Dell Threat Defense를 관리하는 방법

Dell Threat Defense 콘솔에서는 관리자가 환경의 위협을 적절히 완화할 수 있도록 "안전하지 않음" 또는 "비정상" 파일에 대한 심층 평가를 수행합니다.

파일을 평가하려면 다음을 수행합니다.

1. 콘솔에서 Protection 탭을 클릭합니다.

2. 보호 탭에서 위협을 클릭하여 자세한 정보를 얻습니다.

Cylance Score: 위협 속성에 따라 Cylance에서 1점(제한)~100점(높음)을 할당합니다.

Quarantined by users in [Tenant]: 환경(테넌트)에서 사용자가 파일에 대하여 수행한 작업입니다.

Quarantined by all Cylance users: 모든 Cylance 환경에서 사용자가 파일에 대하여 수행한 작업입니다.

Classification: 파일/위협에 대한 일반적인 식별입니다.

First Found: 환경에서 파일을 처음 발견한 때

Last Found: 환경에서 파일을 마지막으로 발견한 때

Global Quarantine: 환경의 전역 격리 목록에 파일을 추가합니다. 파일이 장치에 표시될 때마다 \q 폴더에 자동으로 격리됩니다.

Safe: 환경의 안전 목록에 파일을 추가합니다. 파일이 현재 격리되어 있는 경우 자동으로 원래 위치로 다시 배치됩니다.

SHA256: 파일/위협을 식별하는 데 사용되는 256비트의 암호화 해시입니다. 관리자는 해시를 클릭하여 알려진 문제에 대하여 Google 검색을 수행할 수 있습니다.

MD5: 파일/위협을 식별하는 데 사용되는 128비트의 암호화 해시입니다. 관리자는 해시를 클릭하여 알려진 문제에 대하여 Google 검색을 수행할 수 있습니다.

Download File: 관리자가 추가 평가 및 테스트를 위해 파일을 다운로드할 수 있습니다.

Cylance Score: 위협 속성에 따라 Cylance에서 1점(제한)~100점(높음)을 할당합니다.

AV Industry: virustotal.com 색인을 확인하여 타사 안티바이러스 엔진에서 파일을 위협으로 식별하는지 확인합니다.

Search Google: Google에서 해시 및 파일 이름을 검색하여 파일/위협에 대한 자세한 내용을 확인합니다.

환경 내에서 위협으로 잘못 식별된 파일이 있을 수 있습니다. 관리자는 이러한 파일을 전역 안전 목록에 추가하여 격리를 방지할 수 있습니다. 안전 목록에 포함되기 전에 격리된 파일은 모두 원래 위치로 돌아갑니다.

파일을 안전 목록에 추가하려면 다음을 수행합니다.

1. 콘솔에서 Protection 탭을 클릭합니다.

2. Protection 탭에서 안전 목록에 추가할 위협을 확인한 다음 Safe를 클릭합니다.

3. 작업 확인 팝업의 드롭다운 메뉴에서 파일 범주를 선택합니다. 이렇게 하면 파일/위협 분류에 도움이 됩니다.

4. 안전 목록에 추가할 이유를 작성합니다. 이렇게 하면 환경을 전체적으로 살펴볼 수 있습니다.
5. Yes를 클릭하여 안전 목록을 확인합니다.

관리자는 전역 격리 목록에 파일을 추가하여 장치를 대상으로 하지 못하게 사전에 격리할 수 있습니다.

파일을 전역으로 격리하려면 다음을 수행합니다.

1. 콘솔에서 Protection 탭을 클릭합니다.

2. Protection 탭에서 안전 목록에 추가할 위협을 확인한 다음 Global Quarantine을 클릭합니다.

3. 작업 확인 팝업에서 격리 이유를 작성합니다. 이렇게 하면 다른 관리자 및 영역 관리자가 확인하는 데 도움이 됩니다.
4. 예를 클릭하여 전역 격리를 확인합니다.

Dell Threat Defense 설치 프로그램은 테넌트 내에서 직접 사용할 수 있습니다. Dell Threat Defense를 다운로드하는 방법에 대한 단계는 Dell Threat Defense를 다운로드하는 방법을 참조하십시오.

장치에 Dell Threat Defense를 설치하려면 테넌트에서 유효한 설치 토큰을 얻어야 합니다. 설치 토큰을 얻는 방법에 대한 자세한 내용은 Dell Threat Defense용 설치 토큰을 가져오는 방법을 참조하십시오.

기본적으로 장치에는 Dell Threat Defense에 대한 제한된 로깅이 포함됩니다. 문제를 해결하거나 Dell Data Security ProSupport에 문의하기 전에 디바이스에 대한 상세 정보 로깅을 활성화하는 것이 좋습니다. 자세한 내용은 Dell Data Security 국제 지원 전화번호를 참조하십시오. 상세 정보 로깅을 활성화하는 방법에 대한 자세한 내용은 Dell Threat Defense의 상세 정보 로깅을 활성화하는 방법을 참조하십시오.

