Article Number: 000126118
해당 사항 없음
기본적으로 ATP(Advanced Threat Prevention)는 처음에 학습 모드로 실행하는 것이 좋습니다. 모든 위협 정보는 관리자가 환경 내에서 위협 및 PUP(Potentially Unwanted Program)를 관리하고 미션 크리티컬 앱을 허용 목록에 추가할 수 있도록 유연성을 제공하기 위해 수집됩니다.
Dell Endpoint Security Suite Enterprise의 정책 수정에 대한 자세한 내용은 Dell Data Protection Server에서 정책을 수정하는 방법을 참조하십시오.
Dell Endpoint Security Suite Enterprise 내에서 제외를 생성하는 방법에 대한 자세한 내용 및 규칙은 Dell Endpoint Security Suite Enterprise에서 제외를 추가하는 방법을 참조하십시오.
| 정책 값 | 제안 값 | 정책 설명 |
|---|---|---|
| Advanced Threat Prevention(주 스위치) |
켜짐 |
이 정책 값은 클라이언트가 Advanced Threat Prevention에 대한 정책을 사용할 수 있는지를 결정합니다. 또한 파일 작업 및 실행 컨트롤이 활성화되며, 이는 비활성화할 수 없습니다. 실행 컨트롤에는 백그라운드 위협 감지 및 File Watcher가 포함됩니다. ATP 내의 이 모듈은 의도된 작업 및 동작을 기반으로 PE(Portable Executable)의 의도를 분석하고 추상화합니다. BTD 및 File Watcher와 함께 실행 컨트롤에 의해 감지된 모든 파일은 자동 격리와 관련된 정책에 따라 처리됩니다. 이러한 작업은 PE(Portable Executable)의 절대 경로 위치를 기반으로 수행됩니다. |
| 파일 작업: |
|
|
| 실행 파일 제어를 활성화하여 안전하지 않은 실행 파일 자동 격리 |
Disabled | 이는 심각한 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다. |
| 안전하지 않은 실행 파일 자동 업로드 활성화됨 |
Enabled |
심각한 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다. |
| 실행 파일 제어를 활성화하여 비정상적인 실행 파일 자동 격리 |
Disabled |
잠재적 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다. |
| 비정상적인 실행 파일 자동 업로드 활성화됨 |
Enabled |
잠재적인 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다. |
| 제외 폴더에서 파일 실행 허용 |
Enabled |
이는 보호 설정 정책 그룹 내의 특정 폴더 제외 정책에 적용됩니다. 이렇게 하면 제외된 폴더 내의 실행 파일이 자동으로 격리된 경우에도 실행할 수 있습니다. |
| 자동 삭제 |
Disabled |
이렇게 하면 삭제까지 남은 일 수 정책에 타이머가 활성화됩니다. 이는 격리된 항목에 적용되며, 삭제까지 남은 일 수가 경과하면 이 정책을 사용하도록 설정하면 격리 폴더 내의 모든 위협이 자동으로 제거됩니다. |
| 삭제까지 남은 일 수 |
14 |
이렇게 하면 항목이 로컬 격리 폴더에 남아 있는 위협당 일 수가 결정됩니다. |
| 메모리 작업 |
||
| 메모리 보호 활성화됨 |
Enabled |
이를 통해 메모리 보호 기능이 활성화됩니다. 메모리 보호 모듈은 메모리에서 애플리케이션과 운영 체제 간의 상호 작용을 모니터링하여 애플리케이션 실행 의도를 분석하고 해석합니다. |
| 실행 파일 제외 활성화 |
Enabled |
이렇게 하면 특정 실행 파일을 메모리 보호에서 제외할 수 있습니다. |
| 실행 파일 제외 |
공백 |
추가하는 모든 제외는 해당 실행 파일의 상대 경로로 지정해야 합니다(경로에서 드라이브 문자 제외). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| 악용: 스택 피벗 |
경고 |
스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 단일 스택을 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단할 수 없는 방식으로 실행을 제어합니다. 적용 대상: Windows, Mac |
| 악용: 스택 보호 |
경고 |
스레드 스택의 메모리 보호가 실행 권한을 활성화하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단할 수 있습니다. 적용 대상: Windows, Mac |
| 악용: 코드 덮어쓰기 |
경고 |
