emotet(S0367)의 후속으로 간주됩니다. IceID는 브라우저 세션(T1185)에서 금융 정보 및 뱅킹 자격 증명을 훔쳐 사기 거래에 사용합니다. IcedID는 탐지(TA0005)를 방지하기 위해 자신을 원격 프로세스(T1055.004)에 삽입하기도 합니다.

사용자 환경에서 IcedID가 탐지되었는지 확인하려면 IcedID Threat Detail(IcedID 위협 세부 정보)을 클릭하여 전역 위협 알림에서 관련 세부 정보를 확인하십시오.

Lemon Duck

Lemon Duck은 암호화폐 채굴을 위한 파일 없는 PowerShell 악성코드에 속합니다. 이 악성코드는 EternalBlue 익스플로잇, 해시 통과 및 비밀번호 무차별 대입을 사용하여 로컬 네트워크의 다른 시스템으로 확산됩니다. 암호화폐 채굴기는 대량의 CPU 또는 GPU 리소스를 사용하여 비트코인이나 모네로 같은 암호화폐를 채굴합니다.

사용자 환경에서 Lemon Duck이 탐지되었는지 확인하려면 Lemon Duck Threat Detail(Lemon Duck 위협 세부 정보)을 클릭하여 전역 위협 알림에서 관련 세부 정보를 확인하십시오.