엔드포인트 보호 구성

이 글에서는 엔드포인트를 보호하기 위해 Cato의 엔드포인트 보호 (EPP) 솔루션을 구성하는 방법을 설명합니다．

개요

Cato의 EPP 솔루션에는 세 가지 유형의 EPP 엔진이 포함되어 있습니다: 엔드포인트의 파일을 검사하는 파일 보호, 엔드포인트에서 실행 중인 프로세스를 검사하는 행동 분석, 소프트웨어 취약점을 보호하는 Anti-Exploit. EPP 설정은 Cato 관리 애플리케이션에서 구성되며, 공격 표면 전체의 보안을 중앙에서 관리할 수 있는 방법을 제공합니다． 엔드포인트 보호 프로필에서 각 엔진의 보호 수준을 구성하여 잠재적 위협에 어떻게 대응할지를 정의할 수 있습니다． 엔드포인트 보호 정책을 사용하여 엔드포인트 보호 프로필을 최종 사용자나 엔드포인트에 적용할 수 있습니다．

정상 파일 또는 프로세스가 악성으로 식별되는 것을 방지하기 위해 파일 또는 프로세스를 허용 목록에 추가할 수 있으며, 추가적인 보호를 위해 특정 엔드포인트에서 필요에 따라 스캔을 실행할 수 있습니다.

참고

참고: 지역 제한으로 인해 중국에 위치한 디바이스는 Cato에 EPP를 등록할 수 없습니다.

EPP 엔진

알려진 및 알려지지 않은 멀웨어로부터 엔드포인트를 보호하기 위해, Cato의 EPP 솔루션은 완전한 보안 솔루션을 위해 세 가지 보호 계층을 제공합니다． 각 계층은 서로 다른 탐지 기술을 활용하여 다양한 종류의 공격을 식별하고 예방합니다．

안티 멀웨어 (파일 보호)

파일 보호 엔진은 보관 파일, ZIP 파일, RAR을 포함하여 300개 이상의 파일 유형 스캔을 지원합니다. 파일이 다운로드되거나 엔드포인트에 복사될 때 및 최종 사용자가 해당 파일을 액세스하려고 할 때 스캔이 수행됩니다． 언제든지 요청 시 스캔을 통해 엔드포인트의 모든 파일을 검사할 수 있습니다．

행동 분석

행동 기반 분석 엔진은 알 수 없는 위협과 제로데이 위협을 방어하기 위해 휴리스틱 방법을 사용합니다． 애플리케이션과 프로세스는 행동에 기반하여 악성 활동의 징후를 감지하기 위해 지속적으로 모니터링됩니다． 악성 행동의 예시로는 다음과 같습니다：

더 높은 권한으로 실행하기 위해 다른 프로세스의 공간에 코드 실행 또는 주입
승인된 권한이 필요한 레지스트리 위치에서 불법 작업을 액세스하거나 실행
시스템 또는 Windows 폴더에서 파일 복사 또는 이동

안티 익스플로잇

참고

참고: EPP v1.1 이상에서 지원됨

안티 익스플로잇 엔진은 소프트웨어 취약점을 이용하는 알려진 및 알려지지 않은 위협을 방어하기 위해 머신러닝을 사용합니다． 시스템 프로세스, 브라우저, Microsoft Office 및 Adobe Reader는 소프트웨어 취약점을 악용하는 기법을 탐지하기 위해 지속적으로 모니터링됩니다． 탐지된 기법의 예로는 다음이 포함됩니다：

권한 상승: 프로세스가 승인되지 않은 권한을 얻고 자원에 접근하려고 시도합니다
프로세스 자체 점검: 실행 중인 프로세스, 시스템 자원, 메모리 사용 및 기타 핵심 데이터에 대한 자세한 정보를 수집하려는 시도
LSASS 크리덴셜 덤핑: LSASS 프로세스의 메모리에 접근하여 민감한 인증 크리덴셜을 추출하려는 시도