프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다. 적용 대상: Windows |
| 악용: 스캐너 메모리 검색 |
경고 |
프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련 적용 대상: Windows |
| 악용: 악성 페이로드 |
경고 |
프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련 적용 대상: Windows |
| 악용: 악성 페이로드 |
경고 |
악용과 관련된 일반 셸코드 및 페이로드 탐지가 발견되었습니다. 적용 대상: Windows |
| 프로세스 삽입: 메모리 원격 할당 |
경고 |
프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서만 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리 원격 매핑 |
경고 |
프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하고 악의적인 존재를 강화하려는 시도를 나타낼 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리에 원격으로 쓰기 |
경고 |
프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutofProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리에 원격으로 PE 쓰기 |
경고 |
프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 코드 원격으로 덮어쓰기 |
경고 |
프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리 원격 매핑 해제 |
경고 |
프로세스에서 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 원격 스레드 생성 |
경고 |
프로세스에서 다른 프로세스에서 스레드를 생성했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 원격 APC 예약됨 |
경고 |
프로세스에서 다른 프로세스의 스레드 실행을 전환했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다. 적용 대상: Windows |
| 프로세스 삽입: DYLD 삽입(Mac OS X만 해당) |
경고 |
시작된 프로세스에 공유 라이브러리를 삽입하게 하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다. 적용 대상: Mac |
| 에스컬레이션: LSASS 읽기 |
경고 |
사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 권한 프로세스에 속한 메모리에 액세스했습니다. 적용 대상: Windows |
| 에스컬레이션: 제로 할당 |
경고 |
null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 일반적으로 커널에서 알려진 Null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다. 적용 대상: Windows, Mac |
| 실행 컨트롤 |
||
| 디바이스에서 서비스 종료 방지 |
Disabled |
활성화된 경우 ATP 서비스를 중지할 수 없습니다. 이렇게 하면 애플리케이션도 제거할 수 없습니다. |
| 안전하지 않은 실행 프로세스 및 하위 프로세스 종료 |
Disabled |
이 기능을 활성화하면 하위 프로세스를 생성하는 메모리 기반 위협을 탐지하고 종료할 수 있습니다. |
| 백그라운드 위협 감지 |
한 번 실행 |
기존 파일 검사가 디바이스에서 실행되는지 여부를 확인합니다. Disabled, Run Once 또는 Run Recurring으로 설정할 수 있습니다. 새 파일 감시가 활성화된 경우 백그라운드 위협 감지를 한 번 실행으로 구성하는 것이 좋습니다. 새 파일과 업데이트된 파일도 감시하고 있는 경우에만 기존 파일을 한 번 검사해야 합니다. |
| 새 파일 감시 |
Enabled |
이를 활성화로 설정하면 디바이스에 새로 기록되거나 변경된 파일을 탐지하고 분석할 수 있습니다.
참고: 트래픽이 많은 디바이스(예: 파일 또는 애플리케이션 서버)에서는 새 파일 감시를 비활성화하는 것이 좋습니다. 이렇게 하면 각 파일을 디스크에 기록할 때 분석해야 하므로 디스크 레이턴시가 예기치 않게 증가할 수 있습니다. 실행을 시도하는 모든 PE(Portable Executable)는 실행을 시도할 때 분석되므로 기본적으로 이 문제는 완화됩니다. 백그라운드 위협 감지를 활성화하고 반복 실행으로 설정하면 이 문제를 더욱 완화할 수 있습니다.
