# 그룹 정책 관리
Genian EDR은 그룹 별 이벤트 수집, 탐지, 대응 및 에이전트 정책 설정 기능을 제공합니다.
새로운 정책 추가는 **정책 > 그룹 정책 관리**에서 정책 추가 버튼을 통해 새로운 정책 그룹을 생성 할 수 있습니다.
## 기본 정책
Genian EDR 서버에 접속하는 모든 엔드포인트는 최초에 **기본정책**을 적용받습니다.
정책은 수집, 탐지, 대응, 에이전트 설정 및 고급 설정에 대한 정책으로 구성됩니다.
에이전트가 적용받는 정책 그룹은 **엔드포인트 목록, 엔드포인트 그룹 관리**에서 **정책 설정**을 통해 변경 가능합니다.
## 수집
### 수집 대상 이벤트
항목 | 수집 이벤트
---|---
기본| 프로세스 실행, 실행/문서/압축 파일 생성 등 중요 이벤트 수집
지정| 파일, 모듈, 네트워크, 레지스트리 이벤트 중 선택된 항목 수집
전체| 수집 가능한 모든 이벤트를 수집
### 파일 수집 목록
정책|설명
---|---
실행 파일 목록 수집 | 실행파일 목록을 수집합니다. 수집된 파일 목록은 FileList 인덱스에서 확인 가능합니다.
지정 파일 목록 인덱싱 | '지정 확장자'에 정의된 파일 정보를 인덱싱하여 PC에 저장합니다.
파일 크롤링 | PC가 유휴 상태일 때 파일 정보를 수집
**문서/압축파일:** 모든 파일의 Signature를 확인하여 문서/압축 파일 정보를 수집합니다.
**지정 파일:** '지정 확장자'에 정의된 파일 정보를 수집합니다.
**빠른 수집:** 시스템 자원을 적극적으로 사용하여 정보를 빠르게 수집합니다.
**실행 파일:** 모든 파일의 Signature를 확인하여 실행파일 목록을 수집합니다.
**잠금 화면 수집:** 잠금 화면 상태일 때 크롤링을 수행합니다.
**수행 대기 시간:** 설정 시간동안 사용자의 입력이 없는 경우 크롤링을 시작합니다.
**크롤링 실행 주기:** 크롤링 완료 후 다시 수행할 주기를 설정합니다.
**예외 경로 설정:** 파일 크롤링 예외 경로를 설정합니다.
### 윈도우 이벤트 수집(ETW)
윈도우 이벤트는 보안상 중요한 다양한 종료의 이벤트를 제공하고 있습니다.
Genian EDR은 관리자가 원하는 윈도우 이벤트를 등록하면 해당 이벤트를 수집하여 검색할 수 있도록 기능을 제공합니다.
정책|설정
---|---
수집 대상 윈도우 이벤트 | 윈도우 이벤트 뷰어에 기록되는 이벤트 정보 수집, XBA 연동 설정
자연어 설명 수집 | 이벤트 데이터를 자연어 형태로 수집
json 데이터 수집 | 이벤트 데이터를 json 형태로 수집
설정된 윈도우 이벤트는 winevt 인덱스에 저장되어 **통합 검색**에서 검색 가능합니다.
## 탐지
### 탐지 엔진
엔진|설명
---|---
침해지표(IOC)| 최소 신뢰도 10%, IOC,YARA 와 같은 알려진 위협 탐지 시 설정된 신뢰도 이상인 경우에만 탐지하도록 설정 기능을 제공합니다.
머신러닝(ML)| 에이전트에서 전송하는 파일에 대해 머신러닝 탐지 기능을 적용하고, 위협 탐지 시 통합검색 및 엔드포인트 상세 메뉴에 탐지 정보를 제공합니다.
이상행위(XBA)| **이상행위 룰셋** 설정 기능을 제공합니다.
## 대응
Warning
에이전트 배포방식이 단독버전일 경우 NAC 연동은 지원하지 않습니다.