그룹 정책 관리

Genian EDR은 그룹 별 이벤트 수집, 탐지, 대응 및 에이전트 정책 설정 기능을 제공합니다. 새로운 정책 추가는 정책 > 그룹 정책 관리에서 정책 추가 버튼을 통해 새로운 정책 그룹을 생성 할 수 있습니다.

기본 정책

Genian EDR 서버에 접속하는 모든 엔드포인트는 최초에 기본정책을 적용받습니다. 정책은 수집, 탐지, 대응, 에이전트 설정 및 고급 설정에 대한 정책으로 구성됩니다.
에이전트가 적용받는 정책 그룹은 엔드포인트 목록, 엔드포인트 그룹 관리에서 정책 설정을 통해 변경 가능합니다.

수집

수집 대상 이벤트

항목

수집 이벤트

기본

프로세스 실행, 실행/문서/압축 파일 생성 등 중요 이벤트 수집

지정

파일, 모듈, 네트워크, 레지스트리 이벤트 중 선택된 항목 수집

전체

수집 가능한 모든 이벤트를 수집

파일 수집 목록

정책

설명

실행 파일 목록 수집

실행파일 목록을 수집합니다. 수집된 파일 목록은 FileList 인덱스에서 확인 가능합니다.

지정 파일 목록 인덱싱

'지정 확장자'에 정의된 파일 정보를 인덱싱하여 PC에 저장합니다.

파일 크롤링

PC가 유휴 상태일 때 파일 정보를 수집

문서/압축파일: 모든 파일의 Signature를 확인하여 문서/압축 파일 정보를 수집합니다.
지정 파일: '지정 확장자'에 정의된 파일 정보를 수집합니다.
빠른 수집: 시스템 자원을 적극적으로 사용하여 정보를 빠르게 수집합니다.
실행 파일: 모든 파일의 Signature를 확인하여 실행파일 목록을 수집합니다.
잠금 화면 수집: 잠금 화면 상태일 때 크롤링을 수행합니다.
수행 대기 시간: 설정 시간동안 사용자의 입력이 없는 경우 크롤링을 시작합니다.
크롤링 실행 주기: 크롤링 완료 후 다시 수행할 주기를 설정합니다.
예외 경로 설정: 파일 크롤링 예외 경로를 설정합니다.

윈도우 이벤트 수집(ETW)

윈도우 이벤트는 보안상 중요한 다양한 종료의 이벤트를 제공하고 있습니다.
Genian EDR은 관리자가 원하는 윈도우 이벤트를 등록하면 해당 이벤트를 수집하여 검색할 수 있도록 기능을 제공합니다.

정책

설정

수집 대상 윈도우 이벤트

윈도우 이벤트 뷰어에 기록되는 이벤트 정보 수집, XBA 연동 설정

자연어 설명 수집

이벤트 데이터를 자연어 형태로 수집

json 데이터 수집

이벤트 데이터를 json 형태로 수집

설정된 윈도우 이벤트는 winevt 인덱스에 저장되어 통합 검색에서 검색 가능합니다.

탐지

탐지 엔진

엔진

설명

침해지표(IOC)

최소 신뢰도 10%, IOC,YARA 와 같은 알려진 위협 탐지 시 설정된 신뢰도 이상인 경우에만 탐지하도록 설정 기능을 제공합니다.

머신러닝(ML)

에이전트에서 전송하는 파일에 대해 머신러닝 탐지 기능을 적용하고, 위협 탐지 시 통합검색 및 엔드포인트 상세 메뉴에 탐지 정보를 제공합니다.

이상행위(XBA)

이상행위 룰셋 설정 기능을 제공합니다.

대응

Warning

에이전트 배포방식이 단독버전일 경우 NAC 연동은 지원하지 않습니다.

대응 설정은 아래와 같습니다.

정책

설정

알려진 악성코드 대응

YARA, IOC DB에 등록된 위험 프로세스 탐지 시 대응 설정

NAC 연동

에이전트에서 위협 탐지 시 해당 노드에 부여할 태그 설정

알려지지 않은 악성코드 대응

머신러닝에 의한 탐지 시 대응 설정

악성IP

IOC DB에 등록된 악성 IP로 접속을 탐지 시 대응 설정

에이전트 알림 표시, 프로세스 강제 종료, 파일 삭제 등 정책에 따른 대응 정책 설정을 할 수 있습니다.

에이전트

기본 설정

정책

설정

접속 서버 IP

다중서버 구성 환경인 경우, 서버 부하 분산을 위해 에이전트가 접속해서 정책을 내려받을 서버 IP 또는 도메인 입력

사용자 알림 팝업

악성코드 탐지 후 위협 관리의 대응 방법이 프로세스 강제종료, 파일 삭제 시 엔드포인트에 알림 팝업 표시 여부 설정

트레이 아이콘

에이전트 트레이 아이콘을 표시
(NAC와 에이전트 아이콘 통합인 경우 사용 안 함)

알림 메시지 팝업

네트워크 격리와 해제 시 엔드포인트에 발생하는 알람 메세지 문구 작성
격리 메세지: 관리자가 관리콘솔에서 엔드포인트에 네트워크 격리 명령을 수행했을 때 엔드포인트에 표시되는 팝업창 문구
해제 메세지: 관리자가 관리콘솔에서 엔드포인트에 네트워크 격리 해제 명령을 수행했을 때 엔드포인트에 표시되는 팝업창 문구

허용 IP

네트워크 격리 시 허용할 IP를 설정
(Genian NAC 와 Genian EDR서버 IP는 별도로 설정하지 않아도 통신 가능 함)

네트워크 접속 차단

정책

설명

접속 차단 IP 및 Port

네트워크 격리 정책과 상관없이 접속을 차단할 IP 및 Port 를 입력합니다. (TCP 포트)
Genian EDR 서버 운영과 연관된 서버는 차단되지 않습니다.

백업

정책

설명

Windows VSS 백업

랜섬웨어 공격에 대비하여 Windows VSS를 이용한 하드디스크 파일 전체에 대한 백업을 진행합니다.
VSS 기능 사용 시 랜섬웨어에 의해 스냅샷이 삭제되지 않도록 정책 > 이상행위 > 이상행위 룰 관리 화면에서 ShadowCopy 삭제 및 문서 확장자 Rename 초과 정책의 자동대응 설정이 필요합니다.

기타

정책

설명

API Hooking 사용

다양한 이벤트를 모니터링하기 위해 API를 Hooking 합니다.
타 소프트웨어와 충돌이 발생할 수 있으므로 안정성 테스트 후 적용이 필요하며, 설정 ON/OFF 시 PC 재부팅이 필요합니다.