Dell Endpoint Security Suite Enterprise Advanced Threat Prevention 빠른 시작 가이드 v2.
참고, 주의 및 경고 노트: 참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: 주의사항은 하드웨어의 손상 또는 데이터 유실 위험을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: 경고는 재산 손실, 신체적 상해 또는 사망 위험이 있음을 알려줍니다. © 2012-2020 Dell Inc. All rights reserved. Dell, EMC 및 기타 상표는 Dell Inc. 또는 자회사의 상표입니다. 기타 상표는 각 소유자의 상표일 수 있습니 다.
목차 장 1: 소개........................................................................................................................................ 4 Dell ProSupport에 문의........................................................................................................................................................ 4 장 2: 시작하기................................................................................................................................. 5 테넌트 프로비저닝.......................................
1 소개 이 가이드에서 설명하는 작업을 수행하기 전에 다음 구성 요소를 설치해야 합니다. ● Endpoint Security Suite Enterprise - Endpoint Security Suite Enterprise 고급 설치 가이드 또는 Endpoint Security Suite Enterprise 기 본 설치 가이드를 참조하십시오. ● Security Management Server 또는 Security Management Server Virtual 서버 - Security Management Server 설치 및 마이그레이션 가이드 또는 Security Management Server Virtual 서버 퀵 스타트 및 설치 가이드를 참조하십시오. 이 가이드는 Advanced Threat Prevention의 기본 관리에 대해 설명하며 Management Console에서 사용 가능한 관리자 도움말에서 사 용할 수 있습니다.
2 시작하기 이 장에서는 Advanced Threat Prevention 관리를 시작하기 위한 권장 단계를 상세히 설명합니다. Advanced Threat Prevention 관리를 시작하는 권장 단계는 다음과 같이 구성됩니다. ● Advanced Threat Prevention의 테넌트 프로비저닝 ○ Advanced Threat Prevention 배포를 위한 필수 요소 ○ Dell Server에 Advanced Threat Prevention 라이센스가 있어야 합니다. ● Advanced Threat Prevention 에이전트 자동 업데이트 구성 ○ Advanced Threat Prevention 자동 업데이트 등록(선택 사항) ○ 업데이트는 매월 릴리스됩니다.
프로비저닝 및 에이전트 통신 다음 다이어그램은 Advanced Threat Prevention 서비스 프로비저닝 프로세스를 보여 줍니다.
다음 그림은 Advanced Threat Prevention 에이전트 통신 프로세스를 보여 줍니다. 다음 다이어그램은 Dell Server 아키텍처와 통신을 보여 줍니다.
BIOS 이미지 무결성 확인 활성화 Advanced Threat Prevention용 마스터 스위치가 활성화되면 BIOS 이미지 무결성 확인 정책이 기본값으로 활성화되어 있습니다. BIOS 이미지 무결성 확인 프로세스 개요는 BIOS 이미지 무결성 확인 프로세스를 참조하십시오. 확인 프로세스 다음 다이어그램은 BIOS 이미지 무결성 확인 프로세스를 보여 줍니다.
Management Console에서 BIOS 보증 활성화 정책이 선택되어 있으면 Cylance 테넌트가 엔드포인트 컴퓨터에서 BIOS 해시의 유효성 을 검사해 Dell 초기 버전에서 BIOS가 수정되지 않았음을 확인합니다. 수정된 경우 공격 벡터의 가능성이 있습니다. 위협이 감지되면 Dell Server에 알림이 전달되고 IT 관리자가 Remote Management Console에서 경고를 받습니다. 프로세스 개요는 BIOS 이미지 무결성 확인 프로세스를 참조하십시오. 노트: 사용자 지정 출하 시 이미지는 BIOS가 수정되었기 때문에 이 기능과 함께 사용할 수 없습니다.
BIOS 이미지 무결성 확인이 지원되는 Dell 컴퓨터 모델 ● ● ● ● ● ● ● ● ● Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● Precision 워크스테이션 3620 Precision 워크스테이션 7510 Precision 워크스테이션 7710 Precision 워크스테이션 T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 Advanced Threat Prevention 에이전트 자동 업데이트 구 성 Management Console에서 Advanced Threat Prevention 에이전트 자동 업데이트를 받도록 등록할 수 있습
2. 해당 관리자의 사용자 이름을 표시하는 행을 검색하거나 선택해 사용자 세부 정보를 표시합니다. 3. 오른쪽 창에서 관리자 역할을 보거나 수정합니다. 4. 저장을 클릭합니다. 노트: Dell에서는 사용자 수준이 아니라 그룹 수준에서 관리자 역할을 할당할 것을 권장합니다. 그룹 수준에서 관리자 역할을 보거나 할당하거나 수정하려면 다음 단계를 따르십시오. 1. 2. 3. 4. 왼쪽 창에서 개체 > 사용자 그룹을 클릭합니다. 그룹 이름을 검색하거나 선택한 뒤 관리 탭을 클릭합니다. 사용자 그룹 세부사항 페이지가 표시됩니다. 그룹에 할당된 관리자 역할을 선택하거나 선택을 취소합니다. 저장을 클릭합니다. 관리자 권한이 있는 그룹을 제거했다가 나중에 그룹을 다시 추가해도 관리자 그룹이 유지됩니다. 사용자 수준에서 관리자 역할을 보거나 할당하거나 수정하려면 다음 단계를 따르십시오. 1. 2. 3. 4. 왼쪽 창에서 개체 > 사용자를 클릭합니다. 사용자 이름, 그 후 Admin 탭을 검색 및 선택합니다.
