개요

목적

본 문서는 Network Blackbox(이하 NBB)를 중심으로 SentinelOne EDR을 연동하여 사용하는 환경에서, 운영자가 보안 이벤트의 수집 상태를 확인하고 탐지된 이벤트를 분석·판단·우선순위화하는 방법을 안내합니다.

Network Blackbox는 네트워크 관점에서 비정상 통신과 위협 행위를 탐지하는 주 시스템이며, SentinelOne EDR은 NBB가 탐지한 이벤트에 대해 엔드포인트 컨텍스트를 제공하는 보조 정보원으로 활용됩니다.

EDR 연동은 단순한 탐지 범위 확장이 아니라, 네트워크 기반 위협을 보다 정확하게 해석하고 조치가 필요한 이벤트를 선별하기 위한 판단 근거를 강화하는 역할을 합니다.

이를 통해 운영자는 이벤트가 실제 사용자 단말인지, 업무용 장비인지 등을 빠르게 판단할 수 있으며, 결과적으로 MTTR(Mean Time To Response)을 효과적으로 단축할 수 있습니다.

적용 범위

본 사용자 매뉴얼은 다음 내용을 포함합니다.

• NBB가 탐지한 네트워크 기반 보안 이벤트 확인

• SentinelOne 엔드포인트 컨텍스트 정보 확인

  – 단말명, 사용자 계정, OS, 모델 등

• NBB 알람에서 EDR 연동 정보 활용 이해

• 연동된 위협 이벤트 및 보안 상태 확인

본 문서에서는 다음 내용은 다루지 않습니다.

• SentinelOne 연동 설정 및 초기 구성

• API 토큰 생성 / 갱신 / 삭제

• 연동 장애 기술 분석

• SentinelOne 콘솔 정책 및 대응 방법

연동 데이터 이해하기

연동 데이터 흐름

NBB는 네트워크 트래픽을 분석하여 비정상 통신, 내부 확산, C2/Beaconing, 데이터 유출 및 Unknown Threat를 탐지합니다.

SentinelOne EDR Agent는 단말 내부의 프로세스, 사용자, OS 등 엔드포인트 컨텍스트 정보를 수집합니다.

NBB는 주기적으로 SentinelOne의 정보를 참조 형태로 수집하여, 탐지된 네트워크 이벤트와 연계합니다.

즉, 탐지는 NBB 수행하고, EDR은 분석 정확도를 높이기 위한 보조 정보로 활용됩니다.

이 구조를 통해 단순 이벤트가 아닌, 조치 우선순위를 판단할 수 있는 보안 이벤트로 전환됩니다.

연동 아키텍처

본 연동 구조에서 중심 시스템은 Network Blackbox(NBB)입니다.

• NBB는 네트워크 텔레메트리를 기반으로 위협 탐지 및 상관 분석을 수행합니다.

• SentinelOne EDR Agent는 단말 내부의 상태 및 행위 정보를 수집합니다.

• NBB는 EDR에 의존하여 탐지하지 않으며, NBB가 탐지한 이벤트에 엔드포인트 관점의 해석 정보를 결합합니다.

※ 탐지의 주체는 NBB이며, EDR은 분석 정확도를 보완하는 역할을 수행합니다.

[데이터 흐름]

① NBB Dashboard에서 Control Book 기반 API 연동 트리거 발생

② Integration Runnrt가 SentinelOne API 호출(HTTPS 443)

③ Agent / Application 데이터 수신 및 파싱

④ 결과 데이터를 NBB 내부 저장소에 저장 및 로그 기록

⑤ 운영자는 NBB 알람 화면에서 조치 우선순위가 명확해진 이벤트를 확인

연동 정보 확인 방법

NBB에서 확인 가능한 연동 정보

• Network Blackbox에서는 NBB가 탐지한 네트워크 보안 이벤트를 중심으로, 해당 이벤트와 연계된 SentinelOne 엔드포인트 컨텍스트 정보를 함께 확인할 수 있습니다.

• 이를 통해 운영자는 네트워크 이벤트 발생 시 단말 사용자, OS, 장비 정보 등의 추가 정보를 즉시 확인할 수 있습니다.

※ NBB는 SentinelOne의 전체 자산 목록을 관리하지 않습니다.

SentinelOne에서 확인 가능한 연동 정보

• SentinelOne 콘솔은 단말 자산 및 엔드포인트 보안 이벤트를 관리하는 주 시스템입니다.

• 단말의 상세 상태 확인, 정책 설정, 위협 대응 및 조치 수행은 SentinelOne 콘솔에서 이루어집니다.

