Dell Threat Defense 정책 권장 사항

학습 모드 또는 보호 모드에서 정책을 설정하는 것이 좋습니다. 학습 모드는 Dell Technologies가 환경에서 Dell Threat Defense를 테스트하도록 권장하는 방법입니다. Dell Threat Defense가 표준 회사 이미지와 함께 엔드포인트에 배포될 때 가장 효과적입니다.

일반 디스크 I/O보다 높기 때문에 애플리케이션 서버에 대한 추가 변경이 필요할 수 있습니다.

관리자가 Dell Threat Defense 관리 콘솔에서 모든 알림을 해결한 후에는 보호 모드 정책 권장 사항으로 전환하는 것이 좋습니다. Dell Technologies는 보호 모드 정책으로 전환하기 전에 학습 모드에서 몇 주 이상 테스트할 것을 권장합니다.

자세한 내용을 보려면 Application Server Recommendations, Learning Mode 또는 Protect Mode를 클릭합니다.

애플리케이션 서버 권장 사항

학습 모드와 보호 모드 양쪽에서 애플리케이션 서버에 클라이언트 운영 체제에 대한 다른 동작과 추가 오버헤드가 나타날 수 있습니다. 드물지만 AQT(Auto Quarantine)로 인해 점수를 계산할 수 있게 될 때까지 일부 파일이 실행되지 못했습니다. 이와 같은 상황은 애플리케이션에서 파일의 잠금을 변조로 감지하거나 프로세스가 예상 시간 내에 성공적으로 완료되지 못할 때 나타났습니다.

새 파일 감시가 활성화된 경우 장치 작업 속도가 느려질 수 있습니다. 새 파일이 생성되면 분석됩니다. 이 프로세스는 경량이지만 한 번에 처리하는 파일의 양이 많으면 성능에 영향이 생길 수 있습니다.

Windows Server 운영 체제에 대해 제안된 정책 변경 사항은 다음과 같습니다.

• 백그라운드 위협 감지를 활성화하고 한 번 실행되도록 합니다.
• 실행 컨트롤이 활성화되어 있는지 확인합니다.
• 새 파일 감시를 비활성화합니다.

이러한 권장 사항과 함께 일반적으로 서버 운영 체제를 실행하는 디바이스를 별도의 영역으로 포함하는 것이 좋습니다. 영역 생성에 대한 자세한 내용은 Dell Threat Defense에서 영역을 관리하는 방법을 참조하십시오.

학습 모드

표 1: 학습 모드 파일 작업

정책	권장 설정
안전하지 않음에 대한 실행 제어를 하는 자동 격리	Disabled
비정상에 대한 실행 제어를 하는 자동 격리	Disabled
격리된 파일에 대한 자동 삭제 활성화	Disabled
자동 업로드	Enabled
정책 안전 목록	환경에 따라 다름

표 2: 학습 모드 보호 설정

정책	권장 설정
디바이스에서 서비스 종료 방지	Disabled
안전하지 않은 실행 프로세스 및 하위 프로세스 삭제	Disabled
백그라운드 위협 감지	Disabled
한 번 실행/반복 실행	백그라운드 위협 방지가 비활성화로 설정된 경우에는 적용되지 않습니다.
새 파일 감시	Disabled
파일 샘플 복사	환경에 따라 다름

표 3: 학습 모드 에이전트 설정

정책	권장 설정
로그 파일 자동 업로드 활성화	환경에 따라 다름
데스크탑 알림 활성화	환경에 따라 다름

표 4: 학습 모드 스크립트 제어

정책	권장 설정
스크립트 컨트롤	Enabled
1370 이하 활성 스크립트 및 PowerShell	경고
1380 이상 활성 스크립트	경고
1380 이상 PowerShell	경고
PowerShell 콘솔 사용 차단	PowerShell이 알림으로 설정된 경우에는 적용되지 않습니다.
1380 이상 매크로	경고
스크립트 제어 활성 스크립트 비활성화	Disabled
스크립트 제어 PowerShell 비활성화	Disabled
스크립트 제어 매크로 비활성화	Disabled
폴더 제외(하위 폴더 포함)	환경에 따라 다름