|
| 스캔할 최대 아카이브 파일 크기 설정 |
150 |
분석할 수 있는 압축 해제된 최대 아카이브 크기를 구성합니다. 크기는 메가바이트입니다. |
| 보호 설정 | ||
| 특정 폴더 제외(하위 폴더 포함) 활성화 | Enabled | 이렇게 하면 정책에 따라 File Watcher 및 실행 컨트롤 에서 폴더를 정의하고 모니터링되지 않는 제외 폴더에서 파일 실행을 허용하는 기능을 사용할 수 있습니다. |
| 특정 폴더 제외(하위 폴더 포함) | -공백- | 모니터링되지 않는 File Watcher의 폴더 목록을 정의하고, 제외 폴더에서 파일 실행 허용 정책은 이러한 디렉터리에서 실행되는 모든 파일을 격리하지 않도록 합니다. 이 정책은 새 파일 감시 또는 백그라운드 위협 감지를 통해 이러한 디렉토리를 검색하지 못하도록 합니다. 추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 애플리케이션 컨트롤 | ||
| 애플리케이션 컨트롤 | Disabled | 이를 통해 디바이스의 애플리케이션 기반 변경을 제한할 수 있으며, 새 애플리케이션을 추가하거나, 애플리케이션을 제거하거나, 애플리케이션을 수정하거나 업데이트할 수 없습니다. |
| 애플리케이션 컨트롤 허용 폴더 | -공백- | 이렇게 하면 애플리케이션 컨트롤에서 모니터링되지 않는 폴더 목록이 정의됩니다. 추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 창 변경 활성화 | Disabled | 이 옵션을 활성화하면 애플리케이션 컨트롤이 일시적으로 비활성화되어 환경에서 수정할 수 있습니다. |
| 스크립트 컨트롤 | ||
| 스크립트 컨트롤 | Enabled | 스크립트 컨트롤의 사용을 활성화합니다. 스크립트 컨트롤은 운영 체제 내에서 작업을 실행할 수 있는 애플리케이션 및 서비스를 모니터링합니다. 이러한 애플리케이션을 일반적으로 인터프리터라고 합니다. ATP는 이러한 애플리케이션 및 서비스에서 실행을 시도하는 모든 스크립트를 모니터링하고 정책에 따라 해당 작업이 수행되었음을 알리거나 작업이 발생하지 않도록 차단합니다. 이러한 결정은 스크립트 이름과 스크립트가 실행된 상대 경로를 기준으로 이루어집니다. |
| 스크립트 제어 모드 | 경고 | 차단으로 설정된 경우 스크립트 기반 항목이 실행되지 않습니다. 여기에는 모든 활성 스크립트, 매크로 기반 스크립트 또는 PowerShell 기반 스크립트가 포함됩니다. 이후 버전에서는 이러한 정책이 자체 정책으로 분리됩니다. 적용 대상: 1.2.1371 이하 버전의 ESSE 빌드 |
| 활성 스크립트 | 경고 | 차단으로 설정하면 JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby 및 기타 여러 스크립트를 실행하는 기능이 비활성화됩니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| 매크로 | 경고 | 이 기능을 Alert로 설정하면 문서 내의 매크로를 분석하여 잠재적으로 악의적인 명령을 실행하고 있는지 확인할 수 있습니다. 위협이 감지된 경우 Block 설정을 사용하면 매크로가 실행되지 않습니다. 시작 시 실행되는 매크로로 인해 애플리케이션이 로드되지 않을 수 있습니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| Powershell | 경고 | 차단으로 설정하면 PowerShell 기반 스크립트가 환경에서 실행되지 않습니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| PowerShell 콘솔 | Allow | 차단으로 설정하면 PowerShell V3 콘솔 및 ISE가 실행되지 않습니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| 폴더(및 하위 폴더)의 승인 스크립트 활성화 | Enabled | 이렇게 하면 스크립트 컨트롤의 위치를 분석에서 제외할 수 있습니다. |
| 폴더(및 하위 폴더)의 승인 스크립트 | -공백- | 이 섹션에서는 모니터링되지 않는 스크립트 컨트롤의 폴더에 대해 자세히 설명합니다.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| 전역 허용 | -공백- | 이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다. 이 정책은 환경 내에서 허용되어야 하는 특정 위협 경로와 인증서를 결정합니다. |
| 격리 목록 | -공백- | 이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다. 이는 에이전트가 발견할 때 자동으로 격리되는 알려진 비정상 해시의 정의된 목록입니다. |
| 안전 목록 | -공백- | 이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다. 이 정책은 환경 내에서 허용되어야 하는 특정 위협 해시를 결정합니다. |
| Agent 설정 | ||
| 팝업 알림 표시 안 함 | Enabled | 이렇게 하면 ESSE에서 토스터 대화 상자를 표시하는 기능이 활성화 또는 비활성화됩니다. |
| 최소 팝업 알림 수준 | 높음 | 팝업 알림 표시 안 함 정책이 비활성화된 경우 최종 사용자에게 알림을 보낼 내용을 정의합니다. 높음