위협에 대한 대응

EPP 엔진이 잠재적인 악성 활동을 식별한 후, 보호 설정은 EPP가 수행하는 작업을 정의합니다． 추가로, 행동 기반 분석 엔진에 대해 알 수 없는 위협을 식별하는 민감도를 정의할 수 있습니다．

다음 표는 각 보호 레벨과 그에 대한 예시 사용 사례를 설명합니다．

보호	설명	예시 사용 사례
꺼짐	EPP 스캔이 실행되지 않으며, 이벤트가 생성되지 않습니다．	이 EPP 엔진을 사용하지 않으려는 경우입니다．
모니터링	악성 활동이 식별되면 이벤트가 생성되지만 추가 조치는 취하지 않습니다．	실행을 막지 않고 악성 파일 또는 프로세스에 대한 데이터를 수집하려고 합니다．
차단	악성 파일 또는 프로세스는 실행할 수 없습니다． 파일은 수정되거나 해당 위치에서 이동되지 않습니다． 이는 행동 기반 분석 및 취약점 방지 엔진의 기본 설정입니다．	악성 파일 또는 프로세스를 식별하고 차단하려고 합니다．
차단 및 교정	악성 파일 또는 프로세스를 실행할 수 없습니다． 파일은 암호화되어 격리되며, 가능한 경우 파일은 삭제됩니다． 이는 악성코드 방지의 기본 설정입니다．	악성 파일 또는 프로세스를 식별, 차단 및 격리하려고 합니다．
멈추기	감염된 애플리케이션 프로세스를 종료합니다.	악성 프로세스가 계속 실행되는 것을 방지하기 위해 종료하고자 합니다.
프로세스 종료 및 복구	감염된 프로세스를 종료하고, 성공한 경우 악성코드 흔적을 정리합니다. 이는 파일 변경을 되돌리거나, 레지스트리 키 제거, 서비스 제거 등을 포함할 수 있습니다.	프로세스를 종료하고 영구적인 흔적을 제거했는지 확인하고자 합니다.
프로세스 종료	공격당한 애플리케이션 프로세스와 연결된 가능성이 있는 모든 프로세스를 종료합니다	공격당한 프로세스에 코드가 주입된 프로세스를 종료합니다.

행동 기반 탐지 민감도 수준

행동 기반 탐지 엔진은 예측 모델과 학습 기반 탐지를 기반으로 잠재적 위협을 감지합니다． 엔진의 민감도 수준은 잠재적 위협을 식별하는 신뢰 수준을 결정합니다． 예를 들어, 공격적 설정은 프로세스가 악성이라는 낮은 수준의 확신을 가진 프로세스를 식별합니다． 이 설정은 더 많은 오탐지를 초래할 수 있습니다．

다음 옵션 테이블은 민감도 수준과 그에 대한 사용 사례 예제를 설명합니다．

민감도 수준	설명	샘플 사용 사례
허용적	아주 높은 수준의 확실성을 가지고 악성으로 판단된 프로세스만 감지합니다． 이것은 가장 낮은 민감도를 가진 설정입니다．	확실히 악성인 프로세스를 탐지하려고 합니다．
균형 잡힌	높은 신뢰 수준을 가지고 악성으로 판단된 프로세스를 감지합니다．	가능성 있는 악성 프로세스를 탐지하려고 합니다．
공격적	낮은 신뢰 수준을 가지고 악성으로 판단된 프로세스를 감지합니다． 이것은 가장 높은 민감도를 가진 설정입니다．	가능성이 있지만 확실하지 않은 악성 프로세스를 탐지하려고 합니다．

엔드포인트 보호 설정 구성

EPP가 계정에서 엔드포인트를 보호하는 방법을 정의하려면, 각 엔진에 대한 보호 수준을 정의하기 위해 EPP 프로필을 사용하십시오． 그런 다음 EPP 정책의 규칙을 사용하여 프로필이 적용되는 엔드포인트의 범위를 정의합니다． 프로필은 특정 최종 사용자, 특정 엔드포인트 또는 둘 모두에 적용될 수 있습니다．