• Network Blackbox는 SentinelOne의 기능을 대체하지 않으며, 네트워크 기반 위협 탐지를 중심으로 상호 보완적으로 활용됩니다.

※ SentinelOne은 엔드포인트 중심의 보안 운영 시스템이며, NBB는 네트워크 관점의 위협 분석을 담당합니다.

NBB 대시보드에서 연동 정보 확인

SentinelOne 연동 정보 확인

내부 자산 IP를 선택하여 해당 엔드포인트의 컨텍스트정보를 확인할 수 있습니다.

개요

본 문서는 Network Blackbox(이하 NBB)와 SentinelOne EDR 간의 연동을 UI 기반
설정을 통해 구현하는 API 기반 연동 방법을 안내합니다. 관리자는 별도의 개발
지식 없이도 단계별 가이드를 따라 손쉽게 연동을 완료할 수 있습니다.

본 연동을 통해 Full Packet 기반 NBB와 SentinelOne EDR을 결합하여, 네트워크
패킷 추적은 물론 엔드포인트 데이터까지 통합적으로 수집 및 분석할 수 있습니다.

연동 대상 시스템

• 호출자(Client): Network Blackbox (NBB)

• 제공자(Server): SentinelOne EDR Management Console

연동 전 준비사항

☑ 필수 권한 및 계정

☑ SentinelOne API Token 발급 권한이 있는 계정

☑ SentinelOne Management Console URL

연동 아키텍처

본 연동은 Network Blackbox(NBB)가 SentinelOne EDR Management Console의 API를
호출하여 엔드포인트 정보를 수집하는 방식으로 구성됩니다.

연동 설정은 API Token 기반 인증을 통해 이루어지며, 별도의 Agent 추가 설치 없이
UI 설정만으로 연동을 완료할 수 있습니다.

※ 연동 구조 및 데이터 흐름에 대한 상세 내용은 User Manual을 참고하시기 바랍니다.

SentinelOne API Token 발급 방법

SentinelOne Dashboard 접속

① SentinelOne Dashboard 우측 상단 > 사용자 이름 > ‘My User’

② [Actions] > API Token Operations > ‘Generate API Token’

③ 발급된 API Token을 복사하여 별도의 보안 파일에 저장

※ 발급된 토큰은 생성 이후 다시 확인할 수 없으므로 반드시 복사하여 안전하게 보관해야 합니다.

NBB 연동 설정 방법

API Token 등록

① NBB Dashboard > Response > API Connection setting > ‘+Add API Connection information’ 버튼 클릭

② API Token 정보 입력

Control Book 등록

① NBB Dashboard > Response > API Connection settings > Control Book > ‘+Add Control Book’ 버튼 클릭

② Control Book 기본 정보 입력

☑ Category

☑ Name

☑ Description

☑ Duration

☑ Start date / End Date

연동 테스트 및 확인

연동 테스트 실행

① 생성한 Control Book의 Activation 클릭

② Node 실행 상태: wait → success

개요

목적

본 문서는 Network Blackbox(이하 NBB)를 통해 비정상 네트워크 통신을 탐지하고, 그 결과를 기반으로 SentinelOne EDR에 대응 명령을 전달하여 단말 제어를 정책에 따라 자동 또는 승인 기반으로 격리·차단할 수 있는 운영 환경의 사례를 설명하기 위해 작성되었습니다.

NBB가 비정상 통신을 탐지하면, 연동된 SentinelOne EDR의 자산·사용자·프로세스 컨텍스트를 NBB 이벤트 화면에서 즉시 조회할 수 있습니다.

또한 정책에 따라 NBB에서 SentinelOne으로 격리, 네트워크 차단 등의 대응 명령을 호출하여 즉각적인 조치를 수행할 수 있습니다.

이를 통해 운영자는 대응 우선순위 판단과 조치 결정을 보다 신속하고 일관되게 수행할 수 있으며, 본 문서는 이러한 연동 기반의 운영 효과를 유즈케이스 중심으로 설명합니다.

NBB + EDR 연동 개요

연동 구조 요약

NBB와 SentinelOne EDR 연동은 네트워크 기반 이상 탐지와 엔드포인트 기반 컨텍스트 확인, 그리고 대응 실행을 하나의 흐름으로 연결하는 구조입니다.

