Dell Threat Defense 정책 권장 사항

학습 모드 또는 보호 모드에서 정책을 설정하는 것이 좋습니다. 학습 모드는 어떤 환경에서 Dell Threat Defense를 테스트할 때 권장되는 방식입니다. Dell Threat Defense가 표준 회사 이미지와 함께 엔드포인트에 배포될 때 가장 효과적입니다.

일반 디스크 I/O보다 높기 때문에 애플리케이션 서버에 대한 추가 변경이 필요할 수 있습니다.

관리자가 Dell Threat Defense 관리 콘솔에서 모든 경고를 해결한 후에는 보호 모드 정책 권장 사항으로 전환하는 것이 좋습니다. 보호 모드 정책으로 전환하기 전에 학습 모드에서 2주 이상 테스트를 수행하는 것이 좋습니다.

자세한 내용을 보려면 애플리케이션 서버 권장 사항, 학습 모드 또는 보호 모드를 클릭하십시오.

Threat Defense 정책 정의:

파일 작업

안전하지 않음에 대한 실행 제어를 하는 자동 격리

이 정책에 따라 실행 시 감지되는 파일에 어떤 일이 발생하는지가 결정됩니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 안전하지 않음은 평가된 위협 지표를 기반으로 Advanced Threat Prevention의 점수 시스템 내에서 60을 초과하는 이식 가능한 실행 파일에 대한 누적 점수에 따라 특징이 결정됩니다.

비정상에 대한 실행 제어를 하는 자동 격리

이 정책에 따라 실행 시 감지되는 파일에 어떤 일이 발생하는지가 결정됩니다. 기본적으로 안전하지 않은 파일이 실행 중인 것으로 감지되더라도 위협이 차단됩니다. 비정상은 평가된 위협 지표를 기반으로 Advanced Threat Prevention의 점수 시스템 내에서 0을 초과하지만 60은 초과하지 않는 이식 가능한 실행 파일에 대한 누적 점수에 따라 특징이 결정됩니다.

격리된 파일에 대한 자동 삭제 활성화

안전하지 않거나 비정상적인 파일이 디바이스 수준의 격리, 전역 격리 목록 또는 자동 격리 정책에 따라 격리되는 경우 로컬 디바이스의 로컬 샌드박스 격리 캐시 내에 보관됩니다. 격리된 파일에 대한 자동 삭제 활성화가 활성화된 경우 파일을 영구적으로 삭제하기 전에 로컬 디바이스에 파일을 보관하는 일 수(최소 14일, 최대 365일)를 표시합니다. 이 옵션을 활성화하면 일 수를 수정할 수 있습니다.

자동 업로드

추가 분석을 위해 Threat Defense SaaS(Software as a Service) 환경에서 보지 못한 위협을 표시합니다. 파일이 로컬 모델에 의해 잠재적 위협으로 표시되면, 이식 가능한 실행 파일에서 SHA256 해시를 가져와서 SaaS로 보냅니다. 전송된 SHA256 해시에 일치하는 위협을 찾을 수 없고 자동 업로드가 활성화되어 있는 경우 평가를 위해 SaaS로 위협을 안전하게 업로드할 수 있습니다. 이 데이터는 안전하게 저장되며 Dell 또는 파트너가 액세스할 수 없습니다.

정책 안전 목록

정책 안전 목록 은 환경 내에서 안전하다고 판단되고 SHA256 해시와 추가 정보를 이 목록에 제출하여 수동으로 면제된 파일의 목록입니다. SHA256 해시가 이 목록 내에 있을 때 파일이 실행되면 로컬 또는 클라우드 위협 모델에서 평가하지 않습니다. 이러한 경로는 "절대" 파일 경로입니다.

