Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprise Advanced Threat Protection 및 Prevention에 대한 Dell 권장 정책

Summary: Dell Endpoint Security Suite Enterprise는 오늘날의 가장 파괴적인 최신 위협에 대한 예방 및 보호 기능을 제공합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

참고:

영향을 받는 제품:

  • Dell Endpoint Security Suite Enterprise

Cause

해당 사항 없음

Resolution

기본적으로 ATP(Advanced Threat Prevention)는 처음에 학습 모드로 실행하는 것이 좋습니다. 모든 위협 정보는 관리자가 환경 내에서 위협 및 PUP(Potentially Unwanted Program)를 관리하고 미션 크리티컬 앱을 허용 목록에 추가할 수 있도록 유연성을 제공하기 위해 수집됩니다.

Dell Endpoint Security Suite Enterprise의 정책 수정에 대한 자세한 내용은 Dell Data Protection Server에서 정책을 수정하는 방법을 참조하십시오.

Dell Endpoint Security Suite Enterprise 내에서 제외를 생성하는 방법에 대한 자세한 내용 및 규칙은 Dell Endpoint Security Suite Enterprise에서 제외를 추가하는 방법을 참조하십시오.

참고: 애플리케이션 및 파일 서버에는 백그라운드 위협 감지새 파일 감시를 위해 특별히 고려해야 할 사항이 있습니다. 고려 사항은 아래에 정의되어 있습니다. 이러한 디바이스는 Dell Security Management Server 내의 엔드포인트 그룹별로 분리되어 환경에 있는 나머지 디바이스와 다른 정책이 적용될 수 있습니다.
참고: 이러한 정책은 10.2.3 Dell Security Management Server를 반영합니다.
정책 값 제안 값 정책 설명

Advanced Threat Prevention(주 스위치)

켜짐

이 정책 값은 클라이언트가 Advanced Threat Prevention에 대한 정책을 사용할 수 있는지를 결정합니다.

또한 파일 작업 및 실행 컨트롤이 활성화되며, 이는 비활성화할 수 없습니다.

실행 컨트롤에는 백그라운드 위협 감지 및 File Watcher가 포함됩니다. ATP 내의 이 모듈은 의도된 작업 및 동작을 기반으로 PE(Portable Executable)의 의도를 분석하고 추상화합니다. BTD 및 File Watcher와 함께 실행 컨트롤에 의해 감지된 모든 파일은 자동 격리와 관련된 정책에 따라 처리됩니다. 이러한 작업은 PE(Portable Executable)의 절대 경로 위치를 기반으로 수행됩니다.

파일 작업:

 

 

실행 파일 제어를 활성화하여 안전하지 않은 실행 파일 자동 격리

Disabled 이는 심각한 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다.

안전하지 않은 실행 파일 자동 업로드 활성화됨

Enabled

심각한 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

실행 파일 제어를 활성화하여 비정상적인 실행 파일 자동 격리

Disabled

잠재적 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다.

비정상적인 실행 파일 자동 업로드 활성화됨

Enabled

잠재적인 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

제외 폴더에서 파일 실행 허용

Enabled

이는 보호 설정 정책 그룹 내의 특정 폴더 제외 정책에 적용됩니다. 이렇게 하면 제외된 폴더 내의 실행 파일이 자동으로 격리된 경우에도 실행할 수 있습니다.

자동 삭제

Disabled

이렇게 하면 삭제까지 남은 일 수 정책에 타이머가 활성화됩니다. 이는 격리된 항목에 적용되며, 삭제까지 남은 일 수가 경과하면 이 정책을 사용하도록 설정하면 격리 폴더 내의 모든 위협이 자동으로 제거됩니다.

삭제까지 남은 일 수

14

이렇게 하면 항목이 로컬 격리 폴더에 남아 있는 위협당 일 수가 결정됩니다.

메모리 작업

   

메모리 보호 활성화됨

Enabled

이를 통해 메모리 보호 기능이 활성화됩니다. 메모리 보호 모듈은 메모리에서 애플리케이션과 운영 체제 간의 상호 작용을 모니터링하여 애플리케이션 실행 의도를 분석하고 해석합니다.

