Dell Threat Defense에서는 정책을 사용하여 다음을 수행합니다.
영향을 받는 제품:
Dell Threat Defense
해당 사항 없음.
자세한 내용을 보려면 권장 정책 또는 정책 정의를 클릭하십시오.
학습 모드 또는 보호 모드에서 정책을 설정하는 것이 좋습니다. 학습 모드는 어떤 환경에서 Dell Threat Defense를 테스트할 때 권장되는 방식입니다. Dell Threat Defense가 표준 회사 이미지와 함께 엔드포인트에 배포될 때 가장 효과적입니다.
일반 디스크 I/O보다 높기 때문에 애플리케이션 서버에 대한 추가 변경이 필요할 수 있습니다.
관리자가 Dell Threat Defense 관리 콘솔에서 모든 경고를 해결한 후에는 보호 모드 정책 권장 사항으로 전환하는 것이 좋습니다. 보호 모드 정책으로 전환하기 전에 학습 모드에서 2주 이상 테스트를 수행하는 것이 좋습니다.
자세한 내용을 보려면 애플리케이션 서버 권장 사항, 학습 모드 또는 보호 모드를 클릭하십시오.
학습 모드와 보호 모드 양쪽에서 애플리케이션 서버에 클라이언트 운영 체제에 대한 다른 동작과 추가 오버헤드가 나타날 수 있습니다. 드물지만 AQT(Auto Quarantine)로 인해 점수를 계산할 수 있게 될 때까지 일부 파일이 실행되지 못했습니다. 이와 같은 상황은 애플리케이션에서 파일의 잠금을 변조로 감지하거나 프로세스가 예상 시간 내에 성공적으로 완료되지 못할 때 나타났습니다.
"Watch For New Files"가 활성화되어 있으면 디바이스 작동이 느려질 수 있습니다. 새 파일이 생성되면 분석됩니다. 이 프로세스는 경량이지만 한 번에 처리하는 파일의 양이 많으면 성능에 영향이 생길 수 있습니다.
Windows Server 운영 체제에 대해 제안된 정책 변경 사항은 다음과 같습니다.
이러한 권장 사항과 함께 일반적으로 서버 운영 체제를 실행하는 디바이스를 별도의 영역으로 포함하는 것이 좋습니다. 영역 생성에 대한 자세한 내용은 Dell Threat Defense에서 영역을 관리하는 방법을 참조하십시오.
정책 | 권장 설정 |
---|---|
파일 작업 | |
안전하지 않음에 대한 실행 제어를 하는 자동 격리 | 비활성화됨 |
비정상에 대한 실행 제어를 하는 자동 격리 | 비활성화됨 |
격리된 파일에 대한 자동 삭제 활성화 | 비활성화됨 |
자동 업로드 | Enabled |
정책 안전 목록 | 환경에 따라 다름 |
보호 설정 | |
디바이스에서 서비스 종료 방지 | 비활성화됨 |
안전하지 않은 실행 프로세스 및 하위 프로세스 삭제 | 비활성화됨 |
백그라운드 위협 감지 | 비활성화됨 |
한 번 실행/반복 실행 | 백그라운드 위협 방지가 비활성화로 설정된 경우 해당 없음 |
새 파일 감시 | 비활성화됨 |
파일 샘플 복사 | 환경에 따라 다름 |
Agent 설정 | |
로그 파일 자동 업로드 활성화 | 환경에 따라 다름 |
데스크탑 알림 활성화 | 환경에 따라 다름 |
스크립트 컨트롤 | |
스크립트 컨트롤 | Enabled |
1370 이하 활성 스크립트 및 PowerShell | 경고 |
1380 이상 활성 스크립트 | 경고 |
1380 이상 PowerShell | 경고 |
PowerShell 콘솔 사용 차단 | PowerShell이 알림으로 설정된 경우 해당 없음 |
1380 이상 매크로 | 경고 |
스크립트 제어 활성 스크립트 비활성화 | 비활성화됨 |
스크립트 제어 PowerShell 비활성화 | 비활성화됨 |
스크립트 제어 매크로 비활성화 | 비활성화됨 |
폴더 제외(하위 폴더 포함) | 환경에 따라 다름 |
정책 | 권장 설정 |
---|---|
파일 작업 | |
안전하지 않음에 대한 실행 제어를 하는 자동 격리 | Enabled |
비정상에 대한 실행 제어를 하는 자동 격리 | Enabled |
격리된 파일에 대한 자동 삭제 활성화 | 환경에 따라 다름 |
자동 업로드 | 환경에 따라 다름 |
정책 안전 목록 | 환경에 따라 다름 |
보호 설정 | |
디바이스에서 서비스 종료 방지 | Enabled |
안전하지 않은 실행 프로세스 및 하위 프로세스 삭제 | Enabled |
백그라운드 위협 감지 | Enabled |
한 번 실행/반복 실행 | 한 번 실행 |
