Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0에는 이제 Kaspersky Endpoint Detection and Response Optimum 솔루션(이하 "EDR Optimum"이라고도 함)용 에이전트가 내장되어 있습니다. Kaspersky Endpoint Detection and Response Optimum은 지능형 사이버 위협으로부터 조직의 IT 인프라를 보호하기 위한 솔루션입니다. 이 솔루션의 기능은 위협 자동 탐지와 이에 대한 대응 능력을 결합하여 새로운 익스플로잇, 랜섬웨어, 파일리스 공격 및 합법적인 시스템 도구를 사용하는 방법 등 다양한 지능형 공격에 대처합니다. 솔루션에 대한 자세한 내용은 Kaspersky Endpoint Detection and Response Optimum 도움말을 참조하십시오. Kaspersky Endpoint Detection and Response Optimum은 보안위협 개발을 검토 및 분석하고 즉각적인 대응이 필요한 잠재적 공격에 대한 정보를 보안 인력이나 관리자에게 제공합니다. Kaspersky Endpoint Detection and Response의 경고 세부 정보는 별도의 창으로 표시됩니다. 경고 세부 정보는 탐지된 위협에서 수집한 전체 정보를 확인하고 대응 활동을 관리하는 도구입니다. 경고 세부 정보에는 컴퓨터에서의 파일 히스토리 등이 포함됩니다. 경고 세부 정보 관리에 대한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말을 참조하십시오.

이 솔루션은 다음 보안위협 인텔리전스 도구를 사용합니다:

• Kaspersky 기술 자료에 있는 파일, 웹사이트 및 소프트웨어의 실시간 평판 정보에 대한 접근을 제공하는 Kaspersky Security Network(이하 "KSN") 클라우드 서비스 인프라. Kaspersky Security Network의 데이터를 사용하면 Kaspersky 애플리케이션에서 보안위협에 신속하게 대응할 수 있으며, 일부 보호 구성 요소의 성능을 향상하고 오탐의 가능성을 줄입니다.
• 사용자가 컴퓨터에서 KSN으로 데이터를 전송하지 않고도 KSN 평판 데이터베이스 및 기타 통계 데이터에 접근할 수 있도록 하는 Kaspersky Private Security Network(이하 "KPSN"이라고도 함)와의 통합.
• 파일 및 URL의 평판에 대한 정보를 포함하고 표시하는 Kaspersky Threat Intelligence Portal 정보 시스템과의 통합.
• 카스퍼스키 보안위협 데이터베이스.

Kaspersky Endpoint Detection and Response Optimum은 Kaspersky Security Center 버전 13.2가 필요합니다. 이전 버전의 Kaspersky Security Center에서는 EDR Optimum의 기능을 활성화할 수 없습니다.

구성 요소는 웹 콘솔을 통해서만 관리할 수 있습니다. 관리 콘솔(MMC)로는 이 구성 요소를 관리할 수 없습니다.

Kaspersky Endpoint Detection and Response Optimum과의 통합

Kaspersky Endpoint Detection and Response Optimum과의 통합은 다음 단계를 포함합니다:

1. Kaspersky Endpoint Detection and Response Optimum 구성 요소 설치

   Endpoint Detection and Response Optimum 구성 요소는 설치나 업그레이드 중 선택하거나 애플리케이션 구성 요소 변경 작업을 사용해 선택할 수 있습니다.

   애플리케이션 구성 요소 변경 작업 후, 작업 상태가 제대로 표시되지 않습니다. 성공적으로 완료됨 대신 작업이 스케줄됨 상태가 됩니다. 하지만 작업은 여전히 성공적으로 완료됩니다. 새 구성 요소가 Kaspersky Security Center 콘솔의 컴퓨터 속성(애플리케이션 → Kaspersky Endpoint Security for Windows → 구성 요소) 또는 로컬 애플리케이션 인터페이스에 설치되었는지 확인합니다.

2. Kaspersky Endpoint Detection and Response Optimum 활성화

   Kaspersky Endpoint Detection and Response Optimum 사용 라이센스는 다음 방법으로 획득할 수 있습니다:

   • Kaspersky Endpoint Security for Windows의 사용 라이센스에는 EDR Optimum의 기능이 포함됩니다.

     이 기능은 Kaspersky Endpoint Security for Windows 활성화 직후 바로 사용할 수 있습니다.

   • EDR Optimum 사용 목적의 라이센스 연장.

     이 기능은 Kaspersky Endpoint Detection and Response의 키를 별도로 추가한 후에 이용할 수 있습니다. 결과적으로 Kaspersky Endpoint Security 키와 Kaspersky Endpoint Detection and Response Optimum 키가 컴퓨터에 모두 설치됩니다.

     EDR Optimum의 개별 기능에 대한 라이센스는 Kaspersky Endpoint Security의 라이센스와 같습니다.

   EDR Optimum 기능이 라이센스에 포함되며 애플리케이션의 로컬 인터페이스에서 실행되고 있는지 확인하십시오.

3. Endpoint Detection and Response Optimum 구성 요소 활성화

   Kaspersky Endpoint Security for Windows 정책 설정에서 구성 요소를 활성화 또는 비활성화할 수 있습니다.

