[정의]
- 엔드포인트(PC, 서버 등)에서 발생하는 행위(프로세스 실행, 파일 변경, 레지스트리 수정, 네트워크 연결 등)를 실시간으로 기록 · 분석하여 위협을 탐지하고 대응
- 경계 장비를 우회 및 합법적 경로를 통해 내부로 들어오는 사례에 따른 탐지 대응하기 위한 솔루션
- 피싱, 랜섬웨어, 내부 보안 위험 최소화
[기능]
- 행위(프로세스 실행, 파일 변경, 레지스트리 수정, 네트워크 연결 등) 기록
- 행위기반 탐지 : 비정상 실행 체인, 의심 스크립트, 권한 상승 시도, 파일 리스, 정상도구 악용
- 엔드포인트 행위 실시간 감시 - 이상 징후 탐지 - 자동 대응 - 포렌식 기록 과정으로 이루어짐
[한계]
- 내부 가시성은 높지만, 전체 공격 흐름을 한 번에 파악하기 어려움
- 이메일 공격과 같은 시스템을 넘나드는 공격에 취약
'보안 > 보안 개념' 카테고리의 다른 글
| MDR(Managed Detection and Response) (0) | 2026.04.22 |
|---|---|
| XDR(Extended Detection and Response) (0) | 2026.04.22 |
| SOAR(Security Orchestration, Automation, and Response) (0) | 2026.04.22 |
| SIEM(Security Information and Event Management) (1) | 2026.04.22 |
| UTM(Unified Threat Management) (0) | 2026.04.22 |