위협 대응 정책

분석 > 위협 관리에서 Maliware, XBA 위협들에 대한 대응 정책 설정 기능을 제공합니다.

항목 설명
안전 선택한 위협을 안전으로 예외 처리합니다.
위협 대응 정책 선택한 위협에 대한 대응 설정을 등록합니다.
보류 선택한 위협에 대한 위협 판정을 보류로 처리합니다.
초기화 선택한 위협에 대한 위협 판정을 신규 상태로 초기화합니다.

엔드포인트 위협 대응 정책

분석 > 위협 관리의 상태별 위협 현황에서 탐지된 위험 목록 선택 시 정책 설정 기능이 활성화됩니다.

항목 설명
기본정책 해당 파일이 다시 탐지되면 그룹정책-대응에 설정된 규칙에 따라 처리합니다.
탐지만 수행 해당 파일이 다시 탐지되면 다른 이벤트 발생 없이 탐지만 수행합니다.
알림 해당 파일이 다시 탐지되면 엔드포인트에 알람 발생 이벤트를 즉시 수행합니다.
프로세스 강제종료 해당 프로세스(파일X)가 탐지되면 엔드포인트에 프로세스 강제 종료 이벤트를 즉시 수행합니다.
파일 삭제 해당 파일이 다시 탐지되면 엔드포인트에 파일 삭제 이벤트를 즉시 전달합니다.
파일은 c:\program files\geni\insights\Isolate 폴더로 격리, 일정기간이 경과된 후 삭제 합니다.

이 중 원하는 대응 정책을 설정할 수 있습니다. 또한, 위협 대응 정책에 따른 메모를 통해 정책에 대한 설명을 추가할 수 있습니다.

엔드포인트 개별 대응 정책

MD5 Hash 값을 기준으로 위협 파일 탐지 시 위협 관리에서 설정한 대응 정책으로 즉시 대응을 할 수도 있지만 엔드포인트 별 대응 정책을 설정 기능을 제공합니다.
목록에서 엔드포인트를 선택 시 정책 설정 기능이 활성화됩니다.

  • 엔드포인트를 선택 후 예외 버튼 클릭 시 해당 엔드포인트에서 탐지한 파일은 위협 탐지에서 제외하도록 설정합니다.
  • 엔드포인트를 선택 후 위협 대응 정책 버튼 클릭 시 해당 단말에만 발생시킬 대응을 선택할 수 있습니다.
  • 개별 대응 정책을 설정하면 개별대응정책에 설정한 값(알람/프로세스 강제 종료,삭제) 이 저장됩니다.
  • 대응 정책 적용 시점에 해당 파일이나 프로세스가 실행 중인 경우 즉시 삭제(격리함으로 이동 후 일정 기간이 경과 후 삭제)/프로세스 강제 종료를 수행합니다.

개별 대응 정책을 초기화하고 싶을 경우, 엔드포인트 선택 후 초기화 버튼을 클릭합니다.