   구성 요소를 사용하려면 다음 조건을 충족해야 합니다:

   • 애플리케이션이 활성화되고 라이센스가 Kaspersky Endpoint Detection and Response Optimum 기능을 포함합니다.
   • Endpoint Detection and Response Optimum 구성 요소가 켜져 있습니다.
   • Endpoint Detection and Response Optimum이 종속되는 애플리케이션 구성 요소가 활성화 및 작동 중입니다. 이 구성 요소는 다음 구성 요소에 종속됩니다:
     • 파일 위협 보호.
     • 웹 위협 보호.
     • 메일 위협 보호.
     • 익스플로잇 방지.
     • 행동 탐지.
     • 호스트 침입 방지.
     • 복원 엔진.
     • 적응형 이상 행위 제어.

   웹 콘솔에서 Endpoint Detection and Response Optimum 구성 요소를 활성화 또는 비활성화하는 방법

   1. 웹 콘솔의 메인 창에서 장치 → 정책 및 프로필을 선택합니다.
   2. Kaspersky Endpoint Security 정책 이름을 클릭합니다.

      정책 속성 창이 열립니다.

   3. 애플리케이션 설정 탭을 선택합니다.
   4. Detection and Response → Endpoint Detection and Response Optimum을 선택합니다.
   5. Endpoint Detection and Response Optimum 토글 스위치를 켭니다.
   6. 변경 사항을 저장합니다.

   Kaspersky Endpoint Detection and Response Optimum 구성 요소가 활성화됩니다. 애플리케이션 구성 요소 상태 리포트를 확인하여 구성 요소의 작동 상태를 확인합니다. 또한 Kaspersky Endpoint Security의 로컬 인터페이스에 있는 보고서에서 구성 요소의 작동 상태를 볼 수 있습니다. Endpoint Detection and Response Optimum 구성 요소가 Kaspersky Endpoint Security 구성 요소 목록에 추가됩니다.

4. 중앙 관리 서버로의 데이터 전송 활성화

   모든 EDR Optimum 기능을 활성화하려면 다음 유형의 데이터 전송을 활성화해야 합니다:

   • 격리 파일 데이터.

     이 데이터는 웹 콘솔을 통해 컴퓨터에서 격리된 파일 정보를 얻는 데 필요합니다. 예를 들어, 웹 콘솔에서 분석을 위해 격리 저장소의 파일을 다운로드할 수 있습니다.

   • 보안위협 개발 체인 데이터.

     이 데이터는 웹 콘솔에서 컴퓨터에서 탐지된 보안위협에 관한 정보를 얻는 데 필요합니다. 웹 콘솔에서 경고 세부 정보를 확인하고 대응할 수 있습니다.

   웹 콘솔에서 중앙 관리 서버로의 데이터 전송을 활성화하는 방법

   1. 웹 콘솔의 메인 창에서 장치 → 정책 및 프로필을 선택합니다.
   2. Kaspersky Endpoint Security 정책 이름을 클릭합니다.

      정책 속성 창이 열립니다.

   3. 애플리케이션 설정 탭을 선택합니다.
   4. 일반 설정 → 리포트 및 저장소를 선택합니다.
   5. 중앙 관리 서버로의 데이터 전송에서 다음 상자에 체크하십시오:
      • 격리 파일 정보.
      • 보안위협 개발 체인 정보.
   6. 변경 사항을 저장합니다.

Kaspersky Endpoint Agent에서 Kaspersky Endpoint Security for Windows로의 마이그레이션

EDR Optimum 구성 요소(내장 에이전트)가 설치된 Kaspersky Endpoint Security 11.7.0 이상을 사용한다면 Kaspersky Endpoint Detection and Response Optimum 솔루션 작동을 위해 별도의 작업을 수행할 필요가 없습니다. EDR Optimum 구성 요소는 Kaspersky Endpoint Agent와 호환되지 않습니다. 컴퓨터에 Kaspersky Endpoint Agent를 설치했다면, Kaspersky Endpoint Security를 버전 11.7.0으로 업데이트했을 때 Kaspersky Endpoint Detection and Response Optimum이 계속 Kaspersky Endpoint Security와 작동합니다. 또한 Kaspersky Endpoint Agent가 컴퓨터에서 제거됩니다. Kaspersky Endpoint Agent에서 Kaspersky Endpoint Security for Windows로의 마이그레이션을 완료하려면 마이그레이션 마법사를 사용해 정책 및 작업 설정을 전송해야 합니다.

Kaspersky Endpoint Detection 및 Response Optimum과의 상호 운용성을 위해 Kaspersky Endpoint Security 11.4.0~11.6.0을 사용한다면 해당 애플리케이션이 Kaspersky Endpoint Agent를 포함합니다. Kaspersky Endpoint Security 설치 중에 Kaspersky Endpoint Agent를 설치할 수 있습니다.

Kaspersky Endpoint Security에 포함된 EDR Optimum 구성 요소는 Kaspersky Endpoint Detection and Response Optimum 2.0 솔루션과의 상호 작용을 지원합니다. Kaspersky Endpoint Detection and Response Optimum 버전 1.0과의 상호 작용은 지원하지 않습니다.

이 섹션 내용 침해지표(IOC) 검사 격리 저장소로 파일 이동 파일 가져오기 파일 삭제 프로세스 시작 프로세스 종료 실행 방지 컴퓨터 네트워크 격리

맨 위로