위협 처리
분석 > 위협 관리에서 Maliware, XBA 위협들에 대한 위협 처리 설정 기능을 제공합니다.
| 항목 | 설명 |
|---|---|
| 안전 | 선택한 위협을 안전으로 예외 처리합니다. |
| 위협 대응 정책 | 선택한 위협에 대한 대응 설정을 등록합니다. |
| 보류 | 선택한 위협에 대한 위협 판정을 보류로 처리합니다. |
| 초기화 | 선택한 위협에 대한 위협 판정을 신규 상태로 초기화합니다. |
위협파일 대응 및 예외처리
위협으로 탐지한 파일에 대해 에이전트에서 일차적으로 대응이 가능하지만
관리자 UI에서 파일에 대한 즉시 대응을 설정하거나 개별 엔드포인트에 대해 즉시 대응 명령을 수행할 수 있습니다.
또한 향후 MD5 hash 값이 동일한 파일이 탐지되는 경우, 관리자가 별도의 확인을 하지 않도록 할지, 위협 표시를 계속할지에 대한 설정을 위협 관리를 통해 할 수 있습니다.
- 파일에 대해 기본 정보를 확인 후 대응하고자 할 경우 위협 관리의 위협 목록에서 위협 분석 버튼을 클릭합니다.
- 상세 목록의 오른쪽 위협 관리 화면에서 즉시 대응 및 예외처리, 오탐보고를 처리할 수 있습니다.
- 위협관리 화면에서 내가 담당하기를 클릭하면 현재 탐지된 파일에 대해 악성/안전/보류 에 대한 설정을 관리자가 직접 처리할 수 있습니다.
- 위협 판정 선택 값에 따라 세부적으로 대응, 예외처리 화면이 표시 됩니다.
악성 파일/프로세스 대응
| 항목 | 설정 | 설명 |
|---|---|---|
| 대응정책 | 기본정책 | 해당 파일이 다시 탐지되면 그룹 정책-대응에 설정된 규칙에 따라 처리합니다. |
| 대응정책 | 알람 | 해당 파일이 다시 탐지되면 엔드포인트에 알람 발생 이벤트를 즉시 수행합니다. |
| 대응정책 | 프로세스 강제종료 | 해당 프로세스(파일X)가 탐지되면 엔드포인트에 프로세스 강제 종료 이벤트를 즉시 수행합니다. |
| 대응정책 | 파일 삭제 | 해당 파일이 다시 탐지되면 엔드포인트에 파일 삭제 이벤트를 즉시 전달합니다. 해당 파일을 c:\program files\geni\insights\Isolate 폴더로 격리, 일정기간이 경과된 후 파일을 삭제 합니다. |
| 자동해결 | - | MD5 hash값이 동일한 파일이 다시 탐지되면 분석 메뉴에 표시하지 않고 처리 상태를 해결됨 으로 자동으로 변경합니다. |
| 메모 | - | 탐지된 위협에 대해 관리자 메모를 작성할 수 있습니다. |
- 악성 파일 인 경우 악성 항목을 선택하고 대응 정책을 설정할 수 있습니다.
- 악성 파일에 대해 설정완료 버튼을 클릭하면 설정된 대응 정책을 즉시 수행합니다.
- 탐지된 파일에 대해 기본정보 확인 없이 위협 대응 정책을 설정하고자 하는 경우, 위협 목록에 표시된 리스트를 선택하면 화면 상단에 위협
대응 정책버튼이 표시됩니다.
악성 파일에 대해 자동해결을 선택하는 경우, 동일한 파일이 다음에 다시 탐지되면 분석 화면에 신규 파일로 등록되지 않고 해결됨 상태로 처리 됩니다. 중복 탐지되더라도 계속해서 관리자의 확인이 필요하다고 판단 될 경우 자동해결 옵션을 OFF 하여야 합니다.
위협 관리 화면이 아닌 목록에서 일괄 위협 대응 정책(알람,프로세스 종료,삭제)을 설정할 수 있으며 기본적인 동작은 1의 대응 정책과 동일합니다.
악성 파일/프로세스 예외처리
탐지된 파일이 오탐인 경우 예외처리를 하기 위한 설정도 위협 관리 메뉴에서 진행합니다.
| 항목 | 설명 |
|---|---|
| 메모 | 탐지된 파일에 대해 관리자 메모를 작성할 수 있습니다. |
| 오탐보고 | 정상적인 파일이지만 오탐된 경우, 오탐보고를 통해 Ecosystem에 오탐 보고 합니다. 오탐지 보고된 파일 정보는 추후 Goodware DB에 등록됩니다 |
위협파일로 탐지되었지만 관리자가 악성 여부를 판단할 수 없거나 외부 링크를 통해 확인되는 정보가 부족할 경우 해당 파일에 대한 대응을 보류 할 수 있습니다.
보류의 대상은 주로 머신러닝에 의해 탐지된 파일이 될 수 있습니다.