Cortex XDR 라이브 포렌식(Forensics + Live Terminal) 기반 원격 아티팩트 수집

📰 개요

최근 기업·기관 대상 침해사고가 빈번해지면서, PC·서버에서 발생하는 행위를 상시 수집·분석하고 탐지 이후 대응까지 지원하는 EDR(Endpoint Detection & Response) 도입·운영의 중요성이 커지고 있다.

또한 AI 기반 공격 기법 확산으로 공격 속도와 정교함이 증가하면서, 보안팀의 초동조치 단계 핵심 증적을 신속·정확하게 확보하는 역량이 대응 성패를 좌우한다.

다만 재택 근무 확대와 클라우드 인프라 확장으로 단말 접근 조건이 다양해졌고, 필요 시점에만 연결되는 환경이 늘어나 현장 대응이나 VPN 기반 원격 접근을 전제로 한 전통적 수집 방식에는 한계가 존재한다.

본 문서는 Cortex XDR 라이브 포렌식(Forensics + Live Terminal) 기능만을 활용해 원격에서 아티팩트를 수집하기 위한 운영 가이드를 정리한다. 외부 수집 도구 없이 Cortex XDR 단일 플랫폼 내에서 수행하는 것을 전제로 한다.

⚙️ Cortex XDR Forensics(포렌식)

Cortex XDR Forensics는 조사 단위(Investigation)로 엔드포인트 아티팩트를 수집 및 조회하고, 결과를 증적 패키지(Export) 로 내보낼 수 있는 기능이다.

주요특징

조사 단위 관리: 여러 엔드포인트 수집을 하나의 Investigation 아래 묶어 관리
Triage 수집 범위: 지원 아티팩트 + 사용자 지정 경로 + 전체 파일 목록 + 이벤트 로그 + 레지스트리 하이브 등 폭넓은 수집
오프라인 수집 지원: 네트워크 미연결/에이전트 미설치 환경도 오프라인 패키지 업로드 방식으로 수집 가능
수집량 통제: Triage는 데이터가 커질 수 있어 컬렉션당 10대 이하 제한
Export 제공: 수집 결과를 압축 export로 패키징

Forensics 요구사항

OS	지원 방식	OS/플랫폼 요구사항	에이전트/라이선스 요구사항
Windows	Online / Offline Triage 지원	Agent 설치 가능 범위	Forensics add-on 필요
(Forensic data/Offline triage 제공 전제)
Linux	Offline Triage	Agent 설치 가능 범위	Forensics add-on 필요

📋 Forensics 수집 절차

Cortex XDR Forensics 수집 절차는 아래와 같이 진행한다.