Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Dell Threat Defense 정책 권장 사항

Сводка: Dell Threat Defense의 권장 정책 및 정책 정의에 대해 알아보십시오.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

참고:

Dell Threat Defense에서는 정책을 사용하여 다음을 수행합니다.

  • 위협 대응 방법 정의
  • 격리된 파일로 수행할 작업 결정
  • 스크립트 제어 구성

영향을 받는 제품:

  • Dell Threat Defense

자세한 내용을 보려면 Recommended Policies 또는 Policy Definitions를 클릭합니다.

Threat Defense 정책 정의:

파일 작업

안전하지 않음에 대한 실행 제어를 하는 자동 격리

이 정책은 실행될 때 검색된 파일에 대해 수행되는 작업을 결정합니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 안전하지 않음은 평가된 위협 지표를 기반으로 하는 Advanced Threat Prevention의 점수 시스템 내에서 휴대용 실행 파일에 대한 누적 점수가 60점을 초과하는 것이 특징입니다.

비정상에 대한 실행 제어를 하는 자동 격리

이 정책은 실행될 때 검색된 파일에 대해 수행되는 작업을 결정합니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 비정상은 Advanced Threat Prevention의 점수 산정 시스템 내에서 휴대용 실행 파일의 누적 점수가 0을 초과하지만 60점을 초과하지 않는 것이 특징입니다. 점수 매기기 시스템은 평가된 위협 지표를 기반으로 합니다.

격리된 파일에 대한 자동 삭제 활성화

안전하지 않거나 비정상적인 파일이 디바이스 수준의 격리, 전역 격리 목록 또는 자동 격리 정책에 따라 격리되는 경우 로컬 디바이스의 로컬 샌드박스 격리 캐시 내에 보관됩니다. 격리된 파일에 대해 자동 삭제 사용을 사용하도록 설정하면 파일을 영구적으로 삭제하기 전에 파일을 로컬 장치에 유지하는 일수(최소 14일, 최대 365일)를 나타냅니다. 이 옵션을 활성화하면 일 수를 수정할 수 있습니다.

자동 업로드

추가 분석을 위해 Threat Defense SaaS(Software as a Service) 환경에서 보지 못한 위협을 표시합니다. 파일이 로컬 모델에 의해 잠재적 위협으로 표시되면, 이식 가능한 실행 파일에서 SHA256 해시를 가져와서 SaaS로 보냅니다. 전송된 SHA256 해시에 일치하는 위협을 찾을 수 없고 자동 업로드가 활성화되어 있는 경우 평가를 위해 SaaS로 위협을 안전하게 업로드할 수 있습니다. 이 데이터는 안전하게 저장되며 Dell 또는 파트너가 액세스할 수 없습니다.

정책 안전 목록

정책 안전 목록 은 환경 내에서 안전하다고 판단되고 SHA256 해시와 추가 정보를 이 목록에 제출하여 수동으로 면제된 파일의 목록입니다. SHA256 해시가 이 목록 내에 있을 때 파일이 실행되면 로컬 또는 클라우드 위협 모델에서 평가하지 않습니다. 이는 "절대" 파일 경로입니다.

제외 예:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

보호 설정

안전하지 않은 실행 프로세스 및 하위 프로세스 삭제

안전하지 않은 실행 중인 프로세스 및 해당 하위 프로세스 종료가 활성화되면 위협이 하위 프로세스를 생성하는지 또는 애플리케이션이 현재 메모리 내에서 실행 중인 다른 프로세스를 인수했는지 확인합니다. 프로세스가 위협에 의해 장악되었다는 믿음이 있는 경우 주요 위협 및 해당 위협이 생성했거나 현재 소유하고 있는 모든 프로세스가 즉시 종료됩니다.

백그라운드 위협 감지

백그라운드 위협 감지를 사용하도록 설정하면 전체 디바이스에서 이식 가능한 실행 파일을 검색한 다음 로컬 위협 모델을 사용하여 해당 실행 파일을 평가하고 실행 파일의 위협 지표를 기반으로 클라우드 기반 SaaS를 사용하여 실행 파일의 점수 매기기에 대한 확인을 요청합니다. 백그라운드 위협 감지에는 두 가지 옵션이 지원됩니다. 한 번 실행하고반복해서 실행합니다. 한 번 실행 은 Threat Defense가 설치 및 활성화되는 순간 디바이스에 연결된 모든 물리적 드라이브의 백그라운드 검사를 수행합니다. Run Recurring 은 Threat Defense가 설치 및 활성화되는 순간 디바이스에 연결된 모든 디바이스의 백그라운드 검사를 수행합니다. 9일마다 스캔을 반복합니다(구성할 수 없음).

새 파일 감시

새 파일 감시를 사용하도록 설정하면 디바이스에 도입된 모든 이식 가능한 실행 파일이 로컬 모델을 사용하여 표시되는 위협 지표로 즉시 평가되고 이 점수는 클라우드 호스팅 SaaS에 대해 확인됩니다.

파일 샘플 복사

파일 샘플 복사 를 사용하면 디바이스에서 발견된 모든 위협을 UNC 경로를 기반으로 정의된 리포지토리로 자동으로 에스크로할 수 있습니다. 내부 위협 연구용이나 환경 내에 패키지형 위협의 안전한 리포지토리를 보관하는 경우에만 권장됩니다. 파일 샘플 복사에 의해 저장되는 모든 파일은 다음과 같은 암호로 압축됩니다. infected.

