Dell Endpoint Security Suite Enterprise Advanced Threat Protection 및 Prevention에 대한 Dell 권장 정책

Advanced Threat Prevention(주 스위치)

켜짐

이 정책 값은 클라이언트가 Advanced Threat Prevention에 대한 정책을 사용할 수 있는지를 결정합니다.

또한 파일 작업 및 실행 컨트롤이 활성화되며, 이는 비활성화할 수 없습니다.

실행 컨트롤에는 백그라운드 위협 감지 및 File Watcher가 포함됩니다. ATP 내의 이 모듈은 의도된 작업 및 동작을 기반으로 PE(Portable Executable)의 의도를 분석하고 추상화합니다. BTD 및 File Watcher와 함께 실행 컨트롤에 의해 감지된 모든 파일은 자동 격리와 관련된 정책에 따라 처리됩니다. 이러한 작업은 PE(Portable Executable)의 절대 경로 위치를 기반으로 수행됩니다.

파일 작업:

실행 파일 제어를 활성화하여 안전하지 않은 실행 파일 자동 격리

안전하지 않은 실행 파일 자동 업로드 활성화됨

Enabled

심각한 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

실행 파일 제어를 활성화하여 비정상적인 실행 파일 자동 격리

Disabled

잠재적 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다.

비정상적인 실행 파일 자동 업로드 활성화됨

Enabled

잠재적인 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

제외 폴더에서 파일 실행 허용

Enabled

이는 보호 설정 정책 그룹 내의 특정 폴더 제외 정책에 적용됩니다. 이렇게 하면 제외된 폴더 내의 실행 파일이 자동으로 격리된 경우에도 실행할 수 있습니다.

자동 삭제

Disabled

이렇게 하면 삭제까지 남은 일 수 정책에 타이머가 활성화됩니다. 이는 격리된 항목에 적용되며, 삭제까지 남은 일 수가 경과하면 이 정책을 사용하도록 설정하면 격리 폴더 내의 모든 위협이 자동으로 제거됩니다.

삭제까지 남은 일 수

14

이렇게 하면 항목이 로컬 격리 폴더에 남아 있는 위협당 일 수가 결정됩니다.

메모리 작업

메모리 보호 활성화됨

Enabled

이를 통해 메모리 보호 기능이 활성화됩니다. 메모리 보호 모듈은 메모리에서 애플리케이션과 운영 체제 간의 상호 작용을 모니터링하여 애플리케이션 실행 의도를 분석하고 해석합니다.

실행 파일 제외 활성화

Enabled

이렇게 하면 특정 실행 파일을 메모리 보호에서 제외할 수 있습니다.

실행 파일 제외

공백

추가하는 모든 제외는 해당 실행 파일의 상대 경로로 지정해야 합니다(경로에서 드라이브 문자 제외).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

악용: 스택 피벗

경고

스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 단일 스택을 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단할 수 없는 방식으로 실행을 제어합니다.

적용 대상: Windows, Mac

악용: 스택 보호

경고

스레드 스택의 메모리 보호가 실행 권한을 활성화하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단할 수 있습니다.

적용 대상: Windows, Mac

악용: 코드 덮어쓰기

경고

프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다.

적용 대상: Windows

악용: 스캐너 메모리 검색

경고

프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련

적용 대상: Windows

악용: 악성 페이로드

경고

프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련

적용 대상: Windows

악용: 악성 페이로드

경고

악용과 관련된 일반 셸코드 및 페이로드 탐지가 발견되었습니다.

적용 대상: Windows

프로세스 삽입: 메모리 원격 할당

경고

프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서만 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑

경고

프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하고 악의적인 존재를 강화하려는 시도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 쓰기

경고

프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutofProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 PE 쓰기

경고

프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 코드 원격으로 덮어쓰기

경고

프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑 해제

경고

프로세스에서 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 스레드 생성

경고

프로세스에서 다른 프로세스에서 스레드를 생성했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 APC 예약됨

경고

프로세스에서 다른 프로세스의 스레드 실행을 전환했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows

프로세스 삽입: DYLD 삽입(Mac OS X만 해당)

경고

시작된 프로세스에 공유 라이브러리를 삽입하게 하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다.