장치는 설치 제거 중에 Dell Threat Defense 콘솔에서 자동으로 제거되지 않습니다. 관리자가 테넌트 콘솔에서 장치를 수동으로 제거해야 합니다. 자세한 내용은 Dell Threat Defense 관리 콘솔에서 디바이스를 제거하는 방법을 참조하십시오.

영역 및 장치의 수에서부터 자동 격리, 위협 이벤트, 에이전트 버전에서 취급하는 장치의 백분율과 장치에 대한 오프라인 일수에 이르는 조직의 Dell Threat Defense 사용에 관한 개요를 설명합니다.

Zones: 조직의 영역 수가 표시됩니다.

Devices: 조직의 디바이스 수가 표시됩니다. 장치는 Threat Defense Agent가 등록된 엔드포인트입니다.

Policies: 조직에서 생성된 정책 수가 표시됩니다.

Files Analyzed: 조직에서 분석된 파일 수가 표시됩니다(조직의 모든 디바이스가 대상).

Threat Events: 지난 30일 동안 날짜 기준으로 그룹화한 Unsafe, Abnormal 및 Quarantined 위협 이벤트가 막대형 차트로 표시됩니다. 차트의 막대에 커서를 올리면 해당 날짜에 보고된 위협 이벤트의 총 개수가 표시됩니다.

위협은 보고된 날짜(콘솔에서 장치로부터 위협에 관한 정보를 수신한 날짜) 기준으로 그룹화됩니다. 이벤트가 발생한 시점에 장치가 온라인 상태가 아닌 경우 보고된 날짜는 실제 이벤트 날짜와 다를 수 있습니다.

디바이스 - Dell Threat Defense 에이전트 버전: Threat Defense Agent 버전을 실행하는 디바이스 수를 나타내는 막대형 차트가 표시됩니다. 차트의 막대에 커서를 올리면 해당 특정 Threat Defense Agent 버전을 실행하는 장치 수가 표시됩니다.

Offline Days: 일정 기간(0~15일, 최대 61일 이상) 동안 오프라인 상태인 디바이스의 수가 표시됩니다. 또한 각 날짜 범위에 따라 색상이 지정된 막대형 차트도 표시됩니다.

디바이스 - Dell Threat Defense 에이전트 버전: Threat Defense Agent 버전을 실행하는 디바이스 수를 나타내는 막대형 차트가 표시됩니다. 차트의 막대에 커서를 올리면 해당 특정 Threat Defense Agent 버전을 실행하는 장치 수가 표시됩니다.

위협 이벤트 요약 보고서에는 Cylance의 위협 분류 두 가지(멀웨어 및 PUP(Potentially Unwanted Program))에서 식별된 파일의 수가 표시되고 각 제품군의 특정 하위 범주 분류에 대한 분석이 포함됩니다. 또한 상위 10개에는 파일 소유자가 나열되고 위협이 있는 장치에는 맬웨어, PUP 및 이중 사용 위협군에 대한 위협 이벤트 개수가 표시됩니다.

Total Malware Events: 조직에서 식별된 멀웨어 이벤트의 총 개수가 표시됩니다.

Total PUPs Events: 조직에서 식별된 PUP 이벤트의 총 개수가 표시됩니다.

Unsafe/Abnormal Malware Events: 조직에서 확인된 Unsafe 및 Abnormal 멀웨어 이벤트의 총 개수가 표시됩니다.

Unsafe/Abnormal PUP Events: 조직에서 확인된 Unsafe 및 Abnormal PUP 이벤트의 총 개수가 표시됩니다.

Malware Event Classifications: 조직의 디바이스에서 발견된 위협 이벤트에 대한 각 멀웨어 분류 유형이 막대형 차트로 표시됩니다. 차트의 막대에 커서를 올리면 해당 분류에 대하여 나타난 멀웨어 이벤트의 총 개수가 표시됩니다.

PUP Event Classifications: 조직의 디바이스에서 발견된 위협 이벤트에 대한 PUP(Potentially Unwanted Program) 분류의 각 유형이 막대형 차트로 표시됩니다. 차트의 막대에 커서를 올리면 해당 분류에 대하여 나타난 PUP 이벤트의 총 개수가 표시됩니다.

Top 10 File Owners with the Most Threat Events: 위협 이벤트가 가장 많은 상위 10개 파일 소유자의 목록이 표시됩니다. 이 위젯에서는 맬웨어 또는 PUP 이벤트뿐만 아니라 모든 Cylance 파일 기반 위협군의 이벤트를 표시합니다.

Top 10 Devices with the Most Threat Events: 위협 이벤트가 가장 많은 상위 10개 디바이스의 목록이 표시됩니다. 이 위젯에서는 맬웨어 또는 PUP 이벤트뿐만 아니라 모든 Cylance 파일 기반 위협군의 이벤트를 표시합니다.

