NDR — Network Detection & Response
KYRA MDR collector 에이전트는 Network Detection and Response (NDR) 기능을 내장하고 있습니다. 로그 수집을 처리하는 동일한 collector 바이너리가 심층 패킷 검사, 플로우 추적, 행동 기반 베이스라인 설정, 위협 탐지까지 수행하므로 별도의 NDR 센서 배포가 필요하지 않습니다.
아키텍처
처리 파이프라인
네트워크 트래픽은 6단계 분석 파이프라인을 거칩니다:
flowchart LR
CAPTURE["Capture\nTAP / SPAN\nmirror"]
PARSE["Parse\nL3-L7\nprotocol parsers"]
FLOW["Flow\n5-tuple\nbidir tracker"]
BASELINE["Baseline\nrolling\nhourly stats"]
DETECT["Detect\nrule\nengines"]
EMIT["Emit\nalert"]
CAPTURE --> PARSE --> FLOW --> BASELINE --> DETECT --> EMIT
- Capture — 무차별 모드에서 TAP/SPAN/미러 포트로부터 원시 패킷 수집
- Parse — DNS, TLS, HTTP, SMB, SSH, RDP, Kerberos, DHCP에 대한 프로토콜 파싱
- Flow Tracking — 5-tuple 식별을 통한 양방향 플로우 조립
- Baselining — 행동 기반 이상 탐지를 위한 롤링 시간별 통계
- Detection — 시그니처, 행동 기반, 위협 인텔리전스 매칭을 포함한 다중 탐지 엔진
- Alert Emission — 탐지 알림은 로그 이벤트와 동일한 collector 파이프라인을 통해 전달
프로토콜 지원
| 프로토콜 | 분석 기능 |
|---|---|
| DNS | 쿼리/응답 로깅, DGA 탐지, 터널링 탐지, 의심스러운 도메인 resolve |
| TLS/SSL | JA3/JA3S 핑거프린팅, 인증서 검증, 만료/자체 서명 인증서 탐지 |
| HTTP | URL 분석, User-Agent 프로파일링, 의심스러운 다운로드 탐지 |
| SMB | 파일 공유 접근 모니터링, 측면 이동 탐지 |
| SSH | 세션 추적, 무차별 대입 공격 탐지, 비정상 키 교환 |
| RDP | 원격 접근 모니터링, 무차별 대입 공격 탐지 |
| Kerberos | 인증 모니터링, Golden/Silver Ticket 탐지 |
| DHCP | 디바이스 탐색, 비인가 DHCP 탐지 |
탐지 기능
시그니처 기반 탐지
- 알려진 악성코드 통신 패턴
- Command & Control (C2) 비콘 탐지
- 익스플로잇 킷 트래픽 식별
- 알려진 악성 IP/도메인 매칭
행동 기반 탐지
- 트래픽 볼륨 이상 (호스트별 바이트, 패킷, 연결 수)
- 비정상 프로토콜 사용 (비표준 포트의 DNS, 비정상 포트의 암호화 트래픽)
- 측면 이동 패턴
- 데이터 유출 지표 (대량 아웃바운드 전송, 비정상 업로드 비율)
- 비콘 탐지 (주기적인 아웃바운드 연결)
MITRE ATT&CK 매핑
모든 NDR 탐지 결과는 MITRE ATT&CK 기법에 매핑됩니다:
| 전술 | 탐지 예시 |
|---|---|
| Initial Access | 공개 애플리케이션 익스플로잇, 피싱 링크 클릭 |
| Execution | 의심스러운 스크립트 다운로드, 악성코드 fetch |
| Persistence | C2 비콘 수립 |
| Lateral Movement | SMB/RDP 피벗, Pass-the-Hash |
| Exfiltration | DNS 터널링, 외부 IP로의 대량 데이터 전송 |
| Command & Control | 비콘, DGA 도메인, 암호화된 C2 채널 |
배포
네트워크 요구 사항
- 네트워크 스위치에 TAP, SPAN 또는 미러 포트 구성
- 트래픽 캡처를 위한 collector 호스트의 전용 네트워크 인터페이스
- 최소 1 Gbps 인터페이스 (고트래픽 환경에서는 10 Gbps 권장)
성능
| 지표 | 처리 능력 |
|---|---|
| 처리량 | 최대 1 Gbps 지속 트래픽 분석 |
| Flow Tracking | 500,000개 이상의 동시 플로우 |
| 메모리 | NDR 모듈에 ~200 MB 추가 |
| 지연 시간 | 서브밀리초 패킷 처리 |
기능 게이팅
NDR은 테넌트별로 활성화되는 추가 기능입니다. NDR이 활성화되지 않은 경우:
- NDR 이벤트는 수집 레이어에서 거부됩니다
- NDR 트래픽은 별도로 추적되며 로그 수집 쿼터에 포함되지 않습니다
- Collector가 NDR 기능 상태를 보고하여 플랫폼이 적절한 구성 옵션을 표시할 수 있습니다