안랩은 자사의 APT(지능형지속보안위협) 방어 솔루션 ‘트러스와처(TrusWatcher, 해외제품명 MDS)’가 보안정보 및 이벤트
관리(SIEM) 솔루션인
HP 아크사이트 제품군’과
기술적 연동이 가능함을 의미하는 ‘CEF(Common Event Format) 인증’을 획득했다고
발표했다.
안랩은 이번 인증으로, 안랩
트러스와처(안랩 MDS)로 수집/분석한 보안위협 관련 정보(신종 악성코드 및 C&C 탐지 정보 등)를 별도의 연동작업 없이 아크사이트
제품군에서 통합 제공할 수 있게 됐다.

HP 아크사이트는
IT 인프라 전반의 보안 및 비보안 이벤트(데이터)를 수집, 분석 및 평가해 신속하게 우선 순위를 지정하고 대응할
수 있도록 지원한다. 악성코드 등의 외부 위협, 데이터
침해 등과 같은 내부 위협, 애플리케이션 결함 및 설정 변경에 따른 위험, 감사 및 법규 준수(컴플라이언스)
등 조직 내 모든 IT 활동에 대한 가시성을 확보함으로써 보다 빠르고 정확한 탐지와
신속한 대응을 가능하게 한다.


아크사이트를 사용하는 보안관리자는 트러스와처로부터 악성코드
정보, C&C(C2)서버 정보, 위협 심각도 등
조직 내 유입된 보안 위협의 정보를 한눈에 확인할 수 있다. 이를 통해 보안 위협 가시성 확보 및
위협 정도에 기반한 우선 대응 등 나날이 고도화되는 사이버공격을 효과적으로 대응할 수 있다.
이번 HP 아크사이트와의 연동 기능은 트러스와처 2.1.3
이후 버전부터 적용되어 있다.

안랩 트러스와처는 APT 방식의 보안 위협에 대응하기 위해 ▲샌드박스를 통한 신변종 악성코드 행위 분석과 시그니처, 평판, 파일간의 연관관계,
접속 URL/IP의 위험도 등 다차원 행위기반 분석 ▲MS
오피스 파일, PDF, 한글(hwp) 등과
같은 문서형 악성코드를 행위 발생 여부와 무관하게 분석 가능한 ‘동적 콘텐츠 분석(DICA: Dynamic
Intelligent Content Analysis)’ 기능 ▲PC와 같은 엔드포인트의
전용 에이전트로 탐지된 신종 악성코드 실시간 삭제 및 유입된 악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’ 기능 등 다차원 행위기반 분석 및 콘텐츠 기반 분석, 전용 에이전트를 통한 엔드포인트 연계 대응을 통합 제공한다.