EPP 정책은 순서가 있는 규칙베이스입니다． 정책의 규칙은 순차적으로 파일과 프로세스에 적용되어 규칙이 일치하는지 확인합니다． 규칙베이스 상위의 규칙은 우선 순위가 높은데, 이는 아래의 규칙보다 먼저 적용되기 때문입니다． 예를 들어, 규칙 #1에 파일 보호 차단 응답이 있고 악성 파일이 식별된 엔드포인트에 적용된 경우 파일은 차단됩니다． 해당 파일에는 더 이상의 규칙이 적용되지 않습니다． 최종 기본 규칙은 모든 엔드포인트에 기본 프로필을 적용하며 편집할 수 없습니다.

엔드포인트 보호 프로필 정의

EPP 프로필은 파일 보호 및 행동 기반 탐지 엔진 보호 설정을 정의합니다. 귀하의 EPP 정책 요구 사항에 따라 다른 프로필을 정의할 수 있습니다．

엔드포인트 보호 프로필을 정의하려면：

네비게이션 메뉴에서 보안 > 엔드포인트 보호을 클릭하십시오．
프로필 탭을 클릭하십시오．
새로 만들기를 클릭하십시오．

새 엔드포인트 보호 프로필 생성 패널이 열립니다．
프로필에 대한 설정을 정의하십시오．
적용을 클릭한 다음 저장을 클릭하십시오．

엔드포인트 보호 정책 생성

소스와 프로필을 이용하여 EPP 정책에서 규칙을 정의합니다． 소스는 엔드포인트 ID를 기반으로 하는 최종 사용자 신원 또는 엔드포인트 장치가 될 수 있습니다． 또한 각 최종 사용자 또는 엔드포인트 (소스)에 적용되는 보호 수준 (프로필)을 설정할 수도 있습니다． 이는 환경 내 각 엔드포인트에서 각 EPP 엔진이 어떻게 사용되는지 사용자 정의할 수 있게 해줍니다．

엔드포인트 보호 정책을 생성하려면：

네비게이션 메뉴에서 보안 > 엔드포인트 보호을 클릭하십시오．
새로 만들기를 클릭하십시오．

새 엔드포인트 보호 정책 규칙 생성 패널이 열립니다．
이 규칙에 대한 이름, 설명, 소스, 및 프로필을 정의하십시오．
(선택 사항) 이벤트를 생성하고 알림 보내기를 구성하십시오

알림에 대한 더 많은 정보는, 알림 섹션의 구독 그룹, 메일링 리스트 및 경고 통합에 대한 관련 기사를 참조하십시오．
적용을 클릭하십시오．
EPP 정책의 각 규칙에 대해 2-5단계를 반복하십시오．
EPP 정책을 활성화하고 저장을 클릭하십시오．

슬라이더 ( )는 EPP가 활성화되면 초록색, 비활성화되면 회색입니다.

EPP를 위한 파일 및 경로 허용

때때로 EPP 엔진은 합법적인 비즈니스 프로세스를 악성으로 간주할 수 있습니다． 엔드포인트 보호가 합법적인 비즈니스 프로세스를 방해하지 않도록, 최종 사용자에게 또는 엔드포인트에서 객체를 허용할 수 있습니다. 이것은 스캔되거나 차단되거나 이동되지 않는다는 것을 의미합니다. 주문형 스캔의 경우, 무시 조치로 이벤트가 발생할 수 있습니다. 파일 스캔에 대한 이벤트는 생성되지 않습니다.