• NBB 역할: 네트워크 행위 기반 이상 탐지

• EDR 역할: 탐지된 네트워크 이벤트와 연계된 단말 정보, 사용자 계정, 운영체제, 실행 프로세스, 탐지 타임라인 및 대응 상태 정보 제공

• 연동 목적: 탐지 신뢰도 강화 및 분석 시간 단축

[NBB – SentinelOne 연동 시 가능한 동작 범위]

• 컨텍스트 확장

☑ NBB 이벤트에서 단말, 사용자, 프로세스, 탐지 타임라인 즉시 확인

• 대응 실행

☑ 정책에 따라 SentinelOne 격리 / 네트워크 차단 / 프로세스 제어 수행

• 운영 자동화 옵션

☑ 자동 대응 또는 승인 기반 대응 선택 가능

※ NBB는 네트워크 이벤트를 탐지하고, SentinelOne EDR은 해당 이벤트에 대한 엔드포인트 컨텍스트와 대응 실행 수단을 제공합니다.

유즈케이스 시나리오 구성 안내

각 유즈케이스는 동일한 구조로 구성됩니다.

• 상황 개요

• NBB 탐지 내용

• NBB 탐지 결과 해석 범위

• 대응 결과 및 효과

• EDR 연동을 통한 정보 확장

유즈케이스 시나리오

Use Case 1. C2 공격 / Beaconing – HTTP 기반 Command & Control 통신 탐지

상황 개요

업무 시간 내 특정 단말에서 외부 서버로 주기적인 통신이 발생하였고, 평소 대비 증가한 트래픽이 함께 확인되었습니다.

NBB 탐지 내용

• 일정 주기로 반복되는 외부 Destination(IP/FQDN) 통신 탐지

• 업무 시간 외 동일 목적지로 일정 간격으로 N회 이상 반복되는 세션 및 요청 관측

• Beaconing 행위로 의심되는 이벤트 생성

NBB 관점에서의 추가 분석 필요 사항

• 네트워크 이벤트 단독으로는 정상 여부 판단에 한계가 있으므로, 단말 기반 프로세스 및 사용자 컨텍스트 확인 필요

• 사용자 행위인지, 에이전트 또는 업데이트 트래픽인지에 대한 정상 여부 판별 필요

대응 결과 및 운영 효과

• 의심 단말 즉시 식별

• NBB 탐지 이벤트를 기반으로 EDR에서 대응 정보 전달

• EDR을 통한 단말 격리 또는 네트워크 통신 차단 수행

• 필요 시 동일 IOC(목적지 IP / 도메인 / 프로세스)에 대한 추가 탐지 정책 적용 및 유사 행위 확산 여부 지속 모니터링

• 네트워크 탐지 이후 단말 컨텍스트 확인 및 대응까지의 소요 시간(MTTR) 단축

예상 가능한 위협 영향

• 내부 단말 시스템 정보 및 사용자 정보 유출 가능

• 원격 명령 실행을 통한 추가 악성코드 다운로드 가능

• 내부망 확산(Lateral Movement) 가능성

• 장기적 은닉형 C2 유지 시 지속적 정보 탈취 위험

NBB 탐지 예시 시나리오

이상징후 확인

<NBB – Detection 화면>

➔ 해당 내부 단말(192.168.30.102)에서 외부 단일 IP(20.41.107.110)로 반복적인 POST 트래픽이 발생하였으며, 평소 대비 비정상적으로 높은 세션 수가 확인되었습니다.

➔ 해당 단말은 일반 사무직 직원이 사용하는 PC로, 평소 외부 서버와의 지속적인 통신이나 대량 트래픽을 발생시키는 업무 특성이 아닌 것으로 확인되었습니다.

<NBB – 상세 패킷 분석 내용>

➀ 의미를 유추하기 어려운 문자 조합 형태의 PHP 경로:
/svytzoup.php,
/unctolbj.php,
/fxcsjmfw.php 등 의미를 유추하기 어려운 7~8자 소문자 조합의 PHP 경로가 동일 IP로 반복 호출되었습니다. 해당 내부 단말은 일반 사무용 PC로 웹 서버 역할을 수행하지 않으며, 업무상 특정 PHP 스크립트를 직접 호출할 필요성이 낮은 환경입니다.

➁ 비정상적인 Content-Type 및 User-Agent 조합: Content-Type이 application/octet-stream으로 설정되어 있습니다. application/octet-strea은 파일 전송이나 바이너리 데이터 업로드 등 정상 서비스에서도 사용될 수 있으나, 브라우저 기반의 일반 폼 전송은 보통 application/x-www-form-urlencoded 또는 multipart/form-data 구조가 주로 사용됩니다.

