# 이상행위 탐지 정책 설정 방법

모든 엔드포인트는 이상행위 룰셋에 등록된 기본 룰셋을 적용받습니다.  
특정 엔드포인트에 별도의 이상행위 룰 적용이 필요한 경우 룰셋을 추가하여 해당 엔드포인트가 속한 그룹 정책에 별도로 생성한 룰셋을 적용받도록 설정할 수 있습니다.

## 이상행위 탐지 설정

### 기본 룰셋

항목|설명
---|---
카테고리|Insights E Rule 과 MITRE ATT&CK Rule 을 지원합니다.
이름|미리 정의된 진단명 입니다.
OS|이상행위 진단이 가능한 OS 이며, 현재는 windows 만 지원합니다.
사용|이상행위 진단 룰 사용 여부 옵션입니다. (기본값: on)
이벤트 타입|이상행위 진단 시 이벤트 타입(file, Module, Network, process, Registry)에 따라 진단하는 정책이 달라집니다.
신뢰도|내부적으로 정의되어있는 신뢰도 입니다.
위협 유형|위협 유형은 8개의 카테고리(Anomaly,Autorun,Exploit,Fake,LateralMovement,Ransomware,Rootkit,UacBypass) 로 분류됩니다.
MITRE ATT&CK Technique|MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge-공격자 관점의 전술, 기술, 절차를 프레임워크로 제공하는 지식 베이스) 정보를 제공합니다. <br> MITRE ATT&CK Technique 정보가 있는 경우 클릭 시 해당 정보 site로 이동합니다.
자동대응|이상행위 룰에 의한 이상행위 탐지 시 자동으로 대응할 방법(알림,프로세스 강제종료,대응 안함)을 설정합니다.
예외|이상행위 룰은 기본으로 진단을 하도록 설정이 되어 있으나, 이상행위 룰을 사용하지 않을 예외 규칙 설정을 할 수 있습니다. <br> **정책 > 이상행위 관리 > 진단 예외 설정** 에서 예외 규칙을 작성하고 예외처리를 반영할 룰을 선택하거나, 이상행위 룰 관리 상세 화면에서 직접 예외처리 규칙을 설정할 수 있습니다.
설명|이상행위 규칙에 대한 관리자 memo를 입력합니다.

### 룰셋 추가

기본 룰셋 이외에 특정 엔드포인트만 적용 or 제외해야할 규칙이 있는 경우 예외가 적용된 룰셋을 추가할 수 있습니다.

1. 추가 버튼을 클릭, 복사할 룰셋 선택 후 생성 버튼을 클릭합니다.
2. 다르게 적용할 룰셋을 수정한 후 저장 및 상단의 `정책 즉시 적용` 버튼을 클릭합니다.
3. **정책 > 그룹 정책 관리 > 그룹 정책 목록** 메뉴 내 생성된 정책의 상세 화면에서 1에서 생성한 이상행위 룰셋을 선택 후 저장 및 정책 즉시 적용을 수행합니다.

### 이상행위 탐지 시 대응

이상행위 정책에 의한 탐지 시, 오탐 및 빈번한 알람이 발생할 수 있어서 기본 대응은 관리콘솔에서 관리자만 인지할 수 있도록 되어 있습니다.  
단말(PC)에 알림이 필요하거나, 이상행위 발생 프로세스의 종료가 필요한 경우 자동대응 설정을 통해 위협 대응을 할 수 있습니다.

1. 대응설정을 할 이상행위 룰 이름을 클릭, 상세 설정에서 `자동대응`을 선택합니다.
2. 자동대응 선택 시 왼쪽 상단에 저장  버튼을 클릭해야 변경사항이 반영되며, 저장 완료 후 오른쪽 상단의 `정책 즉시 적용` 버튼을 클릭해야 에이전트에 정책이 전달 됩니다.
3. 자동대응 설정한 이상행위가 탐지되면 **분석 > 위협 관리** 메뉴에서 해당 위협의 요약 정보에 자동 대응 정책 항목을 확인할 수 있습니다.

## 이상행위 탐지 예외 설정

이상행위 엔진은 관리콘솔에 미리 정의된 이상행위 규칙을 탐지합니다.

오탐을 줄이기 위해 탐지 전에 미리 예외 정책을 설정하거나, 오탐이 된 이후 위협 관리를 통해 예외 처리할 수 있습니다.

## 탐지 전 진단 예외 설정

### 진단 예외 설정 생성

1. **정책 > 이상행위 관리 > 진단 예외 설정** 메뉴로 이동 후 상단의 `추가` 버튼을 클릭합니다.

2. 규칙 명, 동작모드 및 예외 규칙 설정 후 `저장` 버튼을 클릭합니다.

| -  | 항목 | 설명 |
|------|---|-----|
| 예외 적용 방식 | 전체 | 모든 엔드포인트에 진단 예외 정책을 적용합니다. |
| 예외 적용 방식 | 미적용대상 설정 | 예외처리를 적용하지 않을 대상을 설정합니다. |
| 예외 적용 방식 | 적용대상 설정 | 예외처리를 적용할 대상을 설정합니다. |

정책 적용 대상은 IP 또는 부서 정보 입력을 통해 설정할 수 있습니다.
정책 예외처리 대상 설정 후 나머지 상세 정보를 입력 후 저장 버튼을 클릭합니다.  
3. 사용자가 등록한 예외 설정을 목록에서 확인할 수 있으며, 오른쪽 상단 메뉴 옆 `정책 즉시 적용` 버튼을 클릭합니다.  
4. 정책 적용 팝업창이 표시 되며, `확인` 버튼을 클릭하면 엔드포인트에 즉시 적용됩니다.  

### 진단 예외 설정 수정

1. **정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단 예외 설정** 메뉴로 이동 후 수정 할 규칙명을 클릭합니다.

2. 규칙 수정 후 `저장` 버튼을 클릭합니다.

3. 오른쪽 상단 메뉴 옆 `정책 즉시 적용` 버튼을 클릭합니다.

4. 정책 적용 팝업창이 표시 되며, `확인` 버튼을 클릭하면 엔드포인트에 즉시 적용됩니다.

### 진단 예외 설정 삭제

1. **정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단 예외 설정** 메뉴로 이동 후 삭제 할 목록의 체크 박스를 선택합니다.
`삭제` 버튼이 활성화되면 클릭합니다.

### 진단 예외 설정 엑셀 내보내기

1. **정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단예외설정** 메뉴로 이동 후 왼쪽 상단의 저장 버튼을 클릭, 내보내기 메뉴를 클릭합니다.

2. 1에서 목록을 선택하지 않으면 현재 등록된 목록 전체를 내보내며, 목록 선택 시 선택한 항목만 내보내기 할 수 있습니다.

### 진단 예외 설정 엑셀 가져오기

1. **정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단예외설정** 메뉴로 이동 후 왼쪽 상단의 `저장` 버튼을 클릭, 가져오기 메뉴를 클릭합니다.

2. 관리자 페이지에 등록된 목록에 엑셀 목록을 덮어 쓰거나 등록된 목록 삭제 후 엑셀 파일에 등록된 목록만 등록할 수 있습니다.

3. **기존 데이터 유지** 는 서버에 A라는 데이터가 존재하고, 엑셀 파일에 동일하게 A 데이터가 존재했을 때 기존 데이터 유지를 선택하고 파일을 업로드 하면
기존 데이터 유지 카운트가 표시됩니다.

## 탐지 후 진단 예외 설정

오탐으로 진단된 이상행위는 관리콘솔에서 관리자가 직접 예외처리 할 수 있습니다.  

1. **분석 > 위협 > 위협관리** 메뉴로 이동 합니다.
2. 위협으로 탐지된 목록 중 예외처리 할 이상행위 탐지목록의 오른쪽 화면에 `위협 분석` 버튼을 클릭합니다.
3. 탐지된 위협에 대한 상세 정보 화면이 표시되며, 오른쪽 상단의 `위협 관리 (신규)` 버튼을 클릭합니다.
4. 위협 관리 상세 화면이 펼쳐지며, `내가 담당하기` 버튼을 클릭합니다.
5. 위협 판정에서 `안전` 라디오 버튼을 선택하면 `진단 예외 설정-진단 예외 규칙 추가` 파란색 버튼이 활성화 됩니다. `진단 예외 규칙 추가` 버튼을 클릭합니다.
6. 오탐으로 진단되었던 프로세스 명 또는 파일 경로 또는 의심 파일 경로가 자동으로 작성된 진단 예외 규칙 추가 팝업창이 발생하며, 규칙명을 자유롭게 입력 후 `저장` 버튼을 클릭합니다.
7. 진단 예외 규칙 추가 버튼 아래 `설정 완료` 버튼을 클릭하여, 예외 설정을 완료합니다.
8. 오른쪽 상단에 `정책 즉시 적용` 버튼이 깜빡이며, 클릭하여 예외 정책을 에이전트에 즉시 적용하도록 합니다.
9. 다음에 예외설정과 동일한 행위가 발생하는 경우, 이상행위로 진단에서 예외처리 됩니다.
10. 위협 관리 화면에서 예외처리한 내용은 **정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단 예외 설정** 메뉴로 이동, 목록에서 확인할 수 있습니다.