보호 모드

표 5: 보호 모드 파일 작업

정책	권장 설정
안전하지 않음에 대한 실행 제어를 하는 자동 격리	Enabled
비정상에 대한 실행 제어를 하는 자동 격리	Enabled
격리된 파일에 대한 자동 삭제 활성화	환경에 따라 다름
자동 업로드	환경에 따라 다름
정책 안전 목록	환경에 따라 다름

표 6: 보호 모드 보호 설정

정책	권장 설정
디바이스에서 서비스 종료 방지	Enabled
안전하지 않은 실행 프로세스 및 하위 프로세스 삭제	Enabled
백그라운드 위협 감지	Enabled
한 번 실행/반복 실행	한 번 실행
새 파일 감시	Enabled
파일 샘플 복사	환경에 따라 다름

표 7: 보호 모드 에이전트 설정

정책	권장 설정
로그 파일 자동 업로드 활성화	환경에 따라 다름
데스크탑 알림 활성화	환경에 따라 다름

표 8. 보호 모드 스크립트 제어

정책	권장 설정
스크립트 컨트롤	Enabled
1370 이하 활성 스크립트 및 PowerShell	차단
1380 이상 활성 스크립트	차단
1380 이상 PowerShell	차단
PowerShell 콘솔 사용 차단	차단
1380 이상 매크로	차단
스크립트 제어 활성 스크립트 비활성화	Disabled
스크립트 제어 PowerShell 비활성화	Disabled
스크립트 제어 매크로 비활성화	Disabled
폴더 제외(하위 폴더 포함)	환경에 따라 다름

Threat Defense 정책 정의:

파일 작업

안전하지 않음에 대한 실행 제어를 하는 자동 격리

이 정책은 실행될 때 검색된 파일에 대해 수행되는 작업을 결정합니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 안전하지 않음은 평가된 위협 지표를 기반으로 하는 Advanced Threat Prevention의 점수 시스템 내에서 휴대용 실행 파일에 대한 누적 점수가 60점을 초과하는 것이 특징입니다.

비정상에 대한 실행 제어를 하는 자동 격리

이 정책은 실행될 때 검색된 파일에 대해 수행되는 작업을 결정합니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 비정상은 Advanced Threat Prevention의 점수 산정 시스템 내에서 휴대용 실행 파일의 누적 점수가 0을 초과하지만 60점을 초과하지 않는 것이 특징입니다. 점수 매기기 시스템은 평가된 위협 지표를 기반으로 합니다.

격리된 파일에 대한 자동 삭제 활성화

안전하지 않거나 비정상적인 파일이 디바이스 수준의 격리, 전역 격리 목록 또는 자동 격리 정책에 따라 격리되는 경우 로컬 디바이스의 로컬 샌드박스 격리 캐시 내에 보관됩니다. 격리된 파일에 대해 자동 삭제 사용을 사용하도록 설정하면 파일을 영구적으로 삭제하기 전에 파일을 로컬 장치에 유지하는 일수(최소 14일, 최대 365일)를 나타냅니다. 이 옵션을 활성화하면 일 수를 수정할 수 있습니다.

자동 업로드

추가 분석을 위해 Threat Defense SaaS(Software as a Service) 환경에서 보지 못한 위협을 표시합니다. 파일이 로컬 모델에 의해 잠재적 위협으로 표시되면, 이식 가능한 실행 파일에서 SHA256 해시를 가져와서 SaaS로 보냅니다. 전송된 SHA256 해시에 일치하는 위협을 찾을 수 없고 자동 업로드가 활성화되어 있는 경우 평가를 위해 SaaS로 위협을 안전하게 업로드할 수 있습니다. 이 데이터는 안전하게 저장되며 Dell 또는 파트너가 액세스할 수 없습니다.