중간
낮음
|
| BIOS 보증 활성화 | Enabled | 지원되는 Dell 컴퓨터(2016 이상 엔터프라이즈급 컴퓨터)에서 BIOS 무결성 검사를 수행합니다. |
| 로그 파일 자동 업로드 활성화 | Enabled | 이를 통해 에이전트는 ATP 플러그인에 대한 로그 파일을 매일 자정 또는 100MB 중 먼저 발생하는 시간에 클라우드에 자동으로 업로드할 수 있습니다. |
| 정책 값 | 제안 값 | 정책 설명 |
|---|---|---|
| Advanced Threat Prevention(주 스위치) |
켜짐 |
이 정책 값은 클라이언트가 Advanced Threat Prevention에 대한 정책을 사용할 수 있는지를 결정합니다. 또한 파일 작업 및 실행 컨트롤이 활성화되며, 이는 비활성화할 수 없습니다. 실행 컨트롤에는 백그라운드 위협 감지 및 File Watcher가 포함됩니다. ATP 내의 이 모듈은 의도된 작업 및 동작을 기반으로 PE(Portable Executable)의 의도를 분석하고 추상화합니다. 실행 컨트롤, BTD 및 File Watcher에 의해 탐지된 모든 파일은 자동 격리와 관련된 정책에 따라 처리됩니다. 이러한 작업은 PE(Portable Executable)의 절대 경로 위치를 기반으로 수행됩니다. |
| 파일 작업: |
|
|
| 실행 파일 제어를 활성화하여 안전하지 않은 실행 파일 자동 격리 |
Enabled | 이는 심각한 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다. |
| 안전하지 않은 실행 파일 자동 업로드 활성화됨 |
Enabled |
심각한 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다. |
| 실행 파일 제어를 활성화하여 비정상적인 실행 파일 자동 격리 |
Enabled |
잠재적 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다. |
| 비정상적인 실행 파일 자동 업로드 활성화됨 |
Enabled |
잠재적인 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다. |
| 제외 폴더에서 파일 실행 허용 |
Enabled |
이는 보호 설정 정책 그룹 내의 특정 폴더 제외 정책에 적용됩니다. 이렇게 하면 제외된 폴더 내의 실행 파일이 자동으로 격리된 경우에도 실행할 수 있습니다. |
| 자동 삭제 |
Enabled |
이렇게 하면 정책이 삭제될 때까지 타이머를 사용할 수 있으며, 이는 격리된 항목에도 적용됩니다. 삭제까지 남은 일 수가 경과하면 이 정책이 활성화된 경우 격리 폴더 내의 모든 위협이 자동으로 제거됩니다. |
| 삭제까지 남은 일 수 |
14 |
항목이 로컬 격리 폴더에 남아 있는 위협당 일 수를 결정합니다. |
| 메모리 작업 |
||
| 메모리 보호 활성화됨 |
Enabled |
이를 통해 메모리 보호 기능, 메모리 보호 모듈이 메모리에서 애플리케이션과 운영 체제 간의 상호 작용을 모니터링하여 애플리케이션 실행 의도를 분석하고 해석할 수 있습니다. |
| 실행 파일 제외 활성화 |
Enabled |
이렇게 하면 특정 실행 파일을 메모리 보호에서 제외할 수 있습니다. |
| 실행 파일 제외 |
환경에 따라 다름 |
추가하는 모든 제외는 해당 실행 파일의 상대 경로로 지정해야 합니다(경로에서 드라이브 문자 제외). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| 악용: 스택 피벗 |
종료 |
스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 대해 하나의 스택만 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단하지 않는 방식으로 실행을 제어합니다. 적용 대상: Windows, Mac |
| 악용: 스택 보호 |
종료 |
스레드 스택의 메모리 보호가 실행 권한을 활성화하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단하지 않습니다. 적용 대상: Windows, Mac |
| 악용: 코드 덮어쓰기 |
종료 |
프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다. 적용 대상: Windows |
| 악용: 스캐너 메모리 검색 |
종료 |
프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 하는데, 이는 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련이 있습니다. 적용 대상: Windows |
| 악용: 악성 페이로드 |
종료 |
악용과 관련된 일반 셸코드 및 페이로드 탐지가 발견되었습니다. 적용 대상: Windows |
| 프로세스 삽입: 메모리 원격 할당 |
종료 |
프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서만 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리 원격 매핑 |
종료 |
