이상행위 탐지 정책 설정 방법

모든 엔드포인트는 이상행위 룰셋에 등록된 기본 룰셋을 적용받습니다.
특정 엔드포인트에 별도의 이상행위 룰 적용이 필요한 경우 룰셋을 추가하여 해당 엔드포인트가 속한 그룹 정책에 별도로 생성한 룰셋을 적용받도록 설정할 수 있습니다.

이상행위 탐지 설정

기본 룰셋

항목 설명
카테고리 Insights E Rule 과 MITRE ATT&CK Rule 을 지원합니다.
이름 미리 정의된 진단명 입니다.
OS 이상행위 진단이 가능한 OS 이며, 현재는 windows 만 지원합니다.
사용 이상행위 진단 룰 사용 여부 옵션입니다. (기본값: on)
이벤트 타입 이상행위 진단 시 이벤트 타입(file, Module, Network, process, Registry)에 따라 진단하는 정책이 달라집니다.
신뢰도 내부적으로 정의되어있는 신뢰도 입니다.
위협 유형 위협 유형은 8개의 카테고리(Anomaly,Autorun,Exploit,Fake,LateralMovement,Ransomware,Rootkit,UacBypass) 로 분류됩니다.
MITRE ATT&CK Technique MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge-공격자 관점의 전술, 기술, 절차를 프레임워크로 제공하는 지식 베이스) 정보를 제공합니다.
MITRE ATT&CK Technique 정보가 있는 경우 클릭 시 해당 정보 site로 이동합니다.
자동대응 이상행위 룰에 의한 이상행위 탐지 시 자동으로 대응할 방법(알림,프로세스 강제종료,대응 안함)을 설정합니다.
예외 이상행위 룰은 기본으로 진단을 하도록 설정이 되어 있으나, 이상행위 룰을 사용하지 않을 예외 규칙 설정을 할 수 있습니다.
정책 > 이상행위 관리 > 진단 예외 설정 에서 예외 규칙을 작성하고 예외처리를 반영할 룰을 선택하거나, 이상행위 룰 관리 상세 화면에서 직접 예외처리 규칙을 설정할 수 있습니다.
설명 이상행위 규칙에 대한 관리자 memo를 입력합니다.

룰셋 추가

기본 룰셋 이외에 특정 엔드포인트만 적용 or 제외해야할 규칙이 있는 경우 예외가 적용된 룰셋을 추가할 수 있습니다.

  1. 추가 버튼을 클릭, 복사할 룰셋 선택 후 생성 버튼을 클릭합니다.
  2. 다르게 적용할 룰셋을 수정한 후 저장 및 상단의 정책 즉시 적용 버튼을 클릭합니다.
  3. 정책 > 그룹 정책 관리 > 그룹 정책 목록 메뉴 내 생성된 정책의 상세 화면에서 1에서 생성한 이상행위 룰셋을 선택 후 저장 및 정책 즉시 적용을 수행합니다.

이상행위 탐지 시 대응

이상행위 정책에 의한 탐지 시, 오탐 및 빈번한 알람이 발생할 수 있어서 기본 대응은 관리콘솔에서 관리자만 인지할 수 있도록 되어 있습니다.
단말(PC)에 알림이 필요하거나, 이상행위 발생 프로세스의 종료가 필요한 경우 자동대응 설정을 통해 위협 대응을 할 수 있습니다.

  1. 대응설정을 할 이상행위 룰 이름을 클릭, 상세 설정에서 자동대응을 선택합니다.
  2. 자동대응 선택 시 왼쪽 상단에 저장 버튼을 클릭해야 변경사항이 반영되며, 저장 완료 후 오른쪽 상단의 정책 즉시 적용 버튼을 클릭해야 에이전트에 정책이 전달 됩니다.
  3. 자동대응 설정한 이상행위가 탐지되면 분석 > 위협 관리 메뉴에서 해당 위협의 요약 정보에 자동 대응 정책 항목을 확인할 수 있습니다.

이상행위 탐지 예외 설정

이상행위 엔진은 관리콘솔에 미리 정의된 이상행위 규칙을 탐지합니다.

오탐을 줄이기 위해 탐지 전에 미리 예외 정책을 설정하거나, 오탐이 된 이후 위협 관리를 통해 예외 처리할 수 있습니다.