장치 요약 보고서에는 여러 가지 장치 중심 중요도 척도가 표시됩니다. 자동 격리 범위에는 위협 방지 범위가 표시되며 자동 격리 범위를 진행 상황 표시에 사용할 수 있습니다. 디바이스 - Threat Defense 버전 통계에서 이전 Threat Defense 에이전트를 식별할 수 있습니다. 오프라인 일수로 더 이상 Threat Defense 콘솔에 체크인하지 않고 제거 대상이 될 수 있는 장치를 나타낼 수 있습니다.

Total Devices: 조직의 총 디바이스 수가 표시됩니다. 장치는 Threat Defense Agent가 등록된 엔드포인트입니다.

Auto-Quarantine Coverage: Unsafe 및 Abnormal을 모두 자동 격리 대상으로 선택한 정책이 있는 디바이스 수가 표시됩니다. 이러한 디바이스는 활성화된 것으로 간주합니다. 비활성화된 장치는 이러한 옵션 중 하나 또는 양쪽 모두가 비활성화된 정책에 할당됩니다. 이 원형 차트에는 Unsafe, Abnormal 또는 양쪽 모두에 대해 자동 격리가 비활성화된 정책에 할당된 디바이스의 백분율이 표시됩니다.

디바이스 - Dell Threat Defense 에이전트 버전: Threat Defense Agent 버전을 실행하는 디바이스 수를 나타내는 막대형 차트가 표시됩니다. 차트의 막대에 커서를 올리면 해당 특정 Threat Defense Agent 버전을 실행하는 장치 수가 표시됩니다.

Offline Days: 일정 기간(0~15일, 최대 61일 이상) 동안 오프라인 상태인 디바이스의 수가 표시됩니다. 또한 각 날짜 범위에 따라 색상이 지정된 막대형 차트도 표시됩니다.

위협 이벤트 보고서에는 조직에서 발견된 위협 이벤트에 대한 데이터가 있습니다. 위협은 보고된 날짜(콘솔에서 장치로부터 위협에 관한 정보를 수신한 날짜) 기준으로 그룹화됩니다. 이벤트가 발생한 시점에 장치가 온라인 상태가 아닌 경우 보고된 날짜는 실제 이벤트 날짜와 다를 수 있습니다.

# of Threat Events: 조직에서 보고된 위협 이벤트가 막대형 차트로 표시됩니다. 차트의 막대에 커서를 올리면 해당 날짜에 보고된 위협 이벤트의 총 개수가 표시됩니다. 막대형 차트에는 지난 30일이 표시됩니다.

Threat Events Table: 위협 이벤트 정보가 표시됩니다.

디바이스 보고서에는 운영 체제 제품군(Windows 및 macOS)에 대한 디바이스 수가 표시됩니다.

# of Devices by OS: 주요 운영 체제 그룹(Windows 및 macOS)에 의해 구성된 디바이스와 함께 막대형 차트가 표시됩니다. 차트의 막대에 커서를 올리면 해당 운영 체제 그룹의 총 디바이스 수가 표시됩니다.

Devices Table: 조직의 디바이스에 대한 디바이스 정보 및 디바이스 이름의 목록이 표시됩니다.

Dell Threat Defense 관리자는 추가 보안 계층으로 Threat Defense 디바이스에서 애플리케이션 제거 암호를 요구하도록 설정할 수 있습니다. 자세한 내용은 Dell Threat Defense에서 제거 비밀번호를 추가 또는 제거하는 방법을 참조하십시오.

기본 구성에는 Dell Threat Defense 콘솔의 관리자로 초기 구매자만 나열됩니다. 자세한 내용은 Dell Threat Defense 관리 콘솔에 사용자를 추가하는 방법을 참조하십시오.

장치 정책은 Dell Threat Defense의 기능에 필수적입니다. 기본 구성은 "기본" 정책에서 지능형 공격 방지 기능이 꺼져 있습니다. Threat Defense를 배포하기 전에 "기본" 정책을 수정하거나 새 정책을 만드는 것이 중요합니다. 자세한 내용은 Dell Threat Defense에서 정책을 수정하는 방법을 참조하십시오.

Dell Threat Defense 콘솔에서 어떤 환경의 위협 상태에 대한 보고서를 쉽게 만들 수 있습니다. 자세한 내용은 Dell Threat Defense에서 보고서를 생성하는 방법을 참조하십시오.

Dell Threat Defense 콘솔의 기본 구성에서는 디바이스를 최신 빌드로 자동으로 업데이트합니다. Threat Defense 관리자는 프로덕션 전에 빌드를 테스트 및 파일럿 영역으로 배포할 수 있습니다(선택 사항). 자세한 내용은 Dell Threat Defense에서 업데이트를 구성하는 방법을 참조하십시오.