# 그룹 정책 관리

Genian EDR은 그룹 별 이벤트 수집, 탐지, 대응 및 에이전트 정책 설정 기능을 제공합니다.
새로운 정책 추가는 **정책 > 그룹 정책 관리**에서 정책 추가 버튼을 통해 새로운 정책 그룹을 생성 할 수 있습니다.

## 기본 정책

Genian EDR 서버에 접속하는 모든 엔드포인트는 최초에 **기본정책**을 적용받습니다.
정책은 수집, 탐지, 대응, 에이전트 설정 및 고급 설정에 대한 정책으로 구성됩니다.  
에이전트가 적용받는 정책 그룹은 **엔드포인트 목록, 엔드포인트 그룹 관리**에서 **정책 설정**을 통해 변경 가능합니다.

## 수집

### 수집 대상 이벤트

항목 | 수집 이벤트
---|---
기본| 프로세스 실행, 실행/문서/압축 파일 생성 등 중요 이벤트 수집
지정| 파일, 모듈, 네트워크, 레지스트리 이벤트 중 선택된 항목 수집
전체| 수집 가능한 모든 이벤트를 수집

### 파일 수집 목록

정책|설명
---|---
실행 파일 목록 수집 | 실행파일 목록을 수집합니다. 수집된 파일 목록은 FileList 인덱스에서 확인 가능합니다.
지정 파일 목록 인덱싱 | '지정 확장자'에 정의된 파일 정보를 인덱싱하여 PC에 저장합니다.
파일 크롤링 | PC가 유휴 상태일 때 파일 정보를 수집 <br><br> **문서/압축파일:** 모든 파일의 Signature를 확인하여 문서/압축 파일 정보를 수집합니다. <br> **지정 파일:** '지정 확장자'에 정의된 파일 정보를 수집합니다.<br> **빠른 수집:** 시스템 자원을 적극적으로 사용하여 정보를 빠르게 수집합니다. <br> **실행 파일:** 모든 파일의 Signature를 확인하여 실행파일 목록을 수집합니다. <br> **잠금 화면 수집:** 잠금 화면 상태일 때 크롤링을 수행합니다. <br> **수행 대기 시간:** 설정 시간동안 사용자의 입력이 없는 경우 크롤링을 시작합니다. <br> **크롤링 실행 주기:** 크롤링 완료 후 다시 수행할 주기를 설정합니다. <br> **예외 경로 설정:** 파일 크롤링 예외 경로를 설정합니다.

### 윈도우 이벤트 수집(ETW)

윈도우 이벤트는 보안상 중요한 다양한 종료의 이벤트를 제공하고 있습니다.  
Genian EDR은 관리자가 원하는 윈도우 이벤트를 등록하면 해당 이벤트를 수집하여 검색할 수 있도록 기능을 제공합니다.

정책|설정
---|---
수집 대상 윈도우 이벤트 | 윈도우 이벤트 뷰어에 기록되는 이벤트 정보 수집, XBA 연동 설정
자연어 설명 수집 | 이벤트 데이터를 자연어 형태로 수집
json 데이터 수집 | 이벤트 데이터를 json 형태로 수집

설정된 윈도우 이벤트는 winevt 인덱스에 저장되어 **통합 검색**에서 검색 가능합니다.

## 탐지

### 탐지 엔진

엔진|설명
---|---
침해지표(IOC)| 최소 신뢰도 10%, IOC,YARA 와 같은 알려진 위협 탐지 시 설정된 신뢰도 이상인 경우에만 탐지하도록 설정 기능을 제공합니다.
머신러닝(ML)| 에이전트에서 전송하는 파일에 대해 머신러닝 탐지 기능을 적용하고, 위협 탐지 시 통합검색 및 엔드포인트 상세 메뉴에 탐지 정보를 제공합니다.
이상행위(XBA)| **이상행위 룰셋** 설정 기능을 제공합니다.

## 대응

<div class="admonition warning"><p class="admonition-title">Warning</p>

에이전트 배포방식이 단독버전일 경우 NAC 연동은 지원하지 않습니다.
</div>

대응 설정은 아래와 같습니다.

정책|설정
---|---
알려진 악성코드 대응 |YARA, IOC DB에 등록된 위험 프로세스 탐지 시 대응 설정
NAC 연동 | 에이전트에서 위협 탐지 시 해당 노드에 부여할 태그 설정
알려지지 않은 악성코드 대응 | 머신러닝에 의한 탐지 시 대응 설정
악성IP | IOC DB에 등록된 악성 IP로 접속을 탐지 시 대응 설정

에이전트 알림 표시, 프로세스 강제 종료, 파일 삭제 등 정책에 따른 대응 정책 설정을 할 수 있습니다.

## 에이전트

### 기본 설정

정책|설정
---|---
접속 서버 IP|다중서버 구성 환경인 경우, 서버 부하 분산을 위해 에이전트가 접속해서 정책을 내려받을 서버 IP 또는 도메인 입력
사용자 알림 팝업|악성코드 탐지 후 위협 관리의 대응 방법이 **프로세스 강제종료**, **파일 삭제** 시 엔드포인트에 알림 팝업 표시 여부 설정
트레이 아이콘 | 에이전트 트레이 아이콘을 표시<br>(NAC와 에이전트 아이콘 통합인 경우 사용 안 함)
알림 메시지 팝업 | 네트워크 격리와 해제 시 엔드포인트에 발생하는 알람 메세지 문구 작성 <br>격리 메세지: 관리자가 관리콘솔에서 엔드포인트에 네트워크 격리 명령을 수행했을 때 엔드포인트에 표시되는 팝업창 문구 <br>해제 메세지: 관리자가 관리콘솔에서 엔드포인트에 네트워크 격리 해제 명령을 수행했을 때 엔드포인트에 표시되는 팝업창 문구
허용 IP | 네트워크 격리 시 허용할 IP를 설정 <br>(Genian NAC 와 Genian EDR서버 IP는 별도로 설정하지 않아도 통신 가능 함)

### 네트워크 접속 차단

정책|설명
---|---
접속 차단 IP 및 Port | 네트워크 격리 정책과 상관없이 접속을 차단할 **IP 및 Port** 를 입력합니다. (TCP 포트) <br> Genian EDR 서버 운영과 연관된 서버는 차단되지 않습니다.

### 백업

정책|설명
---|---
Windows VSS 백업 | 랜섬웨어 공격에 대비하여 Windows VSS를 이용한 하드디스크 파일 전체에 대한 백업을 진행합니다. <br>VSS 기능 사용 시 랜섬웨어에 의해 스냅샷이 삭제되지 않도록 **정책 > 이상행위 > 이상행위 룰 관리** 화면에서 ShadowCopy 삭제 및 문서 확장자 Rename 초과 정책의 `자동대응` 설정이 필요합니다.

### 기타

정책|설명
---|---
API Hooking 사용|다양한 이벤트를 모니터링하기 위해 API를 Hooking 합니다. <br> 타 소프트웨어와 충돌이 발생할 수 있으므로 안정성 테스트 후 적용이 필요하며, 설정 `ON/OFF` 시 PC 재부팅이 필요합니다.