다음 객체는 최종 사용자, 엔드포인트, 또는 둘 다에게 실행이 허용될 수 있습니다:

참고

참고: 파일 경로는 안티멀웨어 및 행동 기반 보호 엔진에서 허용됩니다． 기타 객체는 안티멀웨어 엔진에서만 허용됩니다．

파일 경로
폴더 경로
파일 유형
SHA256 파일 해시

허용 목록에 대한 객체를 정의하려면：

네비게이션 메뉴에서 보안 > 엔드포인트 보호를 클릭합니다．
허용 목록 탭을 클릭합니다．
새로 만들기를 클릭합니다．

새 허용 목록 패널이 열립니다．
이름, 설명, 객체 및 소스를 정의하십시오．
적용을 클릭합니다．
허용하는 각 객체에 대해 3-5단계를 반복하십시오．
저장을 클릭합니다．

요청 시 파일 보호 스캔

파일 보호 스캔은 파일이 엔드포인트에 다운로드되거나 복사될 때뿐만 아니라 최종 사용자가 파일에 액세스하려 할 때도 실행됩니다． 또한 언제든지 요청 시 엔드포인트에서 파일 보호 스캔을 실행할 수 있습니다． 요청 시 파일 보호 스캔을 실행하면 최종 사용자가 액세스하기 전에 엔드포인트에 존재하는 악성 소프트웨어를 식별할 수 있습니다．

요청 시 스캔은 엔드포인트에 저장된 모든 파일의 SHA256 파일 해시를 알려진 악성 소프트웨어 서명 목록과 비교합니다． 악성 파일이 감지되면 EPP는 정책에 의해 정의된 작업을 따릅니다．

요청 시 파일 보호 스캔 실행

요청 시 스캔을 실행하여 언제든지 엔드포인트의 악성 파일을 식별할 수 있습니다． 이 스캔은 에이전트를 설치한 후에는 실행되지 않으며, Cato 관리 애플리케이션에서 트리거된 후에만 실행됩니다．

요청 시 파일 보호 스캔을 실행하려면

네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다．

보호된 엔드포인트 화면이 표시됩니다．
스캔하고자 하는 엔드포인트의 세 점 ()을 클릭합니다.
엔드포인트 전체 시스템 검사를 클릭합니다．

파일 보호 스캔이 엔드포인트에서 실행됩니다．

EPP 솔루션 테스트

엔드포인트에 EPP 에이전트를 설치한 후, 정책 구성에 따라 악성 활동을 방지하는지 확인하기 위해 솔루션을 테스트할 수 있습니다．

EPP 솔루션을 테스트하려면：

에이전트가 설치된 엔드포인트에서 EICAR 테스트 파일을 다운로드하고 실행해 보십시오．
파일을 열고 실행해 보세요．

참고: 파일 다운로드가 네트워크 보안 솔루션이나 브라우저에 의해 차단된 경우, EICAR 파일의 텍스트를 복사하여 새 .txt 파일에 붙여 넣고 저장하십시오.
EPP 솔루션이 제대로 설치되고 활성화되었다면, 파일의 동작은 구성된 정책에 따라 이루어지며 이벤트가 생성됩니다.

데이터베이스 업데이트 빈도 이해하기

EPP 엔진이 파일이나 프로세스를 스캔할 때, 그것은 알려진 악성 활동의 데이터베이스와 비교됩니다． 이 데이터베이스는 최신 위협에 대해 악성 탐지 엔진을 보호하기 위해 정기적으로 자동으로 업데이트됩니다．

데이터베이스 업데이트의 상태는 EPP 에이전트의 상태 탭에서 볼 수 있습니다．

데이터베이스 업데이트 빈도는 다음과 같습니다：

악성 소프트웨어 DB: 매 1시간
CTC DB: 매 24시간 (이 데이터베이스는 엔진 간 교정을 위해 사용됩니다)
행동 기반 DB: 매 2시간
Exploit DB: 매 2시간

스캔이 필요하지 않은 알려진 합법적인 파일의 목록을 포함하는 데이터베이스는 매 4시간마다 업데이트됩니다．