침해지표(IOC)는 컴퓨터에 대한 무단 접근(데이터 침해)을 나타내는 개체 또는 활동에 대한 데이터 집합입니다. 예를 들어, 시스템 로그인 시도가 여러 번 실패하면 침해지표가 될 수 있습니다. IOC 검사 작업을 통해 컴퓨터에서 침해지표를 찾고 보안위협에 대응할 수 있습니다.
Kaspersky Endpoint Security는 IOC 파일을 사용하여 침해지표를 검색합니다. IOC 파일은 애플리케이션이 탐지 횟수 계산을 위해 매치하는 지표 세트를 포함하는 파일입니다. IOC 파일은 OpenIOC 표준을 준수해야 합니다. Kaspersky Endpoint Security는 IOC 파일을 자동으로 생성하고 사용자가 준비한 IOC 파일을 로드할 수 있습니다. 침해 지표를 직접 추가하려면 IOC 파일 요구 사항을 읽어주십시오.
아래의 링크를 클릭해 다운로드할 수 있는 파일에는 Kaspersky Endpoint Detection and Response 솔루션이 지원하는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.
IOC 검사 작업 실행 모드
Kaspersky Endpoint Security는 다음 모드에서 IOC 검사를 실행할 수 있습니다:
IOC 검사 작업 실행
Kaspersky Sandbox는 보안위협에 대응할 때 IOC 검사 작업을 자동으로 생성할 수도 있습니다. Kaspersky Endpoint Detection and Response Optimum에서는 IOC 검사 작업을 수동으로만 생성할 수 있습니다.
IOC 검사 작업은 다음에서 수동으로 생성할 수 있습니다:
경고 세부 정보는 탐지된 위협에서 수집한 전체 정보를 확인하고 대응 활동을 관리하는 도구입니다. 경고 세부 정보에는 컴퓨터에서의 파일 히스토리 등이 포함됩니다. 경고 세부 정보 관리에 대한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말을 참조하십시오.
설정은 웹 콘솔에서만 구성할 수 있습니다.
보안위협 대응에 대한 독립 실행형 IOC 검사 작업을 생성하려면 Kaspersky Security Center 버전 13.2가 필요합니다.
IOC 검사 작업을 생성하려면:
작업 목록이 열립니다.
작업 마법사가 시작됩니다.
기본적으로 Kaspersky Endpoint Security는 시스템 사용자 계정(SYSTEM)으로 작업을 시작합니다.
시스템 계정(SYSTEM)은 네트워크 드라이브에서 IOC 검사 작업을 수행할 권한이 없습니다. 네트워크 드라이브에 대한 작업을 실행하려면 해당 드라이브에 대한 접근 권한이 있는 사용자의 계정을 선택하십시오.
네트워크 드라이브에 대한 독립 실행형 IOC 검사 작업을 위해서는 작업 속성에서 이 드라이브에 대한 접근 권한이 있는 사용자 계정을 수동으로 선택해야 합니다.
작업 목록에 새 작업이 표시됩니다.
작업 속성 창이 열립니다.
IOC 파일을 로드한 후 IOC 파일에서 지표 목록을 볼 수 있습니다. 필요하면 작업 범위에서 IOC 파일을 일시적으로 제외할 수 있습니다.
작업을 실행한 후 IOC 파일을 추가하거나 제거하는 것은 권장하지 않습니다. 이로 인해 작업의 이전 실행에 대한 IOC 검사 결과가 잘못 표시될 수 있습니다. 새 IOC 파일에 따른 침해 지표를 검색하려면 새 작업을 추가하는 것을 권장합니다.
Kaspersky Endpoint Security는 불러온 IOC 파일의 내용에 따라 IOC 검사 작업에 대한 데이터 유형(IOC 문서)을 자동으로 선택합니다. 데이터 유형을 선택 해제하는 것은 권장하지 않습니다.
다음 데이터 유형에 대해 검사 범위를 추가로 구성할 수 있습니다:
기본적으로 Kaspersky Endpoint Security는 다운로드 폴더, 바탕화면, 운영 체제 임시 파일이 있는 폴더 등 컴퓨터의 중요한 영역에 대해서만 IOC 검사를 수행합니다. 검사 범위를 수동으로 추가할 수도 있습니다.
Windows 레지스트리 – RegistryItem 데이터 유형에 대해 Kaspersky Endpoint Security는 레지스트리 키 세트를 검사합니다.
결과적으로 Kaspersky Endpoint Security는 컴퓨터에서 침해지표 검색을 실행합니다. 결과 섹션의 작업 속성에서 작업 결과를 볼 수 있습니다. 작업 속성에서 탐지된 침해지표에 관한 정보를 볼 수 있습니다: 애플리케이션 설정 → IOC 검사 결과.
IOC 검사 결과는 30일간 보관됩니다. 이 기간 후에는 Kaspersky Endpoint Security가 가장 오래된 항목을 자동으로 삭제합니다.
맨 위로