실행 파일 제외 활성화

Enabled

이렇게 하면 특정 실행 파일을 메모리 보호에서 제외할 수 있습니다.

실행 파일 제외

공백

추가하는 모든 제외는 해당 실행 파일의 상대 경로로 지정해야 합니다(경로에서 드라이브 문자 제외).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

악용: 스택 피벗

경고

스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 단일 스택을 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단할 수 없는 방식으로 실행을 제어합니다.

적용 대상: Windows, Mac

악용: 스택 보호

경고

스레드 스택의 메모리 보호가 실행 권한을 활성화하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단할 수 있습니다.

적용 대상: Windows, Mac

악용: 코드 덮어쓰기

경고

프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다.

적용 대상: Windows

악용: 스캐너 메모리 검색

경고

프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련

적용 대상: Windows

악용: 악성 페이로드

경고

프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련

적용 대상: Windows

악용: 악성 페이로드

경고

악용과 관련된 일반 셸코드 및 페이로드 탐지가 발견되었습니다.

적용 대상: Windows

프로세스 삽입: 메모리 원격 할당

경고

프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서만 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑

경고

프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하고 악의적인 존재를 강화하려는 시도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 쓰기

경고

프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutofProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 PE 쓰기

경고

프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 코드 원격으로 덮어쓰기

경고

프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑 해제

경고

프로세스에서 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 스레드 생성

경고

프로세스에서 다른 프로세스에서 스레드를 생성했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 APC 예약됨

경고

프로세스에서 다른 프로세스의 스레드 실행을 전환했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows

프로세스 삽입: DYLD 삽입(Mac OS X만 해당)

경고

시작된 프로세스에 공유 라이브러리를 삽입하게 하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다.

적용 대상: Mac

에스컬레이션: LSASS 읽기

경고

사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 권한 프로세스에 속한 메모리에 액세스했습니다.

적용 대상: Windows

에스컬레이션: 제로 할당

경고

null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 일반적으로 커널에서 알려진 Null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다.

적용 대상: Windows, Mac

실행 컨트롤

   

디바이스에서 서비스 종료 방지

Disabled

활성화된 경우 ATP 서비스를 중지할 수 없습니다. 이렇게 하면 애플리케이션도 제거할 수 없습니다.

안전하지 않은 실행 프로세스 및 하위 프로세스 종료

Disabled

이 기능을 활성화하면 하위 프로세스를 생성하는 메모리 기반 위협을 탐지하고 종료할 수 있습니다.

백그라운드 위협 감지

한 번 실행

기존 파일 검사가 디바이스에서 실행되는지 여부를 확인합니다. Disabled, Run Once 또는 Run Recurring으로 설정할 수 있습니다.

새 파일 감시가 활성화된 경우 백그라운드 위협 감지를 한 번 실행으로 구성하는 것이 좋습니다. 새 파일과 업데이트된 파일도 감시하고 있는 경우에만 기존 파일을 한 번 검사해야 합니다.

새 파일 감시

Enabled

이를 활성화로 설정하면 디바이스에 새로 기록되거나 변경된 파일을 탐지하고 분석할 수 있습니다.

 
참고: 트래픽이 많은 디바이스(예: 파일 또는 애플리케이션 서버)에서는 새 파일 감시를 비활성화하는 것이 좋습니다. 이렇게 하면 각 파일을 디스크에 기록할 때 분석해야 하므로 디스크 레이턴시가 예기치 않게 증가할 수 있습니다. 실행을 시도하는 모든 PE(Portable Executable)는 실행을 시도할 때 분석되므로 기본적으로 이 문제는 완화됩니다. 백그라운드 위협 감지를 활성화하고 반복 실행으로 설정하면 이 문제를 더욱 완화할 수 있습니다.

스캔할 최대 아카이브 파일 크기 설정

150

분석할 수 있는 압축 해제된 최대 아카이브 크기를 구성합니다. 크기는 메가바이트입니다.

