그룹 정책 관리
Genian EDR은 그룹 별 이벤트 수집, 탐지, 대응 및 에이전트 정책 설정 기능을 제공합니다. 새로운 정책 추가는 정책 > 그룹 정책 관리에서 정책 추가 버튼을 통해 새로운 정책 그룹을 생성 할 수 있습니다.
기본 정책
Genian EDR 서버에 접속하는 모든 엔드포인트는 최초에 기본정책을 적용받습니다.
정책은 수집, 탐지, 대응, 에이전트 설정 및 고급 설정에 대한 정책으로 구성됩니다.
에이전트가 적용받는 정책 그룹은 엔드포인트 목록, 엔드포인트 그룹 관리에서 정책 설정을 통해 변경 가능합니다.
수집
수집 대상 이벤트
| 항목 | 수집 이벤트 |
|---|---|
| 기본 | 프로세스 실행, 실행/문서/압축 파일 생성 등 중요 이벤트 수집 |
| 지정 | 파일, 모듈, 네트워크, 레지스트리 이벤트 중 선택된 항목 수집 |
| 전체 | 수집 가능한 모든 이벤트를 수집 |
파일 수집 목록
| 정책 | 설명 |
|---|---|
| 실행 파일 목록 수집 | 실행파일 목록을 수집합니다. 수집된 파일 목록은 FileList 인덱스에서 확인 가능합니다. |
| 지정 파일 목록 인덱싱 | '지정 확장자'에 정의된 파일 정보를 인덱싱하여 PC에 저장합니다. |
| 파일 크롤링 | PC가 유휴 상태일 때 파일 정보를 수집 문서/압축파일: 모든 파일의 Signature를 확인하여 문서/압축 파일 정보를 수집합니다. 지정 파일: '지정 확장자'에 정의된 파일 정보를 수집합니다. 빠른 수집: 시스템 자원을 적극적으로 사용하여 정보를 빠르게 수집합니다. 실행 파일: 모든 파일의 Signature를 확인하여 실행파일 목록을 수집합니다. 잠금 화면 수집: 잠금 화면 상태일 때 크롤링을 수행합니다. 수행 대기 시간: 설정 시간동안 사용자의 입력이 없는 경우 크롤링을 시작합니다. 크롤링 실행 주기: 크롤링 완료 후 다시 수행할 주기를 설정합니다. 예외 경로 설정: 파일 크롤링 예외 경로를 설정합니다. |
윈도우 이벤트 수집(ETW)
윈도우 이벤트는 보안상 중요한 다양한 종료의 이벤트를 제공하고 있습니다.
Genian EDR은 관리자가 원하는 윈도우 이벤트를 등록하면 해당 이벤트를 수집하여 검색할 수 있도록 기능을 제공합니다.
| 정책 | 설정 |
|---|---|
| 수집 대상 윈도우 이벤트 | 윈도우 이벤트 뷰어에 기록되는 이벤트 정보 수집, XBA 연동 설정 |
| 자연어 설명 수집 | 이벤트 데이터를 자연어 형태로 수집 |
| json 데이터 수집 | 이벤트 데이터를 json 형태로 수집 |
설정된 윈도우 이벤트는 winevt 인덱스에 저장되어 통합 검색에서 검색 가능합니다.
탐지
탐지 엔진
| 엔진 | 설명 |
|---|---|
| 침해지표(IOC) | 최소 신뢰도 10%, IOC,YARA 와 같은 알려진 위협 탐지 시 설정된 신뢰도 이상인 경우에만 탐지하도록 설정 기능을 제공합니다. |
| 머신러닝(ML) | 에이전트에서 전송하는 파일에 대해 머신러닝 탐지 기능을 적용하고, 위협 탐지 시 통합검색 및 엔드포인트 상세 메뉴에 탐지 정보를 제공합니다. |
| 이상행위(XBA) | 이상행위 룰셋 설정 기능을 제공합니다. |
대응
Warning
에이전트 배포방식이 단독버전일 경우 NAC 연동은 지원하지 않습니다.
대응 설정은 아래와 같습니다.
| 정책 | 설정 |
|---|---|
| 알려진 악성코드 대응 | YARA, IOC DB에 등록된 위험 프로세스 탐지 시 대응 설정 |
| NAC 연동 | 에이전트에서 위협 탐지 시 해당 노드에 부여할 태그 설정 |
| 알려지지 않은 악성코드 대응 | 머신러닝에 의한 탐지 시 대응 설정 |
| 악성IP | IOC DB에 등록된 악성 IP로 접속을 탐지 시 대응 설정 |
에이전트 알림 표시, 프로세스 강제 종료, 파일 삭제 등 정책에 따른 대응 정책 설정을 할 수 있습니다.
에이전트
기본 설정
| 정책 | 설정 |
|---|---|
| 접속 서버 IP | 다중서버 구성 환경인 경우, 서버 부하 분산을 위해 에이전트가 접속해서 정책을 내려받을 서버 IP 또는 도메인 입력 |
| 사용자 알림 팝업 | 악성코드 탐지 후 위협 관리의 대응 방법이 프로세스 강제종료, 파일 삭제 시 엔드포인트에 알림 팝업 표시 여부 설정 |
| 트레이 아이콘 | 에이전트 트레이 아이콘을 표시 (NAC와 에이전트 아이콘 통합인 경우 사용 안 함) |
| 알림 메시지 팝업 | 네트워크 격리와 해제 시 엔드포인트에 발생하는 알람 메세지 문구 작성 격리 메세지: 관리자가 관리콘솔에서 엔드포인트에 네트워크 격리 명령을 수행했을 때 엔드포인트에 표시되는 팝업창 문구 해제 메세지: 관리자가 관리콘솔에서 엔드포인트에 네트워크 격리 해제 명령을 수행했을 때 엔드포인트에 표시되는 팝업창 문구 |
| 허용 IP | 네트워크 격리 시 허용할 IP를 설정 (Genian NAC 와 Genian EDR서버 IP는 별도로 설정하지 않아도 통신 가능 함) |
네트워크 접속 차단
| 정책 | 설명 |
|---|---|
| 접속 차단 IP 및 Port | 네트워크 격리 정책과 상관없이 접속을 차단할 IP 및 Port 를 입력합니다. (TCP 포트) Genian EDR 서버 운영과 연관된 서버는 차단되지 않습니다. |
백업
| 정책 | 설명 |
|---|---|
| Windows VSS 백업 | 랜섬웨어 공격에 대비하여 Windows VSS를 이용한 하드디스크 파일 전체에 대한 백업을 진행합니다. VSS 기능 사용 시 랜섬웨어에 의해 스냅샷이 삭제되지 않도록 정책 > 이상행위 > 이상행위 룰 관리 화면에서 ShadowCopy 삭제 및 문서 확장자 Rename 초과 정책의 자동대응 설정이 필요합니다. |
기타
| 정책 | 설명 |
|---|---|
| API Hooking 사용 | 다양한 이벤트를 모니터링하기 위해 API를 Hooking 합니다. 타 소프트웨어와 충돌이 발생할 수 있으므로 안정성 테스트 후 적용이 필요하며, 설정 ON/OFF 시 PC 재부팅이 필요합니다. |