3 정책 이 장에서는 Advanced Threat Prevention의 정책 관리에 대해 자세히 설명합니다. ● Advanced Threat Prevention 사용 ● 권장 정책 설정 ● 정책 수정 커밋 Advanced Threat Prevention 정책의 전체 목록과 해당 설명을 보려면 Management Console에서 사용 가능한 관리자 도움말을 참조하 십시오. Advanced Threat Prevention 사용 Advanced Threat Prevention 정책은 기본적으로 꺼짐으로 전환되며, 켜짐으로 전환해야 Advanced Threat Prevention 정책을 활성화할 수 있습니다. Advanced Threat Prevention 정책은 엔터프라이즈, 끝점 그룹 및 끝점 수준에서 사용할 수 있습니다. 엔터프라이즈 수준에서 Advanced Threat Prevention 정책을 활성화하려면 다음 단계를 따르십시오. 1. 왼쪽 창에서 개체 > 엔터프라이즈를 클릭합니다. 2.
4 위협 이 장에서는 Advanced Threat Prevention을 설치한 후 엔터프라이즈 환경에서 발생하는 위협을 식별하고 관리하는 방법을 자세히 설 명합니다. ● 위협 식별 ○ 위협 이벤트 보기 ○ Cylance 점수 및 위협 모델 업데이트 ○ 상세 위협 데이터 보기 ● 위협 관리 ○ 위협 데이터를 CSV로 내보내기 ○ 전역 격리 목록 관리 위협 식별 이메일 및 대시보드 알림 Threat Protection 및 Advanced Threat 이벤트에 대한 이메일 알림을 설정한 경우 관리자에게 Advanced Threat Prevention 이벤트 및 위협에 대한 이메일 알림이 전송됩니다. Management Console의 대시보드 알림 요약에는 Threat Protection 및 Advanced Threat 이벤트 알림 유형으로 Advanced Threat Prevention의 위협 및 이벤트가 표시됩니다.
레이블 심각도 세부사항 후에 실행 파일 또는 스크립트가 종료되었습니다. 일반적으로 이는 설 명된 관련 메모리 보호 또는 스크립트 제어 정책이 종료로 설정되었음 을 의미합니다. MemoryViolation 경고 실행 파일 또는 스크립트가 메모리 보호 또는 스크립트 제어 정책을 위 반하고 있는 것으로 확인되었음을 나타냅니다. 실행 파일 또는 스크립 트에 대해 취해진 조치가 없는데, 이는 정책이 허용으로 설정되었기 때 문일 수 있습니다. ThreatRemoved 정보 이전에 위협으로 간주되어 플래그가 지정된 PE(Portable Executable)가 엔드포인트에서 제거되었음을 나타냅니다. 이 레이블은 PE가 격리에 서 제거되었거나 초기 위치에서 제거되었음을 의미할 수 있습니다. 이 레이블은 이동식 미디어(USB, CD-ROM 등)에서 처음에 탐지되었던 PE에서 흔히 볼 수 있습니다.
● 데이터 정렬 - 열 헤더를 클릭합니다. ● 열 기준으로 그룹화 - 녹색으로 바뀔 때까지 열 헤더를 위로 끕니다. 고급 위협 이벤트 탭 Advanced Threat 이벤트 탭은 전체 엔터프라이즈에 대한 이벤트를 Dell Server에서 사용 가능한 정보에 기반해 표시합니다. Advanced Threat Prevention 서비스가 프로비저닝되고 라이센스가 사용 가능한 경우 탭이 표시됩니다. Advanced Threat 이벤트 탭에서 데이터를 내보내려면 내보내기를 클릭하고 Excel 또는 CSV 파일 형식을 선택합니다. 노트: Excel 파일은 65,000행으로 제한됩니다. CSV 파일은 크기 제한이 없습니다. Cylance 점수 및 위협 모델 업데이트 비정상이나 안전하지 않음으로 간주되는 각 파일에 Cylance 점수가 할당됩니다. 점수는 파일이 맬웨어라는 신뢰 수준을 나타냅니다. 숫자가 높을수록 신뢰 수준이 높습니다.
