Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0에는 이제 Kaspersky Endpoint Detection and Response Optimum 솔루션(이하 "EDR Optimum"이라고도 함)용 에이전트가 내장되어 있습니다. Kaspersky Endpoint Detection and Response Optimum은 지능형 사이버 위협으로부터 조직의 IT 인프라를 보호하기 위한 솔루션입니다. 이 솔루션의 기능은 위협 자동 탐지와 이에 대한 대응 능력을 결합하여 새로운 익스플로잇, 랜섬웨어, 파일리스 공격 및 합법적인 시스템 도구를 사용하는 방법 등 다양한 지능형 공격에 대처합니다. 솔루션에 대한 자세한 내용은 Kaspersky Endpoint Detection and Response Optimum 도움말을 참조하십시오.

Kaspersky Endpoint Detection and Response Optimum은 보안위협 개발을 검토 및 분석하고 즉각적인 대응이 필요한 잠재적 공격에 대한 정보를 보안 인력이나 관리자에게 제공합니다. Kaspersky Endpoint Detection and Response의 경고 세부 정보는 별도의 창으로 표시됩니다. 경고 세부 정보는 탐지된 위협에서 수집한 전체 정보를 확인하고 대응 활동을 관리하는 도구입니다. 경고 세부 정보에는 컴퓨터에서의 파일 히스토리 등이 포함됩니다. 경고 세부 정보 관리에 대한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말을 참조하십시오.

구성 요소는 Kaspersky Security Center 웹 콘솔을 통해서만 관리할 수 있습니다. 관리 콘솔(MMC)로는 이 구성 요소를 관리할 수 없습니다.

Endpoint Detection and Response Optimum 설정

파라미터

설명

네트워크 격리

탐지된 보안위협에 대응하여 네트워크에서 컴퓨터를 자동으로 격리합니다.

네트워크 격리가 켜지면 애플리케이션은 활성화된 모든 연결을 끊고 컴퓨터의 새로운 TCP/IP 연결을 모두 차단합니다. 애플리케이션은 다음 연결만 활성 상태로 둡니다:

  • 네트워크 격리 예외에 포함된 연결.
  • Kaspersky Endpoint Security 서비스가 시작한 연결.
  • Kaspersky Security Center 관리 에이전트가 시작한 연결.

다음 시간 후 격리된 컴퓨터 자동 잠금 해제: N시간

네트워크 격리는 지정된 시간이 지나면 자동 또는 수동으로 끌 수 있습니다. 기본적으로 Kaspersky Endpoint Security는 격리 시작 5시간 후에 네트워크 격리를 끕니다.

네트워크 격리 예외

네트워크 격리의 예외 규칙 목록입니다. 규칙과 일치하는 네트워크 연결은 컴퓨터에서 네트워크 격리를 켜도 차단되지 않습니다.

네트워크 격리 예외를 구성하려면 표준 네트워크 프로필 목록을 사용할 수 있습니다. 기본적으로 예외는 DNS/DHCP 서버 및 DNS/DHCP 클라이언트 역할을 하는 장치의 중단 없는 작동을 보장하는 규칙이 포함된 네트워크 프로필을 포함합니다. 표준 네트워크 프로필의 설정을 수정하거나 수동으로 예외를 정의할 수도 있습니다.

정책 속성에 지정된 예외는 보안위협 탐지 시 자동으로 네트워크 격리가 켜질 때만 적용됩니다. 컴퓨터 속성에 지정된 예외는 Kaspersky Security Center 콘솔의 컴퓨터 속성에서 네트워크 격리가 수동으로 켜질 때만 적용됩니다.

실행 방지

실행 파일 및 스크립트의 실행과 오피스 형식 파일 열기를 제어합니다. 예를 들어, 선택한 컴퓨터에서 안전하지 않다고 판단되는 애플리케이션의 실행을 방지할 수 있습니다. 실행 방지는 오피스 파일 확장자 세트스크립트 인터프리터 세트를 지원합니다.

금지된 개체 실행 또는 열기 시 동작

차단 후 리포트에 기록. 이 모드에서는 애플리케이션이 방지 규칙의 기준과 일치하는 개체 실행 또는 문서 열기를 차단합니다. 또한 애플리케이션은 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center 이벤트 로그에 게시합니다.

이벤트만 기록. 이 모드에서는 Kaspersky Endpoint Security가 방지 규칙의 기준과 일치하는 실행 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center에 게시하지만, 개체나 문서에 대한 실행 또는 열기 시도를 차단하지 않습니다. 이 모드가 기본적으로 선택되어 있습니다.

실행 방지 규칙

개체 실행 방지 규칙 목록입니다. 실행 방지 규칙은 차단 시 고려하는 기준의 집합입니다. 애플리케이션은 MD5 및 SHA256 해싱 알고리즘을 사용하여 계산된 경로 또는 체크섬으로 파일을 식별합니다.

맨 위로