특히 본 세션은 일반 사무용 PC에서 발생한 브라우저 기반 HTTP 요청으로 식별되나, 사용자 입력 없이 동일 크기의 바이너리 데이터가 일정 간격으로 전송되고 있음이 확인되었습니다. 따라서 단순 파일 업로드 행위라기보다, 자동화된 프로그램에 의한 데이터 전송 가능성이 존재합니다.

User-Agent는 MSIE 7.0으로 식별되었습니다. 해당 브라우저는 2006년 출시 버전으로 현대 기업 환경에서 사용 사례가 드뭅니다. 최신 사내 PC에서 IE 7.0 User-Agent가 반복 관찰되는 점을 고려할 때, 브라우저 기반 사용자 행위라기 보다는 프로그램이 UA 문자열을 임의 지정했을 가능성이 존재합니다.

➂ 고정길이 바이너리 Payload 반복 전송:
916 byte의 동일한 Payload 크기가 일정 간격으로 반복 전송되었습니다. 정상 사용자 입력 기반 트래픽은 데이터 길이가 가변적인 경우가 일반적이나, 해당 세션에서는 동일 길이의 바이너리 데이터가 반복 관찰되었습니다. 이는 감염 단말의 상태 정보 또는 실행 결과를 외부 서버로 전달하는 C2 통신 구조의 특징에 부합합니다.

➃ 명령(Tasking) 전달 정황: 응답 페이로드에
cmd_b64=c3lzdGVtSW5mbw== 값이 포함되어 있으며, Base64 디코딩 결과
systemInfo 명령이 확인되었습니다. 이는 외부 서버가 내부 단말에 원격 명령을 전달하고, 그 실행 결과를 다시 회신받는 구조(Tasking / Result Reporting)로 해석됩니다.

➄ 서버 주도 통신 주기 제어(Beaconing 구조): 응답 Payload에
sleep=30 파라미터가 포함되어 있으며, 약 30초 전후의 일정한 간격으로 세션이 반복됨을 확인하였습니다. 이는 서버가 통신 주기를 제어하는 구조로 해석되며, 사람의 인터랙션 기반 통신보다는 자동화된 Beaconing 행위의 특성과 부합합니다.

단일 지표만으로 악성 여부를 단정할 수는 없으나, 자동화된 클라이언트에 의해 수행되는 HTTP 기반 Command & Control(C2) 통신일 가능성이 높습니다.

또한 해당 행위는 초기 침투 이후 단계(Post-Compromise)에서 관찰되는 C2 통신 특성과도 부합합니다.

200 OK 응답을 필터링 한 결과, 실제 성공한 공격들만 선별하여 확인할 수 있었으며,

랜덤 PHP 경로 반복, 바이너리 기반 통신, 구버전 User-Agent 사용, 원격 명령 전달 구조 등 다수의 비정상 지표가 함께 확인되었습니다.

NBB 기반 단말 정보 조회

<NBB – 내부자산 정보 화면 진입>

Beaconing 패턴을 보인 데이터의 Source IP뿐만 아니라, 해당 IP에 대한 엔드포인트 데이터도 함께 조회할 수 있습니다.

<NBB – 내부자산 정보 화면>

NBB와 SentinelOne 연동을 통해 EDR 콘솔에 별도로 접속하지 않고도 해당 이벤트가 발생한 엔드포인트의 데이터를 확인할 수 있으며, 즉시 차단 조치까지 수행할 수 있습니다.

NDR 탐지 이벤트와 EDR 단말 컨텍스트 연계 확인

<SentinelOne – NBB에서 탐지한 이벤트 조건을 기준으로 확인한 EDR 탐지 화면>

NBB에서 탐지한 C2/Beaconing 이벤트 조건을 기준으로 조회한 SentinelOne EDR 화면을 통해, 동일 이벤트와 연계된 엔드포인트 행위를 추가 확인할 수 있습니다.

<SentinelOne – 각 항목별 세부내용 화면>

• 단말명

• 사용자 계정

• OS / 기기 유형

• 최근 실행 프로세스 정보

기존에는 EDR 콘솔에서 단말명, 시간대, IP 등의 조건으로 별도 필터링을 수행해야 했으나, NBB와 SentinelOne EDR 연동 시 NBB 이벤트 상세 화면에서 해당 정보를 즉시 확인할 수 있습니다.

※ NBB는 네트워크 기반 탐지 중심의 분석 화면을 제공하고, SentinelOne EDR 연동을 통해 단말 중심의 상세 컨텍스트와 대응 수단을 함께 제공합니다.