보호 설정    
특정 폴더 제외(하위 폴더 포함) 활성화 Enabled 이렇게 하면 정책에 따라 File Watcher실행 컨트롤 에서 폴더를 정의하고 모니터링되지 않는 제외 폴더에서 파일 실행을 허용하는 기능을 사용할 수 있습니다.
특정 폴더 제외(하위 폴더 포함) -공백-

모니터링되지 않는 File Watcher의 폴더 목록을 정의하고, 제외 폴더에서 파일 실행 허용 정책은 이러한 디렉터리에서 실행되는 모든 파일을 격리하지 않도록 합니다. 이 정책은 새 파일 감시 또는 백그라운드 위협 감지를 통해 이러한 디렉토리를 검색하지 못하도록 합니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
애플리케이션 컨트롤    
애플리케이션 컨트롤 Disabled 이를 통해 디바이스의 애플리케이션 기반 변경을 제한할 수 있으며, 새 애플리케이션을 추가하거나, 애플리케이션을 제거하거나, 애플리케이션을 수정하거나 업데이트할 수 없습니다.
애플리케이션 컨트롤 허용 폴더 -공백-

이렇게 하면 애플리케이션 컨트롤에서 모니터링되지 않는 폴더 목록이 정의됩니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
창 변경 활성화 Disabled 이 옵션을 활성화하면 애플리케이션 컨트롤이 일시적으로 비활성화되어 환경에서 수정할 수 있습니다.
스크립트 컨트롤    
스크립트 컨트롤 Enabled

스크립트 컨트롤의 사용을 활성화합니다.

스크립트 컨트롤은 운영 체제 내에서 작업을 실행할 수 있는 애플리케이션 및 서비스를 모니터링합니다. 이러한 애플리케이션을 일반적으로 인터프리터라고 합니다. ATP는 이러한 애플리케이션 및 서비스에서 실행을 시도하는 모든 스크립트를 모니터링하고 정책에 따라 해당 작업이 수행되었음을 알리거나 작업이 발생하지 않도록 차단합니다. 이러한 결정은 스크립트 이름과 스크립트가 실행된 상대 경로를 기준으로 이루어집니다.

스크립트 제어 모드 경고

차단으로 설정된 경우 스크립트 기반 항목이 실행되지 않습니다. 여기에는 모든 활성 스크립트, 매크로 기반 스크립트 또는 PowerShell 기반 스크립트가 포함됩니다. 이후 버전에서는 이러한 정책이 자체 정책으로 분리됩니다.

적용 대상: 1.2.1371 이하 버전의 ESSE 빌드

활성 스크립트 경고

차단으로 설정하면 JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby 및 기타 여러 스크립트를 실행하는 기능이 비활성화됩니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

매크로 경고

이 기능을 Alert로 설정하면 문서 내의 매크로를 분석하여 잠재적으로 악의적인 명령을 실행하고 있는지 확인할 수 있습니다. 위협이 감지된 경우 Block 설정을 사용하면 매크로가 실행되지 않습니다. 시작 시 실행되는 매크로로 인해 애플리케이션이 로드되지 않을 수 있습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

Powershell 경고

차단으로 설정하면 PowerShell 기반 스크립트가 환경에서 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

PowerShell 콘솔 Allow

차단으로 설정하면 PowerShell V3 콘솔 및 ISE가 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

폴더(및 하위 폴더)의 승인 스크립트 활성화 Enabled 이렇게 하면 스크립트 컨트롤의 위치를 분석에서 제외할 수 있습니다.
폴더(및 하위 폴더)의 승인 스크립트 -공백-

이 섹션에서는 모니터링되지 않는 스크립트 컨트롤의 폴더에 대해 자세히 설명합니다.

  • 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
  • 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
  • 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
  • 와일드카드는 지원되지 않습니다.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
전역 허용 -공백-

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 경로와 인증서를 결정합니다.

격리 목록 -공백-

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이는 에이전트가 발견할 때 자동으로 격리되는 알려진 비정상 해시의 정의된 목록입니다.

안전 목록 -공백-

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 해시를 결정합니다.

Agent 설정    
팝업 알림 표시 안 함 Enabled 이렇게 하면 ESSE에서 토스터 대화 상자를 표시하는 기능이 활성화 또는 비활성화됩니다.
최소 팝업 알림 수준 높음

팝업 알림 표시 안 함 정책이 비활성화된 경우 최종 사용자에게 알림을 보낼 내용을 정의합니다.

높음

  • 보호 상태가 변경되었습니다. (Protected는 Advanced Threat Prevention 서비스가 실행 중이고 컴퓨터를 보호하고 있으며 사용자 또는 관리자의 개입이 필요하지 않음을 의미함)
  • 위협이 탐지되었으며 자동으로 위협을 해결하도록 정책이 설정되지 않았습니다.

중간

  • 프로세스가 위협으로 탐지되었기 때문에 실행 컨트롤에서 프로세스를 시작하지 못하도록 차단했습니다.
  • 관련 완화 조치가 있는 위협이 탐지되어(예: 위협이 수동으로 격리됨) 프로세스가 종료되었습니다.
  • 메모리 위반으로 인해 프로세스가 차단되거나 종료되었습니다.
  • 메모리 위반이 감지되었으며 해당 위반 유형에 적용되는 자동 완화 정책이 없습니다.

낮음

  • 위협으로 식별된 파일이 전역 안전 목록에 추가되었거나 파일 시스템에서 삭제되었습니다.
  • 위협이 감지되어 자동으로 격리되었습니다.
  • 파일이 위협으로 식별되었지만 컴퓨터에서 면제되었습니다.
  • 현재 위협의 상태가 변경되었습니다. 예: Threat에서 Quarantined로, Quarantined에서 Waived로 또는 Waived에서 Quarantined로 변경
BIOS 보증 활성화 Enabled 지원되는 Dell 컴퓨터(2016 이상 엔터프라이즈급 컴퓨터)에서 BIOS 무결성 검사를 수행합니다.
로그 파일 자동 업로드 활성화 Enabled 이를 통해 에이전트는 ATP 플러그인에 대한 로그 파일을 매일 자정 또는 100MB 중 먼저 발생하는 시간에 클라우드에 자동으로 업로드할 수 있습니다.
참고: 이러한 정책은 10.2.3 Dell Security Management Server를 반영합니다.
정책 값 제안 값 정책 설명

Advanced Threat Prevention(주 스위치)

켜짐

이 정책 값은 클라이언트가 Advanced Threat Prevention에 대한 정책을 사용할 수 있는지를 결정합니다.

또한 파일 작업 및 실행 컨트롤이 활성화되며, 이는 비활성화할 수 없습니다.

실행 컨트롤에는 백그라운드 위협 감지 및 File Watcher가 포함됩니다. ATP 내의 이 모듈은 의도된 작업 및 동작을 기반으로 PE(Portable Executable)의 의도를 분석하고 추상화합니다. 실행 컨트롤, BTD 및 File Watcher에 의해 탐지된 모든 파일은 자동 격리와 관련된 정책에 따라 처리됩니다. 이러한 작업은 PE(Portable Executable)의 절대 경로 위치를 기반으로 수행됩니다.

파일 작업:

 

 

실행 파일 제어를 활성화하여 안전하지 않은 실행 파일 자동 격리

Enabled 이는 심각한 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다.

안전하지 않은 실행 파일 자동 업로드 활성화됨

Enabled

심각한 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

실행 파일 제어를 활성화하여 비정상적인 실행 파일 자동 격리

Enabled

잠재적 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다.

비정상적인 실행 파일 자동 업로드 활성화됨

Enabled

잠재적인 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

제외 폴더에서 파일 실행 허용

Enabled

이는 보호 설정 정책 그룹 내의 특정 폴더 제외 정책에 적용됩니다. 이렇게 하면 제외된 폴더 내의 실행 파일이 자동으로 격리된 경우에도 실행할 수 있습니다.

자동 삭제

Enabled

이렇게 하면 정책이 삭제될 때까지 타이머를 사용할 수 있으며, 이는 격리된 항목에도 적용됩니다. 삭제까지 남은 일 수가 경과하면 이 정책이 활성화된 경우 격리 폴더 내의 모든 위협이 자동으로 제거됩니다.

삭제까지 남은 일 수

14

항목이 로컬 격리 폴더에 남아 있는 위협당 일 수를 결정합니다.

메모리 작업

   

메모리 보호 활성화됨

Enabled

이를 통해 메모리 보호 기능, 메모리 보호 모듈이 메모리에서 애플리케이션과 운영 체제 간의 상호 작용을 모니터링하여 애플리케이션 실행 의도를 분석하고 해석할 수 있습니다.

실행 파일 제외 활성화

Enabled

이렇게 하면 특정 실행 파일을 메모리 보호에서 제외할 수 있습니다.

실행 파일 제외

환경에 따라 다름

추가하는 모든 제외는 해당 실행 파일의 상대 경로로 지정해야 합니다(경로에서 드라이브 문자 제외).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

악용: 스택 피벗

종료

스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 대해 하나의 스택만 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단하지 않는 방식으로 실행을 제어합니다.

적용 대상: Windows, Mac

악용: 스택 보호

종료

스레드 스택의 메모리 보호가 실행 권한을 활성화하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단하지 않습니다.

적용 대상: Windows, Mac

악용: 코드 덮어쓰기

종료

프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다.

적용 대상: Windows

악용: 스캐너 메모리 검색

종료

프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 하는데, 이는 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련이 있습니다.

적용 대상: Windows

악용: 악성 페이로드

종료

악용과 관련된 일반 셸코드 및 페이로드 탐지가 발견되었습니다.

적용 대상: Windows

프로세스 삽입: 메모리 원격 할당

종료

프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서만 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑

종료

프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하고 악의적인 존재를 강화하려는 시도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 쓰기

종료

프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutOfProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 PE 쓰기

종료

프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 코드 원격으로 덮어쓰기

종료

프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑 해제

종료

프로세스에서 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 스레드 생성

종료

프로세스에서 다른 프로세스에서 스레드를 생성했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 APC 예약됨

종료

프로세스에서 다른 프로세스의 스레드 실행을 전환했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows

프로세스 삽입: DYLD 삽입(Mac OS X만 해당)

종료

시작된 프로세스에 공유 라이브러리를 삽입하게 하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다.

적용 대상: Mac

에스컬레이션: LSASS 읽기

종료

사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 권한 프로세스에 속한 메모리에 액세스했습니다.

적용 대상: Windows

에스컬레이션: 제로 할당

종료

null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 이를 사용하여 일반적으로 커널에서 알려진 Null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다.

적용 대상: Windows, Mac

실행 컨트롤

   

디바이스에서 서비스 종료 방지

Enabled

활성화되면 컴퓨터로도 ATP 서비스를 중지할 수 없습니다. 이렇게 하면 애플리케이션도 제거할 수 없습니다.

안전하지 않은 실행 프로세스 및 하위 프로세스 종료

Enabled

이 기능을 활성화하면 하위 프로세스를 생성하는 메모리 기반 위협을 탐지하고 종료할 수 있습니다.

백그라운드 위협 감지

한 번 실행

기존 파일 검사가 디바이스에서 실행되는지 여부를 확인합니다. Disabled, Run Once 또는 Run Recurring으로 설정할 수 있습니다.

새 파일 감시가 활성화된 경우 백그라운드 위협 감지를 한 번 실행으로 구성하는 것이 좋습니다. 새 파일과 업데이트된 파일도 감시하고 있는 경우에만 기존 파일을 한 번 검사해야 합니다.

새 파일 감시

Enabled

이를 활성화로 설정하면 디바이스에 새로 기록되거나 변경된 파일을 탐지하고 분석할 수 있습니다.

 
참고: 트래픽이 많은 디바이스(예: 파일 또는 애플리케이션 서버)에서는 새 파일 감시를 비활성화하는 것이 좋습니다. 이렇게 하면 각 파일을 디스크에 기록할 때 분석해야 하므로 디스크 레이턴시가 예기치 않게 증가할 수 있습니다. 실행을 시도할 때 실행을 시도하는 모든 PE(Portable Executable)를 분석하므로 기본적으로 이 문제는 완화됩니다. 백그라운드 위협 감지를 활성화하고 반복 실행으로 설정하면 이 문제를 더욱 완화할 수 있습니다.

스캔할 최대 아카이브 파일 크기 설정

150

분석할 수 있는 압축 해제된 최대 아카이브 크기를 구성합니다. 크기는 메가바이트입니다.

보호 설정    
특정 폴더 제외(하위 폴더 포함) 활성화 Enabled 이렇게 하면 모니터링되지 않는 제외 폴더에서 파일 실행 허용 정책에 따라 File Watcher 및 실행 컨트롤에서 폴더를 정의할 수 있습니다.
특정 폴더 제외(하위 폴더 포함) 환경에 따라 다름

모니터링되지 않는 File Watcher의 폴더 목록을 정의합니다. 이 제외 폴더에서 파일 실행 허용 정책은 이러한 디렉토리에서 실행되는 모든 파일을 격리하지 않도록 합니다. 이 정책은 새 파일 감시 또는 백그라운드 위협 감지를 통해 이러한 디렉토리를 검색하지 못하도록 합니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
애플리케이션 컨트롤    
애플리케이션 컨트롤 Disabled 이렇게 하면 디바이스에서 애플리케이션 기반 변경을 제한할 수 있습니다. 새 애플리케이션을 추가할 수 없고, 애플리케이션을 제거할 수 없으며, 애플리케이션을 수정 또는 업데이트할 수 없습니다.
애플리케이션 컨트롤 허용 폴더 -공백-

이렇게 하면 애플리케이션 컨트롤에서 모니터링되지 않는 폴더 목록이 정의됩니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
창 변경 활성화 Disabled 이 옵션을 활성화하면 애플리케이션 컨트롤이 일시적으로 비활성화되어 환경에서 수정할 수 있습니다.
스크립트 컨트롤    
스크립트 컨트롤 Enabled

스크립트 컨트롤 사용 활성화

스크립트 컨트롤은 운영 체제 내에서 작업을 실행할 수 있는 애플리케이션 및 서비스를 모니터링합니다. 이러한 애플리케이션을 일반적으로 인터프리터라고 합니다. ATP는 이러한 애플리케이션 및 서비스에서 실행을 시도하는 모든 스크립트를 모니터링하고 정책에 따라 해당 작업이 수행되었음을 알리거나 작업이 발생하지 않도록 차단합니다. 이러한 결정은 스크립트 이름과 스크립트가 실행된 상대 경로를 기준으로 이루어집니다.

스크립트 제어 모드 차단

차단으로 설정된 경우 스크립트 기반 항목이 실행되지 않습니다. 여기에는 모든 활성 스크립트, 매크로 기반 스크립트 또는 PowerShell 기반 스크립트가 포함됩니다. 이후 버전에서는 이러한 정책이 자체 정책으로 분리됩니다.

적용 대상: 1.2.1371 이하 버전의 ESSE 빌드

활성 스크립트 차단

차단으로 설정하면 JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby 및 기타 여러 스크립트를 실행하는 기능이 비활성화됩니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

매크로 차단

이 기능을 Alert로 설정하면 문서 내의 매크로를 분석하여 잠재적으로 악의적인 명령을 실행하고 있는지 확인할 수 있습니다. 위협이 감지된 경우 "Block" 설정을 사용하면 매크로가 실행되지 않습니다. 시작 시 실행되는 매크로로 인해 애플리케이션이 로드되지 않을 수 있습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

Powershell 차단

차단으로 설정하면 PowerShell 기반 스크립트가 환경에서 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

PowerShell 콘솔 Allow

차단으로 설정하면 PowerShell V3 콘솔 및 ISE가 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

폴더(및 하위 폴더)의 승인 스크립트 활성화 Enabled 이렇게 하면 스크립트 컨트롤에서 위치를 분석에서 제외할 수 있습니다.
폴더(및 하위 폴더)의 승인 스크립트 환경에 따라 다름

이 섹션에서는 모니터링되지 않는 스크립트 컨트롤의 폴더에 대해 자세히 설명합니다.