프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하고 악의적인 존재를 강화하려는 시도를 나타낼 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리에 원격으로 쓰기 |
종료 |
프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutOfProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리에 원격으로 PE 쓰기 |
종료 |
프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 코드 원격으로 덮어쓰기 |
종료 |
프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 메모리 원격 매핑 해제 |
종료 |
프로세스에서 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 원격 스레드 생성 |
종료 |
프로세스에서 다른 프로세스에서 스레드를 생성했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다. 적용 대상: Windows, Mac |
| 프로세스 삽입: 원격 APC 예약됨 |
종료 |
프로세스에서 다른 프로세스의 스레드 실행을 전환했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다. 적용 대상: Windows |
| 프로세스 삽입: DYLD 삽입(Mac OS X만 해당) |
종료 |
시작된 프로세스에 공유 라이브러리를 삽입하게 하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다. 적용 대상: Mac |
| 에스컬레이션: LSASS 읽기 |
종료 |
사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 권한 프로세스에 속한 메모리에 액세스했습니다. 적용 대상: Windows |
| 에스컬레이션: 제로 할당 |
종료 |
null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 이를 사용하여 일반적으로 커널에서 알려진 Null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다. 적용 대상: Windows, Mac |
| 실행 컨트롤 |
||
| 디바이스에서 서비스 종료 방지 |
Enabled |
활성화되면 컴퓨터로도 ATP 서비스를 중지할 수 없습니다. 이렇게 하면 애플리케이션도 제거할 수 없습니다. |
| 안전하지 않은 실행 프로세스 및 하위 프로세스 종료 |
Enabled |
이 기능을 활성화하면 하위 프로세스를 생성하는 메모리 기반 위협을 탐지하고 종료할 수 있습니다. |
| 백그라운드 위협 감지 |
한 번 실행 |
기존 파일 검사가 디바이스에서 실행되는지 여부를 확인합니다. Disabled, Run Once 또는 Run Recurring으로 설정할 수 있습니다. 새 파일 감시가 활성화된 경우 백그라운드 위협 감지를 한 번 실행으로 구성하는 것이 좋습니다. 새 파일과 업데이트된 파일도 감시하고 있는 경우에만 기존 파일을 한 번 검사해야 합니다. |
| 새 파일 감시 |
Enabled |
이를 활성화로 설정하면 디바이스에 새로 기록되거나 변경된 파일을 탐지하고 분석할 수 있습니다.
참고: 트래픽이 많은 디바이스(예: 파일 또는 애플리케이션 서버)에서는 새 파일 감시를 비활성화하는 것이 좋습니다. 이렇게 하면 각 파일을 디스크에 기록할 때 분석해야 하므로 디스크 레이턴시가 예기치 않게 증가할 수 있습니다. 실행을 시도할 때 실행을 시도하는 모든 PE(Portable Executable)를 분석하므로 기본적으로 이 문제는 완화됩니다. 백그라운드 위협 감지를 활성화하고 반복 실행으로 설정하면 이 문제를 더욱 완화할 수 있습니다.
|
| 스캔할 최대 아카이브 파일 크기 설정 |
150 |
분석할 수 있는 압축 해제된 최대 아카이브 크기를 구성합니다. 크기는 메가바이트입니다. |
| 보호 설정 | ||
| 특정 폴더 제외(하위 폴더 포함) 활성화 | Enabled | 이렇게 하면 모니터링되지 않는 제외 폴더에서 파일 실행 허용 정책에 따라 File Watcher 및 실행 컨트롤에서 폴더를 정의할 수 있습니다. |
| 특정 폴더 제외(하위 폴더 포함) | 환경에 따라 다름 | 모니터링되지 않는 File Watcher의 폴더 목록을 정의합니다. 이 제외 폴더에서 파일 실행 허용 정책은 이러한 디렉토리에서 실행되는 모든 파일을 격리하지 않도록 합니다. 이 정책은 새 파일 감시 또는 백그라운드 위협 감지를 통해 이러한 디렉토리를 검색하지 못하도록 합니다. 추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 애플리케이션 컨트롤 | ||
| 애플리케이션 컨트롤 | Disabled | 이렇게 하면 디바이스에서 애플리케이션 기반 변경을 제한할 수 있습니다. 새 애플리케이션을 추가할 수 없고, 애플리케이션을 제거할 수 없으며, 애플리케이션을 수정 또는 업데이트할 수 없습니다. |
| 애플리케이션 컨트롤 허용 폴더 | -공백- | 이렇게 하면 애플리케이션 컨트롤에서 모니터링되지 않는 폴더 목록이 정의됩니다. 추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| 창 변경 활성화 | Disabled | 이 옵션을 활성화하면 애플리케이션 컨트롤이 일시적으로 비활성화되어 환경에서 수정할 수 있습니다. |