제외 예:

Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

보호 설정

안전하지 않은 실행 프로세스 및 하위 프로세스 삭제

안전하지 않은 실행 프로세스 및 하위 프로세스 삭제가 활성화된 경우 위협이 하위 프로세스를 생성하고 있거나 애플리케이션에서 현재 메모리 내에서 실행 중인 다른 프로세스를 취했는지를 결정합니다. 위협이 프로세스를 취했다고 확신할 수 있는 경우, 1차 위협 및 해당 위협에서 생성했거나 현재 소유하고 있는 모든 프로세스가 즉시 종료됩니다.

백그라운드 위협 감지

백그라운드 위협 감지가 활성화된 경우 전체 디바이스에서 이식 가능한 실행 파일을 검색한 다음 로컬 위협 모델을 사용하여 해당 실행 파일을 평가하고 실행 파일의 위협 지표를 기반으로 클라우드 기반 SaaS를 사용하여 실행 파일의 점수 확인을 요청합니다. 백그라운드 위협 감지에서 한 번 실행 및 반복 실행의 두 가지 옵션을 사용할 수 있습니다. 한 번 실행에서는 Threat Defense가 설치되고 활성화되는 즉시 디바이스에 연결된 모든 물리적 드라이브에 대한 백그라운드 검사를 수행합니다. 반복 실행에서는 Threat Defense가 설치되고 활성화되는 즉시 디바이스에 연결된 모든 디바이스의 백그라운드 검사를 수행하고 9일마다 검사를 반복합니다(구성할 수 없음).

새 파일 감시

새 파일 감시를 활성화하면 디바이스에 도입된 모든 이식 가능한 실행 파일이 로컬 모델을 통해 표시되는 위협 지표를 사용하여 즉시 평가되고 이 점수를 클라우드 호스팅 SaaS에 대하여 확인합니다.

파일 샘플 복사

파일 샘플 복사를 사용하면 디바이스에서 발견된 모든 위협을 UNC 경로 기반으로 정의된 리포지토리에 자동으로 에스크로할 수 있습니다. 내부 위협 연구용이나 환경 내에 패키지형 위협의 안전한 리포지토리를 보관하는 경우에만 권장됩니다. 파일 샘플 복사로 저장된 모든 파일은 비밀번호로 infected를 사용하여 압축됩니다.

Agent 설정

로그 파일 자동 업로드 활성화

로그 파일 자동 업로드를 활성화하면 엔드포인트가 자정 또는 파일이 100MB에 도달할 때 Dell Threat Defense의 로그 파일을 업로드할 수 있습니다. 로그는 파일 크기에 관계없이 야간에 업로드됩니다. 전송되는 모든 로그는 네트워크에서 나가기 전에 압축됩니다.

데스크탑 알림 활성화

디바이스 사용자는 데스크탑 알림 활성화를 사용하여 파일이 비정상 또는 안전하지 않음으로 표시된 경우 디바이스에서 프롬프트를 사용할 수 있습니다. 이 옵션은 이 정책이 활성화된 엔드포인트의 Dell Threat Defense 트레이 아이콘에서 마우스 오른쪽 단추를 클릭하면 나타나는 메뉴에 있습니다.

스크립트 컨트롤

스크립트 컨트롤

스크립트 제어는 디바이스에서 실행 중인 스크립트를 확인하고 스크립트 유형에 대한 정책이 차단으로 설정된 스크립트를 막기 위해 메모리 필터 기반의 솔루션을 통해 작동합니다. 이러한 정책에 대한 알림 설정은 Dell Threat Defense 콘솔 및 로그에서 차단되었을 스크립트만 기록합니다.

1370 이하

이러한 정책은 2016년 6월 이전에 사용 가능한 1370 이전의 클라이언트에 적용됩니다. 활성 스크립트와 PowerShell 기반 스크립트만 이러한 버전에서 작동합니다.

1380 이상

이러한 정책은 2016년 6월 이후에 사용 가능한 1370 이후의 클라이언트에 적용됩니다.

활성 스크립트

활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.

PowerShell

PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다. (기본 설정 - 알림)

PowerShell 콘솔 사용 차단 - (PowerShell이 알림으로 설정된 경우 표시되지 않음)

PowerShell v3(Windows 8.1에서 도입) 이상에서 대부분의 PowerShell 스크립트는 한 줄 명령으로 실행됩니다. 여러 줄이 포함되어 있는 경우에도 순서대로 실행됩니다. 이 경우 PowerShell 스크립트 인터프리터를 우회할 수 있습니다. PowerShell 콘솔 차단은 애플리케이션이 PowerShell 콘솔을 실행하게 하는 기능을 비활성화하여 이 문제를 해결합니다. ISE(Integrated Scripting Environment)는 이 정책의 영향을 받지 않습니다.

매크로

매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.

스크립트 제어 비활성화

이러한 정책은 각 정책 내에서 정의된 스크립트 유형에 대한 경고 기능도 완전히 비활성화합니다. 비활성화하면 로그를 수집하지 않으며 잠재적 위협을 감지하거나 차단하려는 시도를 하지 않습니다.

활성 스크립트

선택하면 로그 수집을 막고 잠재적인 활성 스크립트 기반 위협을 차단합니다. 활성 스크립트에는 JavaScript, VBScript, 배치 파일 등 Windows Script Host에서 해석하는 스크립트가 포함됩니다.

PowerShell

선택하면 로그 수집을 막고 잠재적인 PowerShell 기반 위협을 차단합니다. PowerShell 스크립트에는 단일 명령으로 실행되는 모든 여러 줄 스크립트가 포함되어 있습니다.

매크로

선택하면 로그 수집을 막고 잠재적인 매크로 기반 위협을 차단합니다. 매크로 설정은 Office 문서 및 PDF 내에 있는 매크로를 해석하고 위협 다운로드를 시도할 수 있는 악성 매크로를 차단합니다.

폴더 제외(하위 폴더 포함)

폴더 제외 기능을 사용하면 스크립트가 실행될 수 있는 폴더 중에서 제외할 수 있는 것을 정의할 수 있습니다. 이 섹션에서는 상대 경로 형식의 제외 항목을 묻습니다.

• 폴더 경로는 로컬 드라이브, 매핑된 네트워크 드라이브 또는 UNC(Universal Naming Convention) 경로일 수 있습니다.
• 스크립트 폴더 제외에서 폴더 또는 하위 폴더의 상대 경로를 지정해야 합니다.
• 지정된 폴더 경로에는 하위 폴더도 포함됩니다.
• 와일드카드 제외는 Windows 컴퓨터에서 UNIX 스타일의 슬래시를 사용해야 합니다. 예: /windows/system*/가 표시될 수 있습니다.
• 와일드카드에는 * 문자만 지원됩니다.
• 와일드카드를 포함하는 폴더 제외는 폴더와 파일을 구분하기 위해 경로 끝에 슬래시가 필요합니다.
  • 폴더 제외: /windows/system32/*/
  • 파일 제외: /windows/system32/*
• 폴더 깊이의 각 수준에 와일드카드를 추가해야 합니다. 예를 들어, /folder/*/script.vbs는 \folder\test\script.vbs 또는 \folder\exclude\script.vbs와 일치하지만 \folder\test\001\script.vbs에 대해서는 작동하지 않습니다. 이 작업에는 /folder/*/001/script.vbs 또는 /folder/*/*/script.vbs이 필요합니다.
• 와일드카드로 전체 및 부분을 제외할 수 있습니다.
  • 전체 와일드카드 예: /folder/*/script.vbs
  • 부분 와일드카드 예: /folder/test*/script.vbs
• 네트워크 경로에도 와일드카드가 지원됩니다.
  • //*/login/application
  • //abc*/logon/application

올바른 예(Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
올바른 예(Windows): \Cases\ScriptsAllowed
잘못됨: C:\Application\SubFolder\application.vbs
잘못됨: \Program Files\Dell\application.vbs

와일드카드 예:

/users/*/temp 다음을 다룹니다.

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs 다음을 다룹니다.

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs