위협 알림
이메일 알림
Genian EDR은 관리자 계정에 설정된 메일로 위협 알림 및 리포트를 메일링 서비스를 제공합니다.
메일서버 설정
- 관리 > 설정 > 환경설정 > 시스템 페이지로 이동하여 메일서버를 먼저 설정 합니다. 서버 설정 시 모든 정보를 빠짐없이 작성하여야 하며, 설정 테스트를 통해 정상 동작 여부를 확인할 수 있습니다.
| 항목 | 내용 |
|---|---|
| 연결보안방식 | SMTP(25),SMTPS(465), MSA/STARTTLS(587)을 지원합니다. |
| 서버포트 | 연결보안방식과 동일한 포트를 입력합니다. |
사용자 계정 설정
- 관리 > 설정 > 관리자에서 관리자 계정로 이동하여 리포트를 전송받을 계정을 클릭합니다.
- 사용자 수정 화면에서 이메일 알림에 제공 받을 정보를 선택하고, 추가 정보에 리포트를 전송받을 메일 주소를 입력 후 수정 버튼을 클릭합니다.
| 항목 | 설명 |
|---|---|
| 위협알람 | 1시간 이내에 발생한 위협 정보를 메일로 전송합니다. (매 시간마다 제공) |
| 디스크 사용률 알람 | EDR 장비의 디스크 사용률이 기본값(70%) 초과 시 관리자 이메일로 사용률 초과에 대한 내용을 전송합니다. |
| 일간 위협 리포트 | 24시간동안 발생한 위협 정보를 종합하여 해당 리포트를 메일로 전송합니다. (1일 1회, 01:00) |
관리자별 위협 알림을 받을 수 있습니다.
엔드포인트 알림
Note
정책 > 그룹 정책 관리 > 에이전트 중 알림 메세지 표시가 사용으로 설정돼 있어야 합니다.
엔드포인트 알림은 에이전트가 설치된 단말에서 위협 탐지시 팝업 알림 기능을 의미합니다.
관리자 알림 설정
- 관리 > 설정 > 관리자의 에이전트 알림 > 위협 알람 설정을 클릭합니다.
- 알림창을 표시할 관리자 PC의
Device ID를 입력합니다.
Device ID는 분석 > 엔드포인트 목록 단말의 기본 정보 탭에서 확인할 수 있습니다.
엔드포인트 알림 설정
정책 > 그룹 정책 관리 > 대응에서 정책별 엔드포인트 알림 설정을 할 수 있습니다.
XBA 탐지 알림 설정은 개별 XBA 룰에 대해 알림 설정이 필요합니다.
| 항목 | 설정 | 설명 |
|---|---|---|
| 알려진 악성코드 대응-에이전트 팝업표시 | 사용안함 /Low/Medium/High | YARA, IOC DB에 등록된 위험 프로세스를 탐지할 경우 에이전트 팝업을 통해 사용자에게 알려줄 지 여부를 선택합니다. |
| 알려지지 않은 악성코드 대응-에이전트 알림 메시지 | 사용안함/ML.Medium/ML.High | 머신러닝에 의한 탐지 시 에이전트 팝업을 통해 사용자에게 표시할 최소 위험도를 설정합니다. |
| 악성IP 대응-에이전트 팝업표시 | 사용안함/사용함 | IOC DB에 등록된 악성 IP로 접속을 탐지할 경우 에이전트 팝업을 통해 사용자에게 알려줄 지 여부를 선택합니다. |
정책 설정 후, 분석 > 엔드포인트 그룹 설정 페이지의 정책 설정 또는 개별 엔드포인트 상세 화면에서 정책명을 통해 설정 가능합니다.