적용 대상: Mac

에스컬레이션: LSASS 읽기

경고

사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 권한 프로세스에 속한 메모리에 액세스했습니다.

적용 대상: Windows

에스컬레이션: 제로 할당

경고

null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 일반적으로 커널에서 알려진 Null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다.

적용 대상: Windows, Mac

실행 컨트롤

디바이스에서 서비스 종료 방지

Disabled

활성화된 경우 ATP 서비스를 중지할 수 없습니다. 이렇게 하면 애플리케이션도 제거할 수 없습니다.

안전하지 않은 실행 프로세스 및 하위 프로세스 종료

Disabled

이 기능을 활성화하면 하위 프로세스를 생성하는 메모리 기반 위협을 탐지하고 종료할 수 있습니다.

백그라운드 위협 감지

한 번 실행

기존 파일 검사가 디바이스에서 실행되는지 여부를 확인합니다. Disabled, Run Once 또는 Run Recurring으로 설정할 수 있습니다.

새 파일 감시가 활성화된 경우 백그라운드 위협 감지를 한 번 실행으로 구성하는 것이 좋습니다. 새 파일과 업데이트된 파일도 감시하고 있는 경우에만 기존 파일을 한 번 검사해야 합니다.

새 파일 감시

Enabled

이를 활성화로 설정하면 디바이스에 새로 기록되거나 변경된 파일을 탐지하고 분석할 수 있습니다.

스캔할 최대 아카이브 파일 크기 설정

150

분석할 수 있는 압축 해제된 최대 아카이브 크기를 구성합니다. 크기는 메가바이트입니다.

모니터링되지 않는 File Watcher의 폴더 목록을 정의하고, 제외 폴더에서 파일 실행 허용 정책은 이러한 디렉터리에서 실행되는 모든 파일을 격리하지 않도록 합니다. 이 정책은 새 파일 감시 또는 백그라운드 위협 감지를 통해 이러한 디렉토리를 검색하지 못하도록 합니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

이렇게 하면 애플리케이션 컨트롤에서 모니터링되지 않는 폴더 목록이 정의됩니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

스크립트 컨트롤의 사용을 활성화합니다.

스크립트 컨트롤은 운영 체제 내에서 작업을 실행할 수 있는 애플리케이션 및 서비스를 모니터링합니다. 이러한 애플리케이션을 일반적으로 인터프리터라고 합니다. ATP는 이러한 애플리케이션 및 서비스에서 실행을 시도하는 모든 스크립트를 모니터링하고 정책에 따라 해당 작업이 수행되었음을 알리거나 작업이 발생하지 않도록 차단합니다. 이러한 결정은 스크립트 이름과 스크립트가 실행된 상대 경로를 기준으로 이루어집니다.

차단으로 설정된 경우 스크립트 기반 항목이 실행되지 않습니다. 여기에는 모든 활성 스크립트, 매크로 기반 스크립트 또는 PowerShell 기반 스크립트가 포함됩니다. 이후 버전에서는 이러한 정책이 자체 정책으로 분리됩니다.

적용 대상: 1.2.1371 이하 버전의 ESSE 빌드

차단으로 설정하면 JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby 및 기타 여러 스크립트를 실행하는 기능이 비활성화됩니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

이 기능을 Alert로 설정하면 문서 내의 매크로를 분석하여 잠재적으로 악의적인 명령을 실행하고 있는지 확인할 수 있습니다. 위협이 감지된 경우 Block 설정을 사용하면 매크로가 실행되지 않습니다. 시작 시 실행되는 매크로로 인해 애플리케이션이 로드되지 않을 수 있습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

차단으로 설정하면 PowerShell 기반 스크립트가 환경에서 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

차단으로 설정하면 PowerShell V3 콘솔 및 ISE가 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

이 섹션에서는 모니터링되지 않는 스크립트 컨트롤의 폴더에 대해 자세히 설명합니다.

• 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
• 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
• 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
• 와일드카드는 지원되지 않습니다.

Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 경로와 인증서를 결정합니다.