탐지 전 진단 예외 설정

진단 예외 설정 생성

  1. 정책 > 이상행위 관리 > 진단 예외 설정 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.
  2. 규칙 명, 동작모드 및 예외 규칙 설정 후 저장 버튼을 클릭합니다.
- 항목 설명
예외 적용 방식 전체 모든 엔드포인트에 진단 예외 정책을 적용합니다.
예외 적용 방식 미적용대상 설정 예외처리를 적용하지 않을 대상을 설정합니다.
예외 적용 방식 적용대상 설정 예외처리를 적용할 대상을 설정합니다.

정책 적용 대상은 IP 또는 부서 정보 입력을 통해 설정할 수 있습니다. 정책 예외처리 대상 설정 후 나머지 상세 정보를 입력 후 저장 버튼을 클릭합니다.
3. 사용자가 등록한 예외 설정을 목록에서 확인할 수 있으며, 오른쪽 상단 메뉴 옆 정책 즉시 적용 버튼을 클릭합니다.
4. 정책 적용 팝업창이 표시 되며, 확인 버튼을 클릭하면 엔드포인트에 즉시 적용됩니다.

진단 예외 설정 수정

  1. 정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단 예외 설정 메뉴로 이동 후 수정 할 규칙명을 클릭합니다.
  2. 규칙 수정 후 저장 버튼을 클릭합니다.
  3. 오른쪽 상단 메뉴 옆 정책 즉시 적용 버튼을 클릭합니다.
  4. 정책 적용 팝업창이 표시 되며, 확인 버튼을 클릭하면 엔드포인트에 즉시 적용됩니다.

진단 예외 설정 삭제

  1. 정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단 예외 설정 메뉴로 이동 후 삭제 할 목록의 체크 박스를 선택합니다. 삭제 버튼이 활성화되면 클릭합니다.

진단 예외 설정 엑셀 내보내기

  1. 정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단예외설정 메뉴로 이동 후 왼쪽 상단의 저장 버튼을 클릭, 내보내기 메뉴를 클릭합니다.
  2. 1에서 목록을 선택하지 않으면 현재 등록된 목록 전체를 내보내며, 목록 선택 시 선택한 항목만 내보내기 할 수 있습니다.

진단 예외 설정 엑셀 가져오기

  1. 정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단예외설정 메뉴로 이동 후 왼쪽 상단의 저장 버튼을 클릭, 가져오기 메뉴를 클릭합니다.
  2. 관리자 페이지에 등록된 목록에 엑셀 목록을 덮어 쓰거나 등록된 목록 삭제 후 엑셀 파일에 등록된 목록만 등록할 수 있습니다.
  3. 기존 데이터 유지 는 서버에 A라는 데이터가 존재하고, 엑셀 파일에 동일하게 A 데이터가 존재했을 때 기존 데이터 유지를 선택하고 파일을 업로드 하면 기존 데이터 유지 카운트가 표시됩니다.

탐지 후 진단 예외 설정

오탐으로 진단된 이상행위는 관리콘솔에서 관리자가 직접 예외처리 할 수 있습니다.

  1. 분석 > 위협 > 위협관리 메뉴로 이동 합니다.
  2. 위협으로 탐지된 목록 중 예외처리 할 이상행위 탐지목록의 오른쪽 화면에 위협 분석 버튼을 클릭합니다.
  3. 탐지된 위협에 대한 상세 정보 화면이 표시되며, 오른쪽 상단의 위협 관리 (신규) 버튼을 클릭합니다.
  4. 위협 관리 상세 화면이 펼쳐지며, 내가 담당하기 버튼을 클릭합니다.
  5. 위협 판정에서 안전 라디오 버튼을 선택하면 진단 예외 설정-진단 예외 규칙 추가 파란색 버튼이 활성화 됩니다. 진단 예외 규칙 추가 버튼을 클릭합니다.
  6. 오탐으로 진단되었던 프로세스 명 또는 파일 경로 또는 의심 파일 경로가 자동으로 작성된 진단 예외 규칙 추가 팝업창이 발생하며, 규칙명을 자유롭게 입력 후 저장 버튼을 클릭합니다.
  7. 진단 예외 규칙 추가 버튼 아래 설정 완료 버튼을 클릭하여, 예외 설정을 완료합니다.
  8. 오른쪽 상단에 정책 즉시 적용 버튼이 깜빡이며, 클릭하여 예외 정책을 에이전트에 즉시 적용하도록 합니다.
  9. 다음에 예외설정과 동일한 행위가 발생하는 경우, 이상행위로 진단에서 예외처리 됩니다.
  10. 위협 관리 화면에서 예외처리한 내용은 정책 > 이상행위 관리 > 이상행위 룰 관리 > 진단 예외 설정 메뉴로 이동, 목록에서 확인할 수 있습니다.