위협 알림

이메일 알림

Genian EDR은 관리자 계정에 설정된 메일로 위협 알림 및 리포트를 메일링 서비스를 제공합니다.

메일서버 설정

  1. 관리 > 설정 > 환경설정 > 시스템 페이지로 이동하여 메일서버를 먼저 설정 합니다. 서버 설정 시 모든 정보를 빠짐없이 작성하여야 하며, 설정 테스트를 통해 정상 동작 여부를 확인할 수 있습니다.

항목

내용

연결보안방식

SMTP(25),SMTPS(465), MSA/STARTTLS(587)을 지원합니다.

서버포트

연결보안방식과 동일한 포트를 입력합니다.

사용자 계정 설정

  1. 관리 > 설정 > 관리자에서 관리자 계정로 이동하여 리포트를 전송받을 계정을 클릭합니다.

  2. 사용자 수정 화면에서 이메일 알림에 제공 받을 정보를 선택하고, 추가 정보에 리포트를 전송받을 메일 주소를 입력 후 수정 버튼을 클릭합니다.

항목

설명

위협알람

1시간 이내에 발생한 위협 정보를 메일로 전송합니다. (매 시간마다 제공)

디스크 사용률 알람

EDR 장비의 디스크 사용률이 기본값(70%) 초과 시 관리자 이메일로 사용률 초과에 대한 내용을 전송합니다.

일간 위협 리포트

24시간동안 발생한 위협 정보를 종합하여 해당 리포트를 메일로 전송합니다. (1일 1회, 01:00)

관리자별 위협 알림을 받을 수 있습니다.

엔드포인트 알림

Note

정책 > 그룹 정책 관리 > 에이전트 중 알림 메세지 표시가 사용으로 설정돼 있어야 합니다.

엔드포인트 알림은 에이전트가 설치된 단말에서 위협 탐지시 팝업 알림 기능을 의미합니다.

관리자 알림 설정

  1. 관리 > 설정 > 관리자의 에이전트 알림 > 위협 알람 설정을 클릭합니다.

  2. 알림창을 표시할 관리자 PC의 Device ID를 입력합니다.

Device ID분석 > 엔드포인트 목록 단말의 기본 정보 탭에서 확인할 수 있습니다.

엔드포인트 알림 설정

정책 > 그룹 정책 관리 > 대응에서 정책별 엔드포인트 알림 설정을 할 수 있습니다.
XBA 탐지 알림 설정은 개별 XBA 룰에 대해 알림 설정이 필요합니다.

항목

설정

설명

알려진 악성코드 대응-에이전트 팝업표시

사용안함 /Low/Medium/High

YARA, IOC DB에 등록된 위험 프로세스를 탐지할 경우 에이전트 팝업을 통해 사용자에게 알려줄 지 여부를 선택합니다.

알려지지 않은 악성코드 대응-에이전트 알림 메시지

사용안함/ML.Medium/ML.High

머신러닝에 의한 탐지 시 에이전트 팝업을 통해 사용자에게 표시할 최소 위험도를 설정합니다.

악성IP 대응-에이전트 팝업표시

사용안함/사용함

IOC DB에 등록된 악성 IP로 접속을 탐지할 경우 에이전트 팝업을 통해 사용자에게 알려줄 지 여부를 선택합니다.

정책 설정 후, 분석 > 엔드포인트 그룹 설정 페이지의 정책 설정 또는 개별 엔드포인트 상세 화면에서 정책명을 통해 설정 가능합니다.