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이는 에이전트가 발견할 때 자동으로 격리되는 알려진 비정상 해시의 정의된 목록입니다.

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 해시를 결정합니다.

팝업 알림 표시 안 함 정책이 비활성화된 경우 최종 사용자에게 알림을 보낼 내용을 정의합니다.

높음

• 보호 상태가 변경되었습니다. (Protected는 Advanced Threat Prevention 서비스가 실행 중이고 컴퓨터를 보호하고 있으며 사용자 또는 관리자의 개입이 필요하지 않음을 의미함)
• 위협이 탐지되었으며 자동으로 위협을 해결하도록 정책이 설정되지 않았습니다.

중간

• 프로세스가 위협으로 탐지되었기 때문에 실행 컨트롤에서 프로세스를 시작하지 못하도록 차단했습니다.
• 관련 완화 조치가 있는 위협이 탐지되어(예: 위협이 수동으로 격리됨) 프로세스가 종료되었습니다.
• 메모리 위반으로 인해 프로세스가 차단되거나 종료되었습니다.
• 메모리 위반이 감지되었으며 해당 위반 유형에 적용되는 자동 완화 정책이 없습니다.

낮음

• 위협으로 식별된 파일이 전역 안전 목록에 추가되었거나 파일 시스템에서 삭제되었습니다.
• 위협이 감지되어 자동으로 격리되었습니다.
• 파일이 위협으로 식별되었지만 컴퓨터에서 면제되었습니다.
• 현재 위협의 상태가 변경되었습니다. 예: Threat에서 Quarantined로, Quarantined에서 Waived로 또는 Waived에서 Quarantined로 변경

Advanced Threat Prevention(주 스위치)

켜짐

이 정책 값은 클라이언트가 Advanced Threat Prevention에 대한 정책을 사용할 수 있는지를 결정합니다.

또한 파일 작업 및 실행 컨트롤이 활성화되며, 이는 비활성화할 수 없습니다.

실행 컨트롤에는 백그라운드 위협 감지 및 File Watcher가 포함됩니다. ATP 내의 이 모듈은 의도된 작업 및 동작을 기반으로 PE(Portable Executable)의 의도를 분석하고 추상화합니다. 실행 컨트롤, BTD 및 File Watcher에 의해 탐지된 모든 파일은 자동 격리와 관련된 정책에 따라 처리됩니다. 이러한 작업은 PE(Portable Executable)의 절대 경로 위치를 기반으로 수행됩니다.

파일 작업:

실행 파일 제어를 활성화하여 안전하지 않은 실행 파일 자동 격리

안전하지 않은 실행 파일 자동 업로드 활성화됨

Enabled

심각한 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

실행 파일 제어를 활성화하여 비정상적인 실행 파일 자동 격리

Enabled

잠재적 위협으로 간주되는 파일을 자동으로 격리할지 여부를 결정합니다.

비정상적인 실행 파일 자동 업로드 활성화됨

Enabled

잠재적인 위협을 클라우드에 업로드하여 이러한 위협에 대한 2차 의견 검사를 수행할지 여부를 설정합니다.

제외 폴더에서 파일 실행 허용

Enabled

이는 보호 설정 정책 그룹 내의 특정 폴더 제외 정책에 적용됩니다. 이렇게 하면 제외된 폴더 내의 실행 파일이 자동으로 격리된 경우에도 실행할 수 있습니다.

자동 삭제

Enabled

이렇게 하면 정책이 삭제될 때까지 타이머를 사용할 수 있으며, 이는 격리된 항목에도 적용됩니다. 삭제까지 남은 일 수가 경과하면 이 정책이 활성화된 경우 격리 폴더 내의 모든 위협이 자동으로 제거됩니다.

삭제까지 남은 일 수

14

항목이 로컬 격리 폴더에 남아 있는 위협당 일 수를 결정합니다.

메모리 작업

메모리 보호 활성화됨

Enabled

이를 통해 메모리 보호 기능, 메모리 보호 모듈이 메모리에서 애플리케이션과 운영 체제 간의 상호 작용을 모니터링하여 애플리케이션 실행 의도를 분석하고 해석할 수 있습니다.

실행 파일 제외 활성화

Enabled

이렇게 하면 특정 실행 파일을 메모리 보호에서 제외할 수 있습니다.

실행 파일 제외

환경에 따라 다름

추가하는 모든 제외는 해당 실행 파일의 상대 경로로 지정해야 합니다(경로에서 드라이브 문자 제외).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

악용: 스택 피벗

종료

스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 대해 하나의 스택만 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단하지 않는 방식으로 실행을 제어합니다.

적용 대상: Windows, Mac

악용: 스택 보호

종료

스레드 스택의 메모리 보호가 실행 권한을 활성화하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단하지 않습니다.

적용 대상: Windows, Mac

악용: 코드 덮어쓰기

종료

프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다.

적용 대상: Windows

악용: 스캐너 메모리 검색

종료

프로세스가 다른 프로세스에서 유효한 자기선 추적 데이터를 읽으려고 하는데, 이는 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련이 있습니다.

적용 대상: Windows

악용: 악성 페이로드

종료

악용과 관련된 일반 셸코드 및 페이로드 탐지가 발견되었습니다.

적용 대상: Windows

프로세스 삽입: 메모리 원격 할당

종료

프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서만 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑

종료

프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하고 악의적인 존재를 강화하려는 시도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 쓰기

종료

프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutOfProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리에 원격으로 PE 쓰기

종료

프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 코드 원격으로 덮어쓰기

종료

프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다.

적용 대상: Windows, Mac

프로세스 삽입: 메모리 원격 매핑 해제

종료

프로세스에서 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 스레드 생성

종료

프로세스에서 다른 프로세스에서 스레드를 생성했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows, Mac

프로세스 삽입: 원격 APC 예약됨

종료

프로세스에서 다른 프로세스의 스레드 실행을 전환했습니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

적용 대상: Windows

프로세스 삽입: DYLD 삽입(Mac OS X만 해당)

종료

시작된 프로세스에 공유 라이브러리를 삽입하게 하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다.

적용 대상: Mac

에스컬레이션: LSASS 읽기

종료

사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 권한 프로세스에 속한 메모리에 액세스했습니다.

적용 대상: Windows

에스컬레이션: 제로 할당

종료

null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 이를 사용하여 일반적으로 커널에서 알려진 Null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다.

적용 대상: Windows, Mac

실행 컨트롤

디바이스에서 서비스 종료 방지

Enabled

활성화되면 컴퓨터로도 ATP 서비스를 중지할 수 없습니다. 이렇게 하면 애플리케이션도 제거할 수 없습니다.

안전하지 않은 실행 프로세스 및 하위 프로세스 종료

Enabled

이 기능을 활성화하면 하위 프로세스를 생성하는 메모리 기반 위협을 탐지하고 종료할 수 있습니다.

백그라운드 위협 감지

한 번 실행

기존 파일 검사가 디바이스에서 실행되는지 여부를 확인합니다. Disabled, Run Once 또는 Run Recurring으로 설정할 수 있습니다.

새 파일 감시가 활성화된 경우 백그라운드 위협 감지를 한 번 실행으로 구성하는 것이 좋습니다. 새 파일과 업데이트된 파일도 감시하고 있는 경우에만 기존 파일을 한 번 검사해야 합니다.

새 파일 감시

Enabled

이를 활성화로 설정하면 디바이스에 새로 기록되거나 변경된 파일을 탐지하고 분석할 수 있습니다.

스캔할 최대 아카이브 파일 크기 설정

150

분석할 수 있는 압축 해제된 최대 아카이브 크기를 구성합니다. 크기는 메가바이트입니다.

모니터링되지 않는 File Watcher의 폴더 목록을 정의합니다. 이 제외 폴더에서 파일 실행 허용 정책은 이러한 디렉토리에서 실행되는 모든 파일을 격리하지 않도록 합니다. 이 정책은 새 파일 감시 또는 백그라운드 위협 감지를 통해 이러한 디렉토리를 검색하지 못하도록 합니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

이렇게 하면 애플리케이션 컨트롤에서 모니터링되지 않는 폴더 목록이 정의됩니다.

추가하는 모든 제외는 해당 실행 파일의 절대 경로를 사용하여 지정해야 합니다(경로에서 드라이브 문자 포함).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe

스크립트 컨트롤 사용 활성화

스크립트 컨트롤은 운영 체제 내에서 작업을 실행할 수 있는 애플리케이션 및 서비스를 모니터링합니다. 이러한 애플리케이션을 일반적으로 인터프리터라고 합니다. ATP는 이러한 애플리케이션 및 서비스에서 실행을 시도하는 모든 스크립트를 모니터링하고 정책에 따라 해당 작업이 수행되었음을 알리거나 작업이 발생하지 않도록 차단합니다. 이러한 결정은 스크립트 이름과 스크립트가 실행된 상대 경로를 기준으로 이루어집니다.

차단으로 설정된 경우 스크립트 기반 항목이 실행되지 않습니다. 여기에는 모든 활성 스크립트, 매크로 기반 스크립트 또는 PowerShell 기반 스크립트가 포함됩니다. 이후 버전에서는 이러한 정책이 자체 정책으로 분리됩니다.

적용 대상: 1.2.1371 이하 버전의 ESSE 빌드

차단으로 설정하면 JavaScript, VBscript, Batch, Python, Perl, PHP, Ruby 및 기타 여러 스크립트를 실행하는 기능이 비활성화됩니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

이 기능을 Alert로 설정하면 문서 내의 매크로를 분석하여 잠재적으로 악의적인 명령을 실행하고 있는지 확인할 수 있습니다. 위협이 감지된 경우 "Block" 설정을 사용하면 매크로가 실행되지 않습니다. 시작 시 실행되는 매크로로 인해 애플리케이션이 로드되지 않을 수 있습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

차단으로 설정하면 PowerShell 기반 스크립트가 환경에서 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

차단으로 설정하면 PowerShell V3 콘솔 및 ISE가 실행되지 않습니다.

적용 대상: 1.2.1391 이상 버전의 ESSE 빌드

이 섹션에서는 모니터링되지 않는 스크립트 컨트롤의 폴더에 대해 자세히 설명합니다.

• 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
• 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
• 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
• 와일드카드는 지원되지 않습니다.

Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 경로와 인증서를 결정합니다.

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이는 에이전트가 발견할 때 자동으로 격리되는 알려진 비정상 해시의 정의된 목록입니다.

이 정책은 ESSE의 연결 해제 모드를 활용합니다. 이를 통해 고객은 인터넷과 완전히 분리된 환경을 조성할 수 있습니다.

이 정책은 환경 내에서 허용되어야 하는 특정 위협 해시를 결정합니다.

팝업 알림 표시 안 함 정책이 비활성화된 경우 최종 사용자에게 알림을 보낼 내용을 정의합니다.

높음

• 보호 상태가 변경되었습니다. (Protected는 Advanced Threat Prevention 서비스가 실행 중이고 컴퓨터를 보호하고 있으며 사용자 또는 관리자의 개입이 필요하지 않음을 의미함)
• 위협이 탐지되었으며 자동으로 위협을 해결하도록 정책이 설정되지 않았습니다.

중간

• 프로세스가 위협으로 탐지되었기 때문에 실행 컨트롤에서 프로세스를 시작하지 못하도록 차단했습니다.
• 관련 완화 조치가 있는 위협이 탐지되어(예: 위협이 수동으로 격리됨) 프로세스가 종료되었습니다.
• 메모리 위반으로 인해 프로세스가 차단되거나 종료되었습니다.
• 메모리 위반이 감지되었으며 해당 위반 유형에 적용되는 자동 완화 정책이 없습니다.

낮음

• 위협으로 식별된 파일이 전역 안전 목록에 추가되었거나 파일 시스템에서 삭제되었습니다.
• 위협이 감지되어 자동으로 격리되었습니다.
• 파일이 위협으로 식별되었지만 컴퓨터에서 면제되었습니다.
• 현재 위협의 상태가 변경되었습니다(예: Threat에서 Quarantined로, Quarantined에서 Waived로 또는 Waived에서 Quarantined로 변경).