엔드포인트 보호 위협에 대한 모니터링 및 대응

이 문서는 Cato의 엔드포인트 보호(EPP) 엔진이 식별한 위협을 모니터링하고 대응하는 방법을 설명합니다.

개요

엔드포인트와 최종 사용자에 대한 잠재적 위협에 대한 경각심을 높이기 위해, 잠재적 위협의 세부 정보를 조회하고 분석하여 대응 방법을 결정할 수 있습니다. EPP 엔진이 잠재적인 악성 활동을 식별하면 관련 정보를 포함하는 이벤트가 생성됩니다. EPP 이벤트는 식별된 위협에 대한 핵심 정보를 제공합니다. 예를 들어, 위협이 발생한 엔드포인트, 위협의 시간 및 날짜, 이벤트를 유발한 파일 이름 등이 있습니다. 이벤트 분석에 대한 추가 정보는 네트워크의 이벤트 분석을 참조하세요

엔드포인트 보호 대시보드를 통해 네트워크에서 EPP가 감지한 위협을 조회하고 개요를 확인할 수 있습니다

보호 설정에 따라 탐지된 악성 파일은 암호화되고 격리될 수 있습니다. 격리된 파일을 조회하고 안전하다고 판단되면 원래 위치로 복원할 수 있습니다.

엔드포인트 보호 위협 식별

엔드포인트 보호가 정의된 시간 범위 내에서 트리거된 모든 이벤트를 볼 수 있습니다. 엔진 유형 필드는 이벤트를 트리거한 악성 탐지 엔진에 대한 정보를 제공합니다.

참고

참고: 파일이 차단된 후 6분 후에 이벤트가 생성될 수 있습니다.

엔드포인트에서 위협을 식별하려면:

  1. 네비게이션 메뉴에서 홈페이지 > 이벤트를 클릭하십시오.
  2. 이벤트 필터 바에서 프리셋 아이콘을 클릭하십시오.

  3. 사전 정의된 프리셋 목록에서 엔드포인트 보호를 선택하세요.

    EPP가 식별한 위협이 표시됩니다.

이벤트 필드 이해하기

다음 표는 EPP 악성 소프트웨어 이벤트의 이벤트 필드를 나열합니다.

필드 이름 설명
작업 EPP가 시도한 이벤트 유형에 관련된 작업.
완화 조치

EPP에 의해 수행된 작업. 완화 조치는 다음과 같습니다:

  • 거부: SDP 사용자가 파일에 액세스할 수 없습니다.
  • 소독만: 파일에서 식별된 악성 콘텐츠가 제거되었습니다. 이 작업이 실패하면, 파일은 현재 위치에 남겨집니다.
  • 소독 삭제: 파일에서 식별된 악성 콘텐츠가 제거되었습니다. 이 작업이 실패하면, 파일이 삭제됩니다.
  • 삭제: 파일이 삭제됩니다.
  • 격리로 이동: 파일이 격리로 이동됩니다.
  • 무시: 작업이 수행되지 않습니다.

완화 조치는 EEP 프로필에 의해 정의됩니다. 더 많은 정보는 엔드포인트 보호 구성을 참조하십시오.
수행된 작업 수행된 모든 작업 목록입니다. 예를 들어, EPP가 파일을 격리하려다가 실패한 후 파일을 삭제하려고 시도했습니다. 수행된 작업은 다음과 같습니다:
[격리, 삭제]
클라이언트 버전 EPP의 버전 번호입니다.
장치 이름 엔드포인트의 컴퓨터 이름입니다.
엔드포인트 ID EEP 에이전트의 고유 ID입니다.
엔진 유형 위협을 감지한 엔진입니다.
엔드포인트 보호 프로필 엔드포인트의 EEP 프로필입니다.
이벤트 수 1분 동안 여러 번 반복되는 이벤트에 대한 수입니다.
하위 유형 이벤트에 대한 하위 유형 카테고리입니다.
이벤트 유형 이벤트의 카테고리입니다.
파일 해시 의심스러운 파일의 파일 해시입니다.
파일 이름 의심스러운 파일의 파일 경로와 이름입니다.
파일 작업 이벤트를 트리거하기 위해 최종 사용자가 취한 작업입니다.
최종 객체 상태

모든 작업이 수행(또는 시도)된 파일의 최종 상태 

SCAN_FAILED는 EPP가 파일을 스캔할 수 없었음을 의미합니다.
ISP 이름 엔드포인트가 연결된 ISP입니다.
로그인 사용자 이벤트 발생 시 최종 사용자가 로그인했습니다.
객체 이름 의심스러운 파일의 파일 경로와 이름입니다.
운영 체제 유형 엔드포인트 운영 체제입니다.
운영 체제 버전 엔드포인트 운영 체제 버전입니다.
사용자 SID 엔드포인트의 SID입니다.

파일 격리

보호 설정이 차단 및 복구로 설정된 경우, EPP는 악성 파일을 암호화하고 격리합니다. 이는 최종 사용자가 파일에 접근하는 것을 방지하고, 엔드포인트에서 유해한 프로세스가 실행되는 것을 방지합니다. 잠재적 위협을 격리하면 엔드포인트의 보안이 유지되고 환경 전반에 걸쳐 감염 위험이 줄어듭니다.

격리된 파일을 모니터링하고 안전할 경우 원래 위치로 복원할 수 있습니다.

격리된 파일 모니터링

각 엔드포인트에서 격리된 파일을 모니터링할 수 있습니다.

격리된 파일을 검토하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

    보호된 엔드포인트 테이블이 표시됩니다.

  2. 격리 파일 열에서, 격리된 파일을 보고 싶은 엔드포인트 번호를 클릭합니다.

    엔드포인트의 격리된 파일이 표시됩니다.

    참고

    격리 파일 열이 비어 있으면 엔드포인트에서 격리된 파일이 발견되지 않았음을 나타냅니다

격리된 파일 복원

파일이 실수로 격리되었거나 파일이 안전하다고 생각되면, 엔드포인트의 원래 위치로 복원할 수 있습니다. 그 후 최종 사용자가 파일에 액세스할 수 있습니다. 파일이 격리에서 복원된 후 허용 목록에 추가됩니다.

격리된 파일을 복원하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

    보호된 엔드포인트 테이블이 표시됩니다.

  2. 격리 파일 열에서, 복원하려는 엔드포인트의 행 번호를 클릭합니다.

    격리 테이블이 표시됩니다.

  3. 복원할 파일에서, 테이블 끝의 세 점을 클릭합니다.

  4. 복원을 클릭합니다.

    파일이 원래 위치로 복원됩니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개