위협은 맬웨어/익스플로잇, 웹 필터, 방화벽 또는 분류되지 않은 이벤트로 분류됩니다. 위협 이벤트 목록은 열 헤더를 기준으로 정렬 할 수 있습니다. 전체 엔터프라이즈 또는 특정 엔드포인트에 대한 위협 이벤트를 볼 수 있습니다. 특정 엔드포인트의 위협 이벤트를 보려면 엔터프라이즈 위협 이벤트 탭의 장치 ID 열에서 장치를 선택합니다. 엔터프라이즈의 위협 이벤트를 보려면 다음 단계를 따르십시오. 1. 왼쪽 창에서 개체 > 엔터프라이즈를 클릭합니다. 2. 위협 이벤트 탭을 클릭합니다. 3. 원하는 심각도와 이벤트를 표시할 기간을 선택합니다. 특정 엔드포인트의 위협을 보려면 다음 단계를 따르십시오. 1. 왼쪽 창에서 개체 > 엔드포인트를 클릭합니다. 2. 호스트 이름을 검색하거나 선택한 다음 위협 이벤트 탭을 클릭합니다. 위협 관리 격리, 안전 목록, 면제, 위협 내보내기를 수행할 수 있습니다. Enterprise 수준에서 다음과 같은 작업을 수행합니다.
3. 에이전트를 선택합니다. 4. 특정 에이전트 이름을 선택하고 위협 내보내기, 격리, 또는 면제와 같은 적절한 명령을 선택합니다.
5 연결되지 않은 모드 연결되지 않은 모드를 사용하여 Dell Server는 인터넷 또는 외부 네트워크에 클라이언트를 연결하지 않고 Advanced Threat Prevention 엔드포인트를 관리할 수 있습니다. 또한 연결되지 않은 모드에서 Dell Server는 인터넷 연결이나 프로비저닝되고 호스트된 Advanced Threat Prevention 서비스 없이 클라이언트를 관리할 수 있습니다. Dell Server는 연결되지 않은 모드에서의 모든 이벤트와 위협 데이 터를 수집합니다. Dell Server가 연결되지 않은 모드에서 실행되는지 확인하려면 Remote Management Console 오른쪽 맨 위의 기어 아이콘을 클릭하고 정보를 선택합니다. 정보 화면은 Dell Server가 Dell Server 버전 아래의 연결되지 않은 모드에 있다는 것을 나타냅니다. 연결되지 않은 모드는 다음에서 Dell Server의 연결된 기본 설치와 다릅니다.
이러한 정책은 Dell Server에서 접두사가 “DELLAG"인 연결되지 않은 모드 설치 토큰을 감지하는 경우에만 Advanced Threat Prevention 클라이언트에 전송됩니다. 이러한 정책 예시는 관리자 도움말을 참조하십시오. Advanced Threat Prevention이 잠재적 위협으로 식별한 파일을 보려면 엔터프라이즈 > 고급 위협 이벤트 탭으로 이동합니다. 이 탭에 는 전체 엔터프라이즈의 이벤트 목록 정보와 차단, 종료 등과 같이 수행된 조치가 포함되어 있습니다.
6 문제 해결 Advanced Threat Prevention 복구 서비스 복구 Advanced Threat Prevention 서비스를 복구하려면 인증서를 백업해 두어야 합니다. 1. Management Console의 왼쪽 창에서 관리 > 서비스 관리를 클릭합니다. 2. Advanced Threat Prevention 서비스 복구를 클릭합니다. 3. 서비스 복구 가이드를 따르고 메시지가 표시되면 Advanced Threat Prevention 인증서를 업로드합니다. Windows PowerShell을 사용하여 제품 코드 찾기 ● 이 방법을 사용하면 제품 코드를 쉽게 식별할 수 있으며, 나중에 제품 코드가 변경되는 경우에도 찾을 수 있습니다. Get-WmiObject Win32_Product | Where-Object {$_.Name -like '*Cylance*'} | FT IdentifyingNumber, Name, LocalPackage 전체 경로와 .
이 레지스트리 설정은 Encryption 클라이언트 및 Encryption Management Agent를 포함하여 다른 구성 요소의 로그 상세 정보를 제 어하므로 테스트/디버깅용으로만 사용하십시오. ● 호환 모드는 애플리케이션이 메모리 보호 또는 메모리 보호 및 스크립트 제어 정책이 활성화되었을 때 클라이언트 컴퓨터에서 실 행될 수 있도록 합니다. 호환성 모드를 활성화하려면 클라이언트 컴퓨터에서 레지스트리 값을 추가해야 합니다. 호환성 모드를 사용하도록 설정하려면 다음 단계를 따르십시오. 1. Management Console에서 메모리 보호 활성화 정책을 비활성화합니다. 스크립트 제어 정책이 활성화된 경우, 비활성화합니다. 2. CompatibilityMode 레지스트리 값을 추가합니다. a. 클라이언트 컴퓨터의 레지스트리 에디터를 사용해 HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop으로 이동 합니다. b.