| 스크립트 컨트롤 | ||
| 스크립트 컨트롤 | Enabled | 스크립트 컨트롤 사용 활성화 스크립트 컨트롤은 운영 체제 내에서 작업을 실행할 수 있는 애플리케이션 및 서비스를 모니터링합니다. 이러한 애플리케이션을 일반적으로 인터프리터라고 합니다. ATP는 이러한 애플리케이션 및 서비스에서 실행을 시도하는 모든 스크립트를 모니터링하고 정책에 따라 해당 작업이 수행되었음을 알리거나 작업이 발생하지 않도록 차단합니다. 이러한 결정은 스크립트 이름과 스크립트가 실행된 상대 경로를 기준으로 이루어집니다. |
| 스크립트 제어 모드 | 차단 | 차단으로 설정된 경우 스크립트 기반 항목이 실행되지 않습니다. 여기에는 모든 활성 스크립트, 매크로 기반 스크립트 또는 PowerShell 기반 스크립트가 포함됩니다. 이후 버전에서는 이러한 정책이 자체 정책으로 분리됩니다. 적용 대상: 1.2.1371 이하 버전의 ESSE 빌드 |
| 활성 스크립트 | 차단 | 차단으로 설정하면 JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby 및 기타 여러 스크립트를 실행하는 기능이 비활성화됩니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| 매크로 | 차단 | 이 기능을 Alert로 설정하면 문서 내의 매크로를 분석하여 잠재적으로 악의적인 명령을 실행하고 있는지 확인할 수 있습니다. 위협이 감지된 경우 "Block" 설정을 사용하면 매크로가 실행되지 않습니다. 시작 시 실행되는 매크로로 인해 애플리케이션이 로드되지 않을 수 있습니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| Powershell | 차단 | 차단으로 설정하면 PowerShell 기반 스크립트가 환경에서 실행되지 않습니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| PowerShell 콘솔 | Allow | 차단으로 설정하면 PowerShell V3 콘솔 및 ISE가 실행되지 않습니다. 적용 대상: 1.2.1391 이상 버전의 ESSE 빌드 |
| 폴더(및 하위 폴더)의 승인 스크립트 활성화 | Enabled | 이렇게 하면 스크립트 컨트롤에서 위치를 분석에서 제외할 수 있습니다. |
| 폴더(및 하위 폴더)의 승인 스크립트 | 환경에 따라 다름 | 이 섹션에서는 모니터링되지 않는 스크립트 컨트롤의 폴더에 대해 자세히 설명합니다.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| 전역 허용 | 환경에 따라 다름 | 이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다. 이 정책은 환경 내에서 허용되어야 하는 특정 위협 경로와 인증서를 결정합니다. |
| 격리 목록 | 환경에 따라 다름 | 이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다. 이는 에이전트가 발견할 때 자동으로 격리되는 알려진 비정상 해시의 정의된 목록입니다. |
| 안전 목록 | 환경에 따라 다름 | 이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다. 이 정책은 환경 내에서 허용되어야 하는 특정 위협 해시를 결정합니다. |
| Agent 설정 | ||
| 팝업 알림 표시 안 함 | Disabled | 이렇게 하면 ESSE에서 토스터 대화 상자를 표시하는 기능이 활성화 또는 비활성화됩니다. |
| 최소 팝업 알림 수준 | 높음 | 팝업 알림 표시 안 함 정책이 비활성화된 경우 최종 사용자에게 알림을 보낼 내용을 정의합니다. 높음
중간
낮음
|
| BIOS 보증 활성화 | Enabled | 지원되는 Dell 컴퓨터(2016 이상 엔터프라이즈급 컴퓨터)에서 BIOS 무결성 검사를 수행합니다. |
| 로그 파일 자동 업로드 활성화 | Enabled | 이를 통해 에이전트는 ATP 플러그인에 대한 로그 파일을 매일 자정 또는 100MB 중 먼저 발생하는 시간에 클라우드에 자동으로 업로드할 수 있습니다. |
| 표준 UI 활성화 | Enabled | 이렇게 하면 엔드포인트에서 Dell Data Security Console을 사용하여 추가 옵션을 사용할 수 있습니다. 이를 통해 로컬 사용자는 로컬 엔드포인트에서 탐지된 위협, 메모리 이벤트 또는 스크립트를 볼 수 있습니다. 이 옵션은 엔드포인트에서 마우스 오른쪽 버튼 클릭 메뉴를 사용하거나 Advanced Threat Prevention이라는 옵션에서 Dell Data Security Console 내의 설정 톱니를 사용하여 표시됩니다. 이 옵션을 선택하면 해당 컴퓨터에서 발견된 위협, 메모리 이벤트 또는 스크립트를 표시하거나 숨기는 추가 토글을 사용할 수 있습니다. 이 정책을 사용하려면 Dell Encryption Management Agent 버전이 8.18.0 이상이어야 합니다. |
지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution