EDR 원격 측정 예외 규칙

지원

기업용 솔루션에 대한 지원

Kaspersky Endpoint Security 12 for Windows

Detection and Response 솔루션

Kaspersky Anti Targeted Attack Platform(EDR)

EDR 원격 측정 예외 규칙

2024년 4월 15일

ID 270557

PDF로 저장

성능을 개선하고 원격 측정 서버로의 데이터 전송을 최적화하기 위해 EDR 원격 측정 예외 규칙을 구성할 수 있습니다. 예를 들어 개별 애플리케이션의 네트워크 통신 데이터를 전송하지 않도록 선택할 수 있습니다.

관리 콘솔(MMC)에서 EDR 원격 측정 예외 규칙을 만드는 방법

웹 콘솔 및 클라우드 콘솔에서 EDR 원격 측정 예외 규칙을 만드는 방법

EDR 원격 측정 예외 규칙 파라미터

파라미터	설명
제외된 프로세스	전송할 원격 측정 크기 최적화. Kaspersky Endpoint Security를 사용하면 전송된 데이터의 양을 최적화하고 원격 측정에서 특정 코드(Microsoft SMB 프로토콜, WinRM 서비스, 네트워크 에이전트의 klnagent.exe 프로세스, 모든 유형의 네트워크 프로토콜의 네트워크 패킷 유형에 대한 확장 정보에 대한 코드 102(기본 통신) 및 8(프로세스의 네트워크 활동))가 있는 이벤트를 제외할 수 있습니다. Kaspersky Endpoint Security는 규칙 트리거 기준을 논리곱(logical AND)과 결합합니다. 규칙 트리거 기준 전체 경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 `*` 및 `?` 문자를 지원합니다. 명령줄 텍스트. 파일을 실행하는 데 사용되는 명령입니다. 부모 경로. 파일이 있는 폴더 경로입니다. 설명. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다. 원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다. 버전. RT_VERSION(VersionInfo) 리소스의 FileVersion 매개변수 값입니다. 파일 체크섬. MD5 및 SHA256. 파일 속성에 따라 기입. 애플리케이션이 선택한 파일의 정보로 필드를 자동으로 채웁니다. 64비트 운영 체제에서는 애플리케이션이 실행 파일 파라미터 필드를 `C:\windows\syswow64` 폴더에 있는 동일한 실행 파일의 32비트 버전 속성의 데이터로 채우기 때문에 `C:\windows\system32` 폴더에서 프로세스 실행 파일의 64비트 버전 파라미터를 수동으로 입력해야 합니다. 예를 들어 `C:\windows\system32\cmd.exe`를 선택하면 플러그인이 `C:\windows\syswow64\cmd.exe`의 파라미터를 표시합니다. 이러한 동작은 운영 체제의 특성에 따라 달라집니다. 다음 이벤트 유형에 사용: 파일 수정. 네트워크 이벤트. 프로세스: 콘솔 대화형 입력. 모듈 로드됨. 레지스트리 수정됨.
제외된 네트워크 통신	규칙 이름. 방향. 프로토콜. 프로토콜 번호. 로컬 포트 또는 범위. 원격 포트 또는 범위. 로컬 주소. Kaspersky Endpoint Security가 네트워크 트래픽에서 원격 측정을 제외하는 컴퓨터의 네트워크 주소입니다. 원격 주소. Kaspersky Endpoint Security가 네트워크 트래픽에서 원격 측정을 제외하는 컴퓨터의 네트워크 주소입니다. IP 주소에 대해 IPv4 형식만 지원합니다. 애플리케이션. Kaspersky Endpoint Security가 네트워크 트래픽에서 EDR 원격 측정을 제외하는 애플리케이션의 실행 파일 목록입니다.
제외된 파일 작업	규칙 이름. 파일 이름 또는 마스크. 파일 또는 폴더의 이름이나 마스크; Kaspersky Endpoint Security는 이 파일 또는 폴더에 접근할 때 예외 규칙을 적용합니다. Kaspersky Endpoint Security는 마스크를 입력할 때 * 및 ? 문자를 지원합니다. Kaspersky Endpoint Security는 규칙 트리거 기준을 논리곱(logical AND)과 결합합니다. 규칙 트리거 기준 전체 경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 `*` 및 `?` 문자를 지원합니다. 명령줄 텍스트. 파일을 실행하는 데 사용되는 명령입니다. 부모 경로. 파일이 있는 폴더 경로입니다. 설명. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다. 원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다. 버전. RT_VERSION(VersionInfo) 리소스의 FileVersion 매개변수 값입니다. 파일 체크섬. MD5 및 SHA256. 파일 속성에 따라 기입. 애플리케이션이 선택한 파일의 정보로 필드를 자동으로 채웁니다. 64비트 운영 체제에서는 애플리케이션이 실행 파일 파라미터 필드를 `C:\windows\syswow64` 폴더에 있는 동일한 실행 파일의 32비트 버전 속성의 데이터로 채우기 때문에 `C:\windows\system32` 폴더에서 프로세스 실행 파일의 64비트 버전 파라미터를 수동으로 입력해야 합니다. 예를 들어 `C:\windows\system32\cmd.exe`를 선택하면 플러그인이 `C:\windows\syswow64\cmd.exe`의 파라미터를 표시합니다. 이러한 동작은 운영 체제의 특성에 따라 달라집니다.

파라미터

설명

제외된 프로세스

전송할 원격 측정 크기 최적화. Kaspersky Endpoint Security를 사용하면 전송된 데이터의 양을 최적화하고 원격 측정에서 특정 코드(Microsoft SMB 프로토콜, WinRM 서비스, 네트워크 에이전트의 klnagent.exe 프로세스, 모든 유형의 네트워크 프로토콜의 네트워크 패킷 유형에 대한 확장 정보에 대한 코드 102(기본 통신) 및 8(프로세스의 네트워크 활동))가 있는 이벤트를 제외할 수 있습니다.

Kaspersky Endpoint Security는 규칙 트리거 기준을 논리곱(logical AND)과 결합합니다.

규칙 트리거 기준

전체 경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다.
명령줄 텍스트. 파일을 실행하는 데 사용되는 명령입니다.
부모 경로. 파일이 있는 폴더 경로입니다.
설명. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다.
원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다.
버전. RT_VERSION(VersionInfo) 리소스의 FileVersion 매개변수 값입니다.
파일 체크섬. MD5 및 SHA256.
파일 속성에 따라 기입. 애플리케이션이 선택한 파일의 정보로 필드를 자동으로 채웁니다.

64비트 운영 체제에서는 애플리케이션이 실행 파일 파라미터 필드를 C:\windows\syswow64 폴더에 있는 동일한 실행 파일의 32비트 버전 속성의 데이터로 채우기 때문에 C:\windows\system32 폴더에서 프로세스 실행 파일의 64비트 버전 파라미터를 수동으로 입력해야 합니다. 예를 들어 C:\windows\system32\cmd.exe를 선택하면 플러그인이 C:\windows\syswow64\cmd.exe의 파라미터를 표시합니다. 이러한 동작은 운영 체제의 특성에 따라 달라집니다.

다음 이벤트 유형에 사용:

파일 수정.
네트워크 이벤트.
프로세스: 콘솔 대화형 입력.
모듈 로드됨.
레지스트리 수정됨.

제외된 네트워크 통신

규칙 이름.

방향.

프로토콜.

프로토콜 번호.

로컬 포트 또는 범위.

원격 포트 또는 범위.

로컬 주소. Kaspersky Endpoint Security가 네트워크 트래픽에서 원격 측정을 제외하는 컴퓨터의 네트워크 주소입니다.

원격 주소. Kaspersky Endpoint Security가 네트워크 트래픽에서 원격 측정을 제외하는 컴퓨터의 네트워크 주소입니다.

IP 주소에 대해 IPv4 형식만 지원합니다.

애플리케이션. Kaspersky Endpoint Security가 네트워크 트래픽에서 EDR 원격 측정을 제외하는 애플리케이션의 실행 파일 목록입니다.

제외된 파일 작업

규칙 이름.

파일 이름 또는 마스크. 파일 또는 폴더의 이름이나 마스크; Kaspersky Endpoint Security는 이 파일 또는 폴더에 접근할 때 예외 규칙을 적용합니다. Kaspersky Endpoint Security는 마스크를 입력할 때 * 및 ? 문자를 지원합니다.

Kaspersky Endpoint Security는 규칙 트리거 기준을 논리곱(logical AND)과 결합합니다.

규칙 트리거 기준

전체 경로. 이름과 확장자를 포함한 파일의 전체 경로입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다.
명령줄 텍스트. 파일을 실행하는 데 사용되는 명령입니다.
부모 경로. 파일이 있는 폴더 경로입니다.
설명. RT_VERSION(VersionInfo) 리소스의 FileDescription 매개변수 값입니다.
원본 파일 이름. RT_VERSION(VersionInfo) 리소스의 OriginalFilename 매개변수 값입니다.
버전. RT_VERSION(VersionInfo) 리소스의 FileVersion 매개변수 값입니다.
파일 체크섬. MD5 및 SHA256.
파일 속성에 따라 기입. 애플리케이션이 선택한 파일의 정보로 필드를 자동으로 채웁니다.

이 글이 도움이 되었습니까?

무엇을 더 개선할 수 있겠습니까?

피드백을 주셔서 감사합니다! 개선에 도움이 됩니다.