엔드포인트 보호 솔루션 관리

이 문서는 엔드포인트에 설치된 EPP 에이전트를 관리하는 방법을 설명합니다.

개요

환경에 에이전트를 설치한 후에는 EPP 솔루션의 일상 관리를 위해 엔드포인트에서 조치를 수행해야 할 수 있습니다.

환경에서 보호된 엔드포인트를 검토하고 필요할 경우 EPP를 관리하기 위한 다양한 조치를 취할 수 있습니다. 에이전트는 한 번에 한 가지 작업을 수행하며, 언제든지 작업을 종료할 수 있으며, 7일 이내에 작업이 수행되지 않으면 만료됩니다.

CMA에서 엔드포인트에 대해 실행할 수 있는 몇 가지 작업은 다음과 같습니다:

필요한 경우, 엔드포인트에서 에이전트를 수동으로 업그레이드할 수도 있습니다.

보호된 엔드포인트 검토

에이전트 토큰으로 엔드포인트를 등록하면 솔루션이 실시간으로 데이터를 보고하기 시작합니다. 예를 들어:

  • 각 엔드포인트에서 사용되는 버전

  • 각 엔드포인트에 적용된 프로필

2023-03-16_16-27-48.png

참고

참고: 중국에 위치한 장치는 지역 제한 때문에 Cato에 EPP를 등록할 수 없습니다.

보호된 엔드포인트를 검토하려면:

  • 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭하십시오.

    보호된 엔드포인트 화면이 열립니다.

보호된 엔드포인트 테이블 열 이해

다음 표는 보호된 엔드포인트 테이블의 열에 대한 설명입니다.

설명

엔드포인트 ID

EPP 에이전트의 고유 ID입니다.

엔드포인트 이름

엔드포인트의 시스템 이름.

사용자

마지막으로 엔드포인트에 로그인한 사용자. 공유 장치에서는 사용자가 시간이 지남에 따라 변경될 수 있습니다.

IP

엔드포인트의 IP 주소.

OS 버전

엔드포인트 운영 체제.

EPP 버전

엔드포인트에 설치된 EPP 솔루션 버전.

프로필

엔드포인트에 할당된 EPP 프로필.

이 열에 표시된 시계 기호는 엔드포인트가 아직 EPP 프로필을 받지 않았음을 의미합니다. 다음 번에 엔드포인트가 온라인 상태가 될 때 EPP 프로필이 할당됩니다.

격리 파일

엔드포인트에서 격리된 파일 수.

상태

EPP 솔루션의 상태. 가능한 상태는 다음과 같습니다:

  • 시작 중: EPP 솔루션이 엔드포인트에 설치 중

  • 보호됨: EPP 솔루션이 온라인 상태이며 엔드포인트를 보호 중

  • 보호되지 않음: EPP 솔루션에는 안티멀웨어가 모니터링으로 설정된 프로필이 있습니다.

  • 오류: EPP 솔루션에 오류가 발생했습니다. 오류에 대한 더 많은 정보를 보려면 물음표 기호 위에 커서를 올리십시오.

    오류를 해결하는 방법에 대한 추가 정보는 EPP 문제 해결 섹션을 참조하십시오.

보호된 엔드포인트 테이블 내보내기

보호된 엔드포인트 테이블의 내용을 CSV 파일로 내보내 MDM과 정렬하고 모든 관련 엔드포인트가 테이블에 나타나도록 할 수 있습니다.

보호된 엔드포인트 목록을 내보내려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭하십시오.

    보호된 엔드포인트 화면이 열립니다.

  2. 페이지의 오른쪽 상단 모서리에서 내보내기를 클릭하십시오.

카토의 EPP 솔루션 보호

카토의 EPP는 기본적으로 변조 방지 보호가 활성화되어 있습니다. 이는 EPP 솔루션이 사용하는 프로세스, 파일, 서비스 및 레지스트리를 악의적인 수정 또는 종료 시도로부터 보호합니다. 또한 보안을 손상시킬 수 있는 무의식적인 최종 사용자 작업으로부터 보호합니다.