정책 안전 목록

정책 안전 목록 은 환경 내에서 안전하다고 판단되고 SHA256 해시와 추가 정보를 이 목록에 제출하여 수동으로 면제된 파일의 목록입니다. SHA256 해시가 이 목록 내에 있을 때 파일이 실행되면 로컬 또는 클라우드 위협 모델에서 평가하지 않습니다. 이는 "절대" 파일 경로입니다.

제외 예:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

보호 설정

안전하지 않은 실행 프로세스 및 하위 프로세스 삭제

안전하지 않은 실행 중인 프로세스 및 해당 하위 프로세스 종료가 활성화되면 위협이 하위 프로세스를 생성하는지 또는 애플리케이션이 현재 메모리 내에서 실행 중인 다른 프로세스를 인수했는지 확인합니다. 프로세스가 위협에 의해 장악되었다는 믿음이 있는 경우 주요 위협 및 해당 위협이 생성했거나 현재 소유하고 있는 모든 프로세스가 즉시 종료됩니다.

백그라운드 위협 감지

백그라운드 위협 감지를 사용하도록 설정하면 전체 디바이스에서 이식 가능한 실행 파일을 검색한 다음 로컬 위협 모델을 사용하여 해당 실행 파일을 평가하고 실행 파일의 위협 지표를 기반으로 클라우드 기반 SaaS를 사용하여 실행 파일의 점수 매기기에 대한 확인을 요청합니다. 백그라운드 위협 감지에는 두 가지 옵션이 지원됩니다. 한 번 실행하고반복해서 실행합니다. 한 번 실행 은 Threat Defense가 설치 및 활성화되는 순간 디바이스에 연결된 모든 물리적 드라이브의 백그라운드 검사를 수행합니다. Run Recurring 은 Threat Defense가 설치 및 활성화되는 순간 디바이스에 연결된 모든 디바이스의 백그라운드 검사를 수행합니다. 9일마다 스캔을 반복합니다(구성할 수 없음).

새 파일 감시

새 파일 감시를 사용하도록 설정하면 디바이스에 도입된 모든 이식 가능한 실행 파일이 로컬 모델을 사용하여 표시되는 위협 지표로 즉시 평가되고 이 점수는 클라우드 호스팅 SaaS에 대해 확인됩니다.

파일 샘플 복사

파일 샘플 복사 를 사용하면 디바이스에서 발견된 모든 위협을 UNC 경로를 기반으로 정의된 리포지토리로 자동으로 에스크로할 수 있습니다. 내부 위협 연구용이나 환경 내에 패키지형 위협의 안전한 리포지토리를 보관하는 경우에만 권장됩니다. 파일 샘플 복사에 의해 저장되는 모든 파일은 다음과 같은 암호로 압축됩니다. infected.

Agent 설정

로그 파일 자동 업로드 활성화

로그 파일 자동 업로드를 활성화 하면 엔드포인트가 매일 밤 자정에 또는 파일이 100MB에 도달하면 Dell Threat Defense에 대한 로그 파일을 업로드할 수 있습니다. 로그는 파일 크기에 관계없이 야간에 업로드됩니다. 전송되는 모든 로그는 네트워크에서 나가기 전에 압축됩니다.

데스크탑 알림 활성화

바탕 화면 알림 활성화 를 사용하면 파일이 비정상적이거나 안전하지 않은 것으로 표시된 경우 디바이스 사용자가 디바이스에 메시지를 표시할 수 있습니다. 이 옵션은 이 정책이 활성화된 엔드포인트의 Dell Threat Defense 트레이 아이콘에서 마우스 오른쪽 단추를 클릭하면 나타나는 메뉴에 있습니다.

스크립트 컨트롤

스크립트 컨트롤

스크립트 제어 는 메모리 필터 기반 솔루션을 통해 작동하여 디바이스에서 실행 중인 스크립트를 식별하고 해당 스크립트 유형에 대해 정책이 차단으로 설정된 경우 이를 방지합니다. 이러한 정책에 대한 알림 설정은 Dell Threat Defense 콘솔 및 로그에서 차단되었을 스크립트만 기록합니다.

1370 이하

이러한 정책은 2016년 6월 이전에 사용 가능한 1370 이전의 클라이언트에 적용됩니다. 활성 스크립트와 PowerShell 기반 스크립트만 이러한 버전에서 작동합니다.

1380 이상

이러한 정책은 2016년 6월 이후에 사용 가능한 1370 이후의 클라이언트에 적용됩니다.

활성 스크립트

활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.

PowerShell

PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다. (기본 설정 - 알림)

PowerShell 콘솔 사용 차단 - (PowerShell이 알림으로 설정된 경우 표시되지 않음)

PowerShell v3(Windows 8.1에서 도입) 이상에서 대부분의 PowerShell 스크립트는 한 줄 명령으로 실행됩니다. 여러 줄이 포함되어 있는 경우에도 순서대로 실행됩니다. 이 경우 PowerShell 스크립트 인터프리터를 우회할 수 있습니다. PowerShell 콘솔 차단은 애플리케이션이 PowerShell 콘솔을 실행하게 하는 기능을 비활성화하여 이 문제를 해결합니다. ISE(Integrated Scripting Environment)는 이 정책의 영향을 받지 않습니다.

매크로

매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.

스크립트 제어 비활성화

이러한 정책은 각 정책 내에서 정의된 스크립트 유형에 대한 경고 기능도 완전히 비활성화합니다. 비활성화하면 로그를 수집하지 않으며 잠재적 위협을 감지하거나 차단하려는 시도를 하지 않습니다.

활성 스크립트

이 옵션을 선택하면 로그 수집이 차단되고 잠재적인 Active Script 기반 위협이 차단됩니다. 활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.

PowerShell

이 옵션을 선택하면 로그 수집이 방지되고 잠재적인 PowerShell 기반 위협이 차단됩니다. PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다.

매크로

이 옵션을 선택하면 로그 수집을 방지하고 잠재적인 매크로 기반 위협을 차단합니다. 매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.

폴더 제외(하위 폴더 포함)

폴더 제외 기능을 사용하면 스크립트가 실행될 수 있는 폴더 중에서 제외할 수 있는 것을 정의할 수 있습니다. 이 섹션에서는 상대 경로 형식의 제외 항목을 묻습니다.

• 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
• 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
• 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
• 와일드카드 제외는 Windows 컴퓨터에서 UNIX 스타일의 슬래시를 사용해야 합니다. 예: /windows/system*/.
• 와일드카드에는 * 문자만 지원됩니다.
• 와일드카드를 포함하는 폴더 제외는 폴더와 파일을 구분하기 위해 경로 끝에 슬래시가 필요합니다.
  • 폴더 제외: /windows/system32/*/
  • 파일 제외: /windows/system32/*
• 폴더 깊이의 각 수준에 와일드카드를 추가해야 합니다. 예를 들어 다음과 같습니다. /folder/*/script.vbs 성냥 \folder\test\script.vbs 또는 \folder\exclude\script.vbs 그러나 작동하지 않습니다. \folder\test\001\script.vbs. 이를 위해서는 다음 중 하나가 필요합니다. /folder/*/001/script.vbs 또는 /folder/*/*/script.vbs.
• 와일드카드로 전체 및 부분을 제외할 수 있습니다.
  • 전체 와일드카드 예: /folder/*/script.vbs
  • 부분 와일드카드 예: /folder/test*/script.vbs
• 네트워크 경로에도 와일드카드가 지원됩니다.
  • //*/login/application
  • //abc*/logon/application

올바른 예(Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
올바른 예(Windows): \Cases\ScriptsAllowed
잘못됨: C:\Application\SubFolder\application.vbs
잘못됨: \Program Files\Dell\application.vbs

와일드카드 예:

/users/*/temp 다룰 것 :

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs 다룰 것 :

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs