Platform ♡
Forensic
공격 흔적을 원격 라이브 포렌식으로 확인하고 증거화합니다.
탐지 이후에는 “무엇이 바뀌었는가”를 빠르게 확인해야 합니다.
공격자는 파일, 계정, 프로세스, 네트워크, 자동 실행, 웹셸 흔적을 남깁니다.
스냅샷과 변경 비교 없이 침해 범위를 판단하기는 어렵습니다.
공격자는 파일, 계정, 프로세스, 네트워크, 자동 실행, 웹셸 흔적을 남깁니다.
스냅샷과 변경 비교 없이 침해 범위를 판단하기는 어렵습니다.
PLURA-Forensic은 최초 상태와 현재 상태를 자동 비교(diff)하여 변경 흔적을 증거로 보여 줍니다.
WAF·EDR·SIEM 탐지 이벤트와 포렌식 아티팩트를 연결해 침해 확인 → 원인 분석 → 대응 → 재발 방지까지 지원합니다.
WAF·EDR·SIEM 탐지 이벤트와 포렌식 아티팩트를 연결해 침해 확인 → 원인 분석 → 대응 → 재발 방지까지 지원합니다.
원격 라이브 포렌식으로 서버·PC의 주요 상태를 빠르게 조회
최초 스냅샷과 현재 스냅샷 자동 비교(diff)로 위변조 흔적 확인
웹 공격 이후 웹셸, 권한 상승, 파일 변경, 프로세스 실행 흔적 분석
랜섬웨어·APT·계정 탈취 이후 후속 행위 추적
PLURA-WAF·EDR·SIEM과 연계해 공격 체인과 포렌식 증거를 상관 분석
Windows 서버·PC와 Linux 기반 호스트의 주요 아티팩트 수집·분석 지원
침해사고 보고서와 감사 대응에 필요한 증거 관리 지원
포렌식 기능
아티팩트 수집 및 분석 대상
시스템 및 네트워크 설정
시스템 무결성 검사
네트워크 활동 및 외부 연결 흔적
사용자 활동, 계정, 로그인 흔적
파일 및 데이터 변경 이력
자동 실행, 서비스, 스케줄러 항목
소프트웨어 및 패치 상태
프로세스 실행 및 의심 프로세스 정보
메모리 및 저장소 상태
웹셸·위변조·민감정보 유출 관련 흔적
자동 비교·증거화·대응
최초 스냅샷 생성 및 보관
현재 스냅샷 수집 및 자동 diff 비교
변경 항목 중심의 조사 우선순위 제시
SIEM 탐지 이벤트와 포렌식 결과 상관 분석
의심 프로세스 확인 및 종료 지원
침해사고 보고서 작성을 위한 증거 요약
- 특징
- 제로 트러스트 아키텍처(ZTA) 구현에 필요한 호스트 상태 가시성 제공
- HOSTS 파일, DNS, 네트워크 설정 등 우회·탈취 흔적 확인
- 네트워크 상태 및 Promiscuous 모드 확인
- 보안 상태(SELinux & AppArmor) 확인
- 파일 속성, 디렉토리 파일 정보, 특정 경로 변경 확인
- iptables 규칙 및 사용량 확인
- 실행 프로세스 및 의심 프로세스 정보 확인
- 자동 실행, 서비스, 스케줄러 등 지속성(Persistence) 흔적 확인
- 최초/현재 스냅샷 비교를 통한 위변조·설정 변경 탐지
- PLURA-SIEM·AI-XDR 연동 서비스 기능
- WAF 탐지 이후 웹셸·파일 변경·서버 명령 실행 흔적 자동 확인
- EDR 탐지 이후 프로세스·계정·네트워크·자동 실행 흔적 상관 분석
- SIEM 경보와 포렌식 스냅샷 결과를 연결해 공격 체인 추적
- 최초와 현재 스냅샷 자동 비교 관리(diff)
- 스냅샷 정보 관리 및 장기 보관
- 호스트 정보 조회와 원격 증거 수집
- 침해사고 보고서·감사 대응을 위한 증거 요약 지원
기존 포렌식 vs PLURA-Forensic vs AI-XDR 연계 효과
| 비교 항목 | 기존 포렌식 방식 | PLURA-Forensic | AI-XDR 연계 효과 |
|---|---|---|---|
| 조사 시점 | 사고 이후 수동 조사 제한 | 원격 라이브 조회와 스냅샷 비교 | 탐지 직후 자동 조사 흐름으로 연결 우수 |
| 분석 범위 | 특정 파일·장비 중심 분석 제한 | 시스템, 계정, 프로세스, 네트워크, 파일, 자동 실행 항목 분석 | WAF·EDR·SIEM 이벤트와 연결해 공격 체인 확인 매우 우수 |
| 변경 확인 | 담당자 경험 기반 수동 비교 취약 | 최초/현재 스냅샷 자동 diff 비교 | 변경 항목을 탐지 이벤트와 상관해 우선순위화 매우 우수 |
| 웹 공격 후속 분석 | 웹 로그와 서버 상태를 따로 확인 분절 | 웹셸, 파일 변경, 프로세스 실행, 외부 연결 흔적 확인 | WAF 탐지 → 서버 포렌식 → SIEM 상관 분석으로 확장 우수 |
| 증거 관리 | 산출물과 조사 이력이 분산 부족 | 스냅샷, diff 결과, 조사 이력 관리 | 침해사고 보고서와 재발 방지 조치로 연결 우수 |
기존 침해사고 분석 체계 vs PLURA-Forensic 기반 AI-XDR 체계
| 비교 항목 | 기존 침해사고 분석 체계 | PLURA-Forensic 기반 AI-XDR 체계 |
|---|---|---|
| 침해 확인 방식 | 경보 확인 후 담당자가 장비별로 수동 점검 지연 | 탐지 이벤트 기준으로 관련 호스트 스냅샷과 변경 항목을 즉시 확인 우수 |
| 공격 체인 분석 | 웹, 서버, PC, 계정 로그가 분리되어 흐름 파악이 어려움 취약 | WAF·EDR·SIEM·Forensic을 연결해 최초 침투부터 후속 행위까지 추적 매우 우수 |
| 웹셸·위변조 분석 | 파일 시스템과 웹 요청 로그를 별도로 조사 분절 | 웹 공격 탐지와 파일 변경·프로세스 실행·외부 연결 흔적을 상관 분석 우수 |
| 랜섬웨어·APT 대응 | 감염 이후 피해 파일과 일부 로그 중심 분석 제한 | 프로세스, 자동 실행, 네트워크 연결, 계정 행위, 파일 변경을 함께 확인 우수 |
| 운영 방식 | 전문 분석가 의존도가 높고 반복 점검이 어려움 부담 | 표준화된 아티팩트 수집과 자동 diff로 반복 가능한 조사 체계 제공 우수 |
| 보고·재발 방지 | 조사 결과 정리와 재발 방지 항목 도출에 시간이 소요 지연 | 변경 근거, 탐지 이벤트, 조치 이력을 연결해 보고서와 재발 방지 조치 지원 우수 |
PLURA-Forensic의 AI-XDR 연계 분석 흐름
-
1
탐지 이벤트에서 조사 대상을 자동 선정
WAF·EDR·SIEM 경보의 IP, 계정, 호스트, 프로세스, URL 정보를 기준으로 관련 호스트와 아티팩트를 식별합니다. -
2
최초/현재 스냅샷 비교로 변경 흔적 확인
파일, 설정, 계정, 자동 실행, 네트워크, 프로세스 정보를 비교해 정상 운영 변화와 침해 의심 변화를 구분합니다. -
3
공격 체인과 포렌식 증거 상관 분석
웹 공격, 서버 명령 실행, 웹셸 생성, 외부 연결, 계정 사용, 후속 프로세스 실행을 하나의 흐름으로 연결합니다. -
4
대응과 보고서 작성까지 연결
의심 프로세스 종료, 정책 보완, 차단 룰 적용, 보고서 작성에 필요한 증거 요약을 지원합니다.