EPP 보호 비활성화

예를 들어 솔루션을 제거해야 하는 경우, 변조 방지 보호를 15분 동안 임시로 잠금 해제할 수 있습니다. 이 시간 이후 또는 엔드포인트가 재부팅되면 변조 방지 보호가 다시 활성화됩니다.

보호를 잠금 해제하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭하십시오.

    보호된 엔드포인트 화면이 표시됩니다.

  2. 보호 해제를 원하는 엔드포인트의 세 개의 점(Three_Dots.png)을 클릭하세요.

  3. 안티-탬퍼 잠금 해제를 클릭하십시오.

    변조 방지 보호가 일시적으로 비활성화됩니다.

엔드포인트에서 EPP 제거

엔드포인트에 더 이상 EPP가 필요하지 않은 경우, 이를 제거하고 필요시 계정에서 삭제할 수 있습니다. 솔루션이 제거된 후에는 EPP 엔진이 악성 활동을 스캔할 수 없으며, 이벤트가 보고되지 않습니다. 엔드포인트는 삭제될 때까지 보호된 엔드포인트 테이블에 남아 있습니다.

  • 제거는 EPP 클라이언트를 완전히 제거하지만, 클라이언트를 다시 설치하면 이전 사용자가 자동으로 등록됩니다.
  • 삭제는 이 엔드포인트의 계정 연관을 삭제합니다; 보호가 중단되고 이벤트 업로드가 중지됩니다. 삭제하면 클라이언트가 토큰을 사용하여 다시 등록할 수 있습니다.

엔드포인트 제거 및 삭제

단일 작업으로 엔드포인트에서 EPP를 제거하고 계정에서 엔드포인트를 삭제할 수 있습니다.

참고

참고: EPP 에이전트 v1.1부터 지원됩니다. EPP 에이전트 v1.0을 삭제 및 제거하려고 하면, 에이전트가 v1.1로 업그레이드될 때까지 조치가 취해지지 않습니다.

엔드포인트를 제거 및 삭제하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

    보호된 엔드포인트 화면이 표시됩니다.

  2. 삭제를 원하는 엔드포인트의 세 개의 점(Three_Dots.png)을 클릭하세요.

  3. 엔드포인트 제거를 클릭하십시오.

    엔드포인트 제거 대화 상자가 표시됩니다.

  4. 엔드포인트 제거 & 에이전트 제거하기를 클릭하십시오.

    EPP가 엔드포인트에서 제거되고, 엔드포인트는 계정에서 삭제됩니다.

엔드포인트 제거

엔드포인트에서 EPP를 제거하면 EPP 엔진이 악성 활동을 스캔할 수 없으며, 이벤트가 보고되지 않습니다. 엔드포인트가 삭제되기 전까지는 보호된 엔드포인트 테이블에 표시됩니다.

엔드포인트를 제거하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

    보호된 엔드포인트 화면이 표시됩니다.

  2. 제거를 원하는 엔드포인트의 세 개의 점(Three_Dots.png)을 클릭하세요.

  3. 에이전트 제거하기를 클릭합니다.

    에이전트 제거하기 대화 상자가 표시됩니다.

  4. 에이전트 제거를 클릭합니다.

    엔드포인트에서 EPP가 제거됩니다.

엔드포인트 삭제

EPP가 엔드포인트에 더 이상 설치되지 않은 경우, 해당 엔드포인트는 보호된 엔드포인트 테이블에서 삭제할 수 있습니다.

참고

참고: EPP가 제거되기 전에 보호된 엔드포인트 테이블에서 엔드포인트를 삭제하지 마십시오.

엔드포인트를 삭제하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

    보호된 엔드포인트 화면이 표시됩니다.

  2. 삭제를 원하는 엔드포인트의 세 개의 점(Three_Dots.png)을 클릭하세요.

  3. 엔드포인트 제거를 클릭합니다.

    엔드포인트 제거 대화 상자가 표시됩니다.

  4. 엔드포인트 제거를 클릭합니다.