Agent 설정

로그 파일 자동 업로드 활성화

로그 파일 자동 업로드를 활성화 하면 엔드포인트가 매일 밤 자정에 또는 파일이 100MB에 도달하면 Dell Threat Defense에 대한 로그 파일을 업로드할 수 있습니다. 로그는 파일 크기에 관계없이 야간에 업로드됩니다. 전송되는 모든 로그는 네트워크에서 나가기 전에 압축됩니다.

데스크탑 알림 활성화

바탕 화면 알림 활성화 를 사용하면 파일이 비정상적이거나 안전하지 않은 것으로 표시된 경우 디바이스 사용자가 디바이스에 메시지를 표시할 수 있습니다. 이 옵션은 이 정책이 활성화된 엔드포인트의 Dell Threat Defense 트레이 아이콘에서 마우스 오른쪽 단추를 클릭하면 나타나는 메뉴에 있습니다.

스크립트 컨트롤

스크립트 컨트롤

스크립트 제어 는 메모리 필터 기반 솔루션을 통해 작동하여 디바이스에서 실행 중인 스크립트를 식별하고 해당 스크립트 유형에 대해 정책이 차단으로 설정된 경우 이를 방지합니다. 이러한 정책에 대한 알림 설정은 Dell Threat Defense 콘솔 및 로그에서 차단되었을 스크립트만 기록합니다.

1370 이하

이러한 정책은 2016년 6월 이전에 사용 가능한 1370 이전의 클라이언트에 적용됩니다. 활성 스크립트와 PowerShell 기반 스크립트만 이러한 버전에서 작동합니다.

1380 이상

이러한 정책은 2016년 6월 이후에 사용 가능한 1370 이후의 클라이언트에 적용됩니다.

활성 스크립트

활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.

PowerShell

PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다. (기본 설정 - 알림)

PowerShell 콘솔 사용 차단 - (PowerShell이 알림으로 설정된 경우 표시되지 않음)

PowerShell v3(Windows 8.1에서 도입) 이상에서 대부분의 PowerShell 스크립트는 한 줄 명령으로 실행됩니다. 여러 줄이 포함되어 있는 경우에도 순서대로 실행됩니다. 이 경우 PowerShell 스크립트 인터프리터를 우회할 수 있습니다. PowerShell 콘솔 차단은 애플리케이션이 PowerShell 콘솔을 실행하게 하는 기능을 비활성화하여 이 문제를 해결합니다. ISE(Integrated Scripting Environment)는 이 정책의 영향을 받지 않습니다.

매크로

매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.

스크립트 제어 비활성화

이러한 정책은 각 정책 내에서 정의된 스크립트 유형에 대한 경고 기능도 완전히 비활성화합니다. 비활성화하면 로그를 수집하지 않으며 잠재적 위협을 감지하거나 차단하려는 시도를 하지 않습니다.

활성 스크립트

이 옵션을 선택하면 로그 수집이 차단되고 잠재적인 Active Script 기반 위협이 차단됩니다. 활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.

PowerShell

이 옵션을 선택하면 로그 수집이 방지되고 잠재적인 PowerShell 기반 위협이 차단됩니다. PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다.

매크로

이 옵션을 선택하면 로그 수집을 방지하고 잠재적인 매크로 기반 위협을 차단합니다. 매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.

폴더 제외(하위 폴더 포함)

폴더 제외 기능을 사용하면 스크립트가 실행될 수 있는 폴더 중에서 제외할 수 있는 것을 정의할 수 있습니다. 이 섹션에서는 상대 경로 형식의 제외 항목을 묻습니다.

  • 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
  • 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
  • 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
  • 와일드카드 제외는 Windows 컴퓨터에서 UNIX 스타일의 슬래시를 사용해야 합니다. 예: /windows/system*/.
  • 와일드카드에는 * 문자만 지원됩니다.
  • 와일드카드를 포함하는 폴더 제외는 폴더와 파일을 구분하기 위해 경로 끝에 슬래시가 필요합니다.
    • 폴더 제외: /windows/system32/*/
    • 파일 제외: /windows/system32/*
  • 폴더 깊이의 각 수준에 와일드카드를 추가해야 합니다. 예를 들어 다음과 같습니다. /folder/*/script.vbs 성냥 \folder\test\script.vbs 또는 \folder\exclude\script.vbs 그러나 작동하지 않습니다. \folder\test\001\script.vbs. 이를 위해서는 다음 중 하나가 필요합니다. /folder/*/001/script.vbs 또는 /folder/*/*/script.vbs.
  • 와일드카드로 전체 및 부분을 제외할 수 있습니다.
    • 전체 와일드카드 예: /folder/*/script.vbs
    • 부분 와일드카드 예: /folder/test*/script.vbs
  • 네트워크 경로에도 와일드카드가 지원됩니다.
    • //*/login/application
    • //abc*/logon/application

올바른 예(Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
올바른 예(Windows): \Cases\ScriptsAllowed
잘못됨: C:\Application\SubFolder\application.vbs
잘못됨: \Program Files\Dell\application.vbs

와일드카드 예:

/users/*/temp 다룰 것 :

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs 다룰 것 :

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Дополнительная информация

 

Видео

 

Затронутые продукты

Dell Threat Defense
Свойства статьи
Номер статьи: 000124588
Тип статьи: How To
Последнее изменение: 04 Nov 2024
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.