새 파일 감시 | Enabled |
파일 샘플 복사 | 환경에 따라 다름 |
Agent 설정 | |
로그 파일 자동 업로드 활성화 | 환경에 따라 다름 |
데스크탑 알림 활성화 | 환경에 따라 다름 |
스크립트 컨트롤 | |
스크립트 컨트롤 | Enabled |
1370 이하 활성 스크립트 및 PowerShell | 차단 |
1380 이상 활성 스크립트 | 차단 |
1380 이상 PowerShell | 차단 |
PowerShell 콘솔 사용 차단 | 차단 |
1380 이상 매크로 | 차단 |
스크립트 제어 활성 스크립트 비활성화 | 비활성화됨 |
스크립트 제어 PowerShell 비활성화 | 비활성화됨 |
스크립트 제어 매크로 비활성화 | 비활성화됨 |
폴더 제외(하위 폴더 포함) | 환경에 따라 다름 |
이 정책에 따라 실행 시 감지되는 파일에 어떤 일이 발생하는지가 결정됩니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 안전하지 않음은 평가된 위협 지표를 기반으로 Advanced Threat Prevention의 점수 시스템 내에서 60을 초과하는 이식 가능한 실행 파일에 대한 누적 점수에 따라 특징이 결정됩니다.
이 정책에 따라 실행 시 감지되는 파일에 어떤 일이 발생하는지가 결정됩니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 비정상은 평가된 위협 지표를 기반으로 Advanced Threat Prevention의 점수 시스템 내에서 0을 초과하지만 60은 초과하지 않는 이식 가능한 실행 파일에 대한 누적 점수에 따라 특징이 결정됩니다.
안전하지 않거나 비정상적인 파일이 디바이스 수준의 격리, 전역 격리 목록 또는 자동 격리 정책에 따라 격리되는 경우 로컬 디바이스의 로컬 샌드박스 격리 캐시 내에 보관됩니다. 격리된 파일에 대한 자동 삭제 활성화가 활성화된 경우 파일을 영구적으로 삭제하기 전에 로컬 디바이스에 파일을 보관하는 일 수(최소 14일, 최대 365일)를 표시합니다. 이 옵션을 활성화하면 일 수를 수정할 수 있습니다.
추가 분석을 위해 Threat Defense SaaS(Software as a Service) 환경에서 보지 못한 위협을 표시합니다. 파일이 로컬 모델에 의해 잠재적 위협으로 표시되면, 이식 가능한 실행 파일에서 SHA256 해시를 가져와서 SaaS로 보냅니다. 전송된 SHA256 해시에 일치하는 위협을 찾을 수 없고 자동 업로드가 활성화되어 있는 경우 평가를 위해 SaaS로 위협을 안전하게 업로드할 수 있습니다. 이 데이터는 안전하게 저장되며 Dell 또는 파트너가 액세스할 수 없습니다.
정책 안전 목록 은 환경 내에서 안전하다고 판단되고 SHA256 해시와 추가 정보를 이 목록에 제출하여 수동으로 면제된 파일의 목록입니다. SHA256 해시가 이 목록 내에 있을 때 파일이 실행되면 로컬 또는 클라우드 위협 모델에서 평가하지 않습니다. 이러한 경로는 "절대" 파일 경로입니다.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
안전하지 않은 실행 프로세스 및 하위 프로세스 삭제가 활성화된 경우 위협이 하위 프로세스를 생성하고 있거나 애플리케이션에서 현재 메모리 내에서 실행 중인 다른 프로세스를 취했는지를 결정합니다. 위협이 프로세스를 취했다고 확신할 수 있는 경우, 1차 위협 및 해당 위협에서 생성했거나 현재 소유하고 있는 모든 프로세스가 즉시 종료됩니다.
백그라운드 위협 감지가 활성화된 경우 전체 디바이스에서 이식 가능한 실행 파일을 검색한 다음 로컬 위협 모델을 사용하여 해당 실행 파일을 평가하고 실행 파일의 위협 지표를 기반으로 클라우드 기반 SaaS를 사용하여 실행 파일의 점수 확인을 요청합니다. 백그라운드 위협 감지에서 한 번 실행 및 반복 실행의 두 가지 옵션을 사용할 수 있습니다. 한 번 실행에서는 Threat Defense가 설치되고 활성화되는 즉시 디바이스에 연결된 모든 물리적 드라이브에 대한 백그라운드 검사를 수행합니다. 반복 실행에서는 Threat Defense가 설치되고 활성화되는 즉시 디바이스에 연결된 모든 디바이스의 백그라운드 검사를 수행하고 9일마다 검사를 반복합니다(구성할 수 없음).
새 파일 감시를 활성화하면 디바이스에 도입된 모든 이식 가능한 실행 파일이 로컬 모델을 통해 표시되는 위협 지표를 사용하여 즉시 평가되고 이 점수를 클라우드 호스팅 SaaS에 대하여 확인합니다.
파일 샘플 복사를 사용하면 디바이스에서 발견된 모든 위협을 UNC 경로 기반으로 정의된 리포지토리에 자동으로 에스크로할 수 있습니다. 내부 위협 연구용이나 환경 내에 패키지형 위협의 안전한 리포지토리를 보관하는 경우에만 권장됩니다. 파일 샘플 복사로 저장된 모든 파일은 비밀번호로 infected
를 사용하여 압축됩니다.
로그 파일 자동 업로드를 활성화하면 엔드포인트가 자정 또는 파일이 100MB에 도달할 때 Dell Threat Defense의 로그 파일을 업로드할 수 있습니다. 로그는 파일 크기에 관계없이 야간에 업로드됩니다. 전송되는 모든 로그는 네트워크에서 나가기 전에 압축됩니다.
디바이스 사용자는 데스크탑 알림 활성화를 사용하여 파일이 비정상 또는 안전하지 않음으로 표시된 경우 디바이스에서 프롬프트를 사용할 수 있습니다. 이 옵션은 이 정책이 활성화된 엔드포인트의 Dell Threat Defense 트레이 아이콘에서 마우스 오른쪽 단추를 클릭하면 나타나는 메뉴에 있습니다.
스크립트 제어는 디바이스에서 실행 중인 스크립트를 확인하고 스크립트 유형에 대한 정책이 차단으로 설정된 스크립트를 막기 위해 메모리 필터 기반의 솔루션을 통해 작동합니다. 이러한 정책에 대한 알림 설정은 Dell Threat Defense 콘솔 및 로그에서 차단되었을 스크립트만 기록합니다.
이러한 정책은 2016년 6월 이전에 사용 가능한 1370 이전의 클라이언트에 적용됩니다. 활성 스크립트와 PowerShell 기반 스크립트만 이러한 버전에서 작동합니다.
이러한 정책은 2016년 6월 이후에 사용 가능한 1370 이후의 클라이언트에 적용됩니다.
활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.
PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다. (기본 설정 - 알림)
PowerShell v3(Windows 8.1에서 도입) 이상에서 대부분의 PowerShell 스크립트는 한 줄 명령으로 실행됩니다. 여러 줄이 포함되어 있는 경우에도 순서대로 실행됩니다. 이 경우 PowerShell 스크립트 인터프리터를 우회할 수 있습니다. PowerShell 콘솔 차단은 애플리케이션이 PowerShell 콘솔을 실행하게 하는 기능을 비활성화하여 이 문제를 해결합니다. ISE(Integrated Scripting Environment)는 이 정책의 영향을 받지 않습니다.
매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.
이러한 정책은 각 정책 내에서 정의된 스크립트 유형에 대한 경고 기능도 완전히 비활성화합니다. 비활성화하면 로그를 수집하지 않으며 잠재적 위협을 감지하거나 차단하려는 시도를 하지 않습니다.
선택하면 로그 수집을 막고 잠재적인 활성 스크립트 기반 위협을 차단합니다. 활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.
선택하면 로그 수집을 막고 잠재적인 PowerShell 기반 위협을 차단합니다. PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다.
선택하면 로그 수집을 막고 잠재적인 매크로 기반 위협을 차단합니다. 매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.
폴더 제외 기능을 사용하면 스크립트가 실행될 수 있는 폴더 중에서 제외할 수 있는 것을 정의할 수 있습니다. 이 섹션에서는 상대 경로 형식의 제외 항목을 묻습니다.
/windows/system*/
가 표시될 수 있습니다./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
는 \folder\test\script.vbs
또는 \folder\exclude\script.vbs
와 일치하지만 \folder\test\001\script.vbs
에 대해서는 작동하지 않습니다. 이 작업에는 /folder/*/001/script.vbs
또는 /folder/*/*/script.vbs
이 필요합니다./folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
올바른 예(Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
올바른 예(Windows): \Cases\ScriptsAllowed
잘못됨: C:\Application\SubFolder\application.vbs
잘못됨: \Program Files\Dell\application.vbs
와일드카드 예:
/users/*/temp
다음을 다룹니다.
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
다음을 다룹니다.
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.