    엔드포인트는 보호된 엔드포인트 화면에서 삭제됩니다.

작업 종료

작업이 생성된 후 언제든지 종료할 수 있습니다.

작업을 종료하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

  2. 작업 기록 탭을 클릭합니다.

  3. 종료할 작업의 세 개의 점(Three_Dots.png)을 클릭하세요.

  4. 작업 취소를 클릭합니다.

엔드포인트 작업 검토

EPP 에이전트에 전송된 작업의 거의 실시간 상태와 기록을 볼 수 있습니다. EPP 에이전트는 수신한 작업의 상태에 대한 업데이트를 매 30초마다 보냅니다.

참고

참고: 작업은 에이전트 버전 1.2 이상에서 검토할 수 있습니다.

Actions_EPP.png

엔드포인트 작업을 검토하려면:

  1. 네비게이션 메뉴에서 액세스 > 보호된 엔드포인트를 클릭합니다.

  2. 작업 기록 탭을 클릭합니다.

작업 기록 테이블 열 이해

다음은 작업 기록 테이블을 설명합니다.

설명

작업 ID

작업의 고유 참조입니다.

엔드포인트 ID

EPP 에이전트의 고유 ID입니다.

생성 날짜

작업이 생성된 시간의 타임스탬프입니다.

엔드포인트 이름

엔드포인트의 컴퓨터 이름입니다.

작업

엔드포인트에서 수행된 작업입니다.

상태

작업의 거의 실시간 상태입니다. 가능한 상태는 다음과 같습니다:

  • 대기 중: 작업이 EPP 에이전트로 전송되었으나 아직 전달되지 않았습니다.

  • 배송 완료: 작업이 EPP 에이전트에 수신되었으나 실행되지 않았습니다.

  • 실행 중: 작업이 실행 중입니다.

  • 완료: 작업이 성공적으로 완료되었습니다.

  • 만료됨: 7일 후에도 작업이 수행되지 않았습니다.

  • 종료 대기 중: 작업의 종료 요청이 EPP 에이전트로 전송되었으나 아직 수신되지 않았습니다.

  • 종료 배송 완료: 작업의 종료 요청이 EPP 에이전트에 수신되었습니다.

  • 종료됨: 작업이 중지되었습니다.

  • 오류: 문제가 발생했습니다.

세부 정보

작업에 대한 추가 정보입니다.

마지막 업데이트 시간

작업의 마지막 업데이트가 수신된 시각의 타임스탬프입니다.

생성자

작업을 생성한 관리자입니다.

엔드포인트 상태

엔드포인트의 상태입니다.

에이전트 수동 업그레이드

새 에이전트 버전이 출시되면, 계정 내의 에이전트는 자동으로 최신 버전으로 점진적으로 업그레이드됩니다. 다양한 이유로 에이전트를 수동으로 업그레이드해야 할 수도 있습니다.

에이전트를 수동으로 업그레이드하려면:

  1. 엔드포인트에서 변조 방지 비활성화:

    • 온라인 에이전트의 경우: 이는 CMA에서 완료할 수 있습니다. 자세한 정보를 보려면

    • 오프라인 에이전트의 경우: 파일 경로 C:\Program Files\Cato Networks\CatoEndPointProtection에 확장자가 없는 disable_anti_tamper라는 빈 파일을 만듭니다

      참고: 이는 v1.3 이하의 에이전트에서만 사용할 수 있습니다

  2. CMA에서 탐색 메뉴로 이동하여 액세스 > 클라이언트 배포 구성을 클릭하고 EPP 에이전트를 다운로드합니다.

  3. MDM을 사용하여 에이전트를 배포하거나 엔드포인트에 수동으로 설치하십시오.

    참고:

    • CMA에서 변조 방지를 비활성화한 경우, 변조 방지 비활성화 후 15분 이내에 에이전트를 배포해야 합니다

    • 파일을 사용하여 변조 방지를 비활성화한 경우, 업그레이드가 완료된 후 파일을 삭제하십시오

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개