  • 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
  • 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
  • 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
  • 와일드카드는 지원되지 않습니다.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
전역 허용 환경에 따라 다름

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 경로와 인증서를 결정합니다.

격리 목록 환경에 따라 다름

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이는 에이전트가 발견할 때 자동으로 격리되는 알려진 비정상 해시의 정의된 목록입니다.

안전 목록 환경에 따라 다름

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 해시를 결정합니다.

Agent 설정    
팝업 알림 표시 안 함 Disabled 이렇게 하면 ESSE에서 토스터 대화 상자를 표시하는 기능이 활성화 또는 비활성화됩니다.
최소 팝업 알림 수준 높음

팝업 알림 표시 안 함 정책이 비활성화된 경우 최종 사용자에게 알림을 보낼 내용을 정의합니다.

높음

  • 보호 상태가 변경되었습니다. (Protected는 Advanced Threat Prevention 서비스가 실행 중이고 컴퓨터를 보호하고 있으며 사용자 또는 관리자의 개입이 필요하지 않음을 의미함)
  • 위협이 탐지되었으며 자동으로 위협을 해결하도록 정책이 설정되지 않았습니다.

중간

  • 프로세스가 위협으로 탐지되었기 때문에 실행 컨트롤에서 프로세스를 시작하지 못하도록 차단했습니다.
  • 관련 완화 조치가 있는 위협이 탐지되어(예: 위협이 수동으로 격리됨) 프로세스가 종료되었습니다.
  • 메모리 위반으로 인해 프로세스가 차단되거나 종료되었습니다.
  • 메모리 위반이 감지되었으며 해당 위반 유형에 적용되는 자동 완화 정책이 없습니다.

낮음

  • 위협으로 식별된 파일이 전역 안전 목록에 추가되었거나 파일 시스템에서 삭제되었습니다.
  • 위협이 감지되어 자동으로 격리되었습니다.
  • 파일이 위협으로 식별되었지만 컴퓨터에서 면제되었습니다.
  • 현재 위협의 상태가 변경되었습니다(예: Threat에서 Quarantined로, Quarantined에서 Waived로 또는 Waived에서 Quarantined로 변경).
BIOS 보증 활성화 Enabled 지원되는 Dell 컴퓨터(2016 이상 엔터프라이즈급 컴퓨터)에서 BIOS 무결성 검사를 수행합니다.
로그 파일 자동 업로드 활성화 Enabled 이를 통해 에이전트는 ATP 플러그인에 대한 로그 파일을 매일 자정 또는 100MB 중 먼저 발생하는 시간에 클라우드에 자동으로 업로드할 수 있습니다.
표준 UI 활성화 Enabled 이렇게 하면 엔드포인트에서 Dell Data Security Console을 사용하여 추가 옵션을 사용할 수 있습니다. 이를 통해 로컬 사용자는 로컬 엔드포인트에서 탐지된 위협, 메모리 이벤트 또는 스크립트를 볼 수 있습니다. 이 옵션은 엔드포인트에서 마우스 오른쪽 버튼 클릭 메뉴를 사용하거나 Advanced Threat Prevention이라는 옵션에서 Dell Data Security Console 내의 설정 톱니를 사용하여 표시됩니다.

이 옵션을 선택하면 해당 컴퓨터에서 발견된 위협, 메모리 이벤트 또는 스크립트를 표시하거나 숨기는 추가 토글을 사용할 수 있습니다.

이 정책을 사용하려면 Dell Encryption Management Agent 버전이 8.18.0 이상이어야 합니다.

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.