Dell Endpoint Security Suite Enterprise 고급 위협 방지 감지 방법에 대한 업데이트

영향을 받는 제품:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

영향을 받는 버전:

• 1.2.137x 
• 1.2.139x
• 2.0.145x

Dell Data Protection의 Advanced Threat Protection 제품 Dell Threat Defense 및 Dell Endpoint Security Suite Enterprise에는 위협 평가 방식을 변경하는 업데이트가 가끔 있을 수 있습니다. 이러한 업데이트는 위협 모델에 대한 업데이트이므로 일반적으로 "모델" 업데이트로 참조됩니다.

사용자가 새 모델이 조직에 미치는 영향을 알 수 있도록 콘솔의 보호 페이지에는 두 개의 열이 있습니다. 운영 상태 및 새 상태 비교를 사용하여 모델이 영향을 받은 대로 변경되는 디바이스의 파일을 확인할 수 있습니다.

사용자는 전체 운영 롤아웃 전에 새 모델을 테스트해야 합니다. 이렇게 하면 모델 변경으로 인한 의도하지 않은 운영 중단이 최소화됩니다.

알고 있어야 할 시나리오는 다음과 같습니다.

• 현재 모델에서 안전으로 간주된 파일이 새 모델에서 안전하지 않음으로 변경될 수 있습니다. 조직에 해당 파일이 필요한 경우 안전 목록에 추가할 수 있습니다.
• 현재 모델을 보거나 채점한 적이 없는 파일이며 새 모델은 안전하지 않다고 간주합니다. 조직에 해당 파일이 필요한 경우 안전 목록에 추가할 수 있습니다.

새 보호 열

두 열은 다음과 같습니다. 운영 상태 및 새 상태:

• 운영 상태: 파일에 대한 현재 모델 상태(안전, 비정상 또는 안전하지 않음)를 표시합니다.
• 새 상태: 새 모델에서 파일의 모델 상태를 표시합니다.

위협 점수가 변경된 조직의 디바이스에서 발견된 파일만 표시됩니다. 일부 파일은 위협 점수가 변경될 수 있지만 현재 상태 내에 남아 있을 수 있습니다.

예:

파일의 위협 점수는 10에서 20으로, 파일 상태가 비정상으로 유지되고 업데이트된 모델 목록에 파일이 나타납니다(이 파일이 조직의 디바이스에 있는 경우).

현재 모델 및 새 모델 열을 보려면 다음을 수행합니다.

1. Dell Data Protection Remote Management Console에 로그인하고 Populations -> Enterprise -> Advanced Threat를 선택한 다음 Protection 탭을 선택합니다.
2. 열 머리글에서 아래쪽 화살표를 클릭합니다.
3. 운영 상태 및 새 상태 열을 선택합니다.
4. 아래쪽 화살표를 클릭하거나 페이지의 아무 곳이나 클릭하여 열 옵션 메뉴를 닫습니다.

이제 두 위협 모델 간의 차이점을 검토할 수 있습니다.

알고 있어야 할 두 가지 시나리오는 다음과 같습니다.

• 현재 모델 = 안전, 새 모델 = 비정상 또는 안전하지 않음
• 조직에서 파일을 안전으로 간주하거나 분류가 신뢰할 수 있는 로컬로 간주합니다.
• 조직에 AQT(Auto Quarantine)로 비정상 또는 안전하지 않은 설정이 설정되어 있습니다.
• 현재 모델 = Null(표시되지 않거나 채점되지 않음), 새 모델 = 비정상 또는 안전하지 않음
• 조직에서 파일을 안전으로 간주하거나 분류가 신뢰할 수 있는 로컬로 간주합니다.
• 조직에 AQT(Auto Quarantine)로 비정상 또는 안전하지 않은 설정이 설정되어 있습니다.

위의 시나리오에서는 조직에서 허용하려는 파일을 안전 목록에 두는 것이 좋습니다.

분류 식별

조직에 영향을 미칠 수 있는 분류를 식별하려면 다음 접근 방식을 권장합니다.

• 새 모델 열에 필터를 적용하여 안전하지 않음, 비정상 및 격리된 파일을 모두 표시합니다. 정책이 자동 격리로 설정된 경우 이러한 위협이 격리되었기 때문에 안전하지 않거나 비정상적인 파일을 볼 수 없습니다.
• 모든 안전 파일을 표시하려면 운영 상태 열에 필터를 적용합니다.
• 분류 열에 필터를 적용하여 Trusted - Local 위협만 표시합니다. Trusted - 로컬 파일은 Dell의 ATP와 함께 분석되고 안전한 것으로 확인됩니다(검토 후 이러한 항목을 안전 목록에 추가). 필터링된 목록에 많은 파일이 있는 경우 더 많은 속성을 사용하여 우선 순위를 지정해야 할 수 있습니다. 예: 백그라운드 감지 열에 필터를 추가하여 실행 제어에서 발견된 위협을 검토합니다. 사용자가 애플리케이션을 실행하려고 시도했을 때 백그라운드 위협 탐지 또는 파일 감시자가 유휴 파일보다 더 긴급하게 주의를 기울여야 할 때 이러한 위험이 있습니다.

그림 1: (영어로만 제공) 지능형 위협 

권장 운영 롤아웃

이 섹션에서는 사용자가 최신 예측 모델로 업그레이드하는 데 도움이 되는 전략을 간략하게 설명합니다. 안전하지 않음 및 비정상 파일에 대해 활성화된 자동 격리 정책에 에이전트를 할당하는 것이 좋습니다.

자동 격리를 통한 자동 업데이트

에이전트가 자동 업데이트로 설정된 경우 새 예측 모델이 출시될 때 에이전트에 대한 자동 업데이트를 비활성화해야 합니다. 자동 격리를 비활성화하거나 새 에이전트를 테스트할 수 없는 경우 Dell Data Protection Administrator에게 경고합니다. 사용자를 차단 해제하도록 잘못 분류된 항목을 안전 목록에 추가하려고 할 수 있습니다.

자동 격리를 사용한 수동 업데이트

에이전트를 수동으로 업데이트하는 경우 자동 업데이트는 문제가 되지 않습니다. 상담원을 업데이트하기 전에 다음 지침을 사용하는 것이 좋습니다.

1. 대표 컴퓨터 세트에서 새 에이전트(새 모델 포함)를 테스트합니다. 이러한 테스트 머신은 자동 격리 정책에 배치되는 것이 이상적입니다. 안전 애플리케이션이 차단되는 경우 안전 목록에 파일을 추가합니다.
2. 테스트가 완료되면 새 에이전트를 모든 컴퓨터에 배포합니다.

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.