Endpoint Detection and Response

Kaspersky Endpoint Security 11.7.0에는 이제 Kaspersky Endpoint Detection and Response Optimum 솔루션(이하 "EDR Optimum"이라고도 함)용 에이전트가 내장되어 있습니다. Kaspersky Endpoint Security 11.8.0에는 이제 Kaspersky Endpoint Detection and Response Expert 솔루션(이하 "EDR Expert"이라고도 함)용 에이전트가 내장되어 있습니다. Kaspersky Endpoint Detection and Response는 지능형 사이버 위협으로부터 조직의 IT 인프라를 보호하기 위한 폭넓은 솔루션입니다. 이 솔루션의 기능은 위협 자동 탐지와 이에 대한 대응 능력을 결합하여 새로운 익스플로잇, 랜섬웨어, 파일리스 공격 및 합법적인 시스템 도구를 사용하는 방법 등 다양한 지능형 공격에 대처합니다. EDR Expert는 EDR Optimum보다 더 많은 보안위협 모니터링 및 대응 기능을 제공합니다. 솔루션에 관한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말Kaspersky Endpoint Detection and Response Expert 도움말을 참조하십시오.

Kaspersky Endpoint Detection and Response는 보안위협 개발을 검토 및 분석하고 즉각적인 대응이 필요한 잠재적 공격에 대한 정보를 보안 인력이나 관리자에게 제공합니다. Kaspersky Endpoint Detection and Response의 경고 세부 정보는 별도의 창으로 표시됩니다. 경고 세부 정보는 탐지된 위협에서 수집한 전체 정보를 확인하는 도구입니다. 경고 세부 정보에는 컴퓨터에서의 파일 히스토리 등이 포함됩니다. 경고 세부 정보 관리에 대한 자세한 사항은 Kaspersky Endpoint Detection and Response Optimum 도움말Kaspersky Endpoint Detection and Response Expert 도움말을 참조하십시오.

웹 콘솔과 클라우드 콘솔에서 EDR Optimum 구성 요소를 구성할 수 있습니다. 클라우드 콘솔에서만 EDR Expert 구성 요소 설정을 이용할 수 있습니다.

Endpoint Detection and Response 설정

파라미터

설명

네트워크 격리

탐지된 보안위협에 대응하여 네트워크에서 컴퓨터를 자동으로 격리합니다.

네트워크 격리가 켜지면 애플리케이션은 활성화된 모든 연결을 끊고 컴퓨터의 새로운 TCP/IP 연결을 모두 차단합니다. 애플리케이션은 다음 연결만 활성 상태로 둡니다:

  • 네트워크 격리 예외에 포함된 연결.
  • Kaspersky Endpoint Security 서비스가 시작한 연결.
  • Kaspersky Security Center 관리 에이전트가 시작한 연결.

다음 시간 후 격리된 컴퓨터 자동 잠금 해제: N시간

네트워크 격리는 지정된 시간이 지나면 자동 또는 수동으로 끌 수 있습니다. 기본적으로 Kaspersky Endpoint Security는 격리 시작 5시간 후에 네트워크 격리를 끕니다.

네트워크 격리 예외

네트워크 격리의 예외 규칙 목록입니다. 규칙과 일치하는 네트워크 연결은 컴퓨터에서 네트워크 격리를 켜도 차단되지 않습니다.

네트워크 격리 예외를 구성하려면 표준 네트워크 프로필 목록을 사용할 수 있습니다. 기본적으로 예외는 DNS/DHCP 서버 및 DNS/DHCP 클라이언트 역할을 하는 장치의 중단 없는 작동을 보장하는 규칙이 포함된 네트워크 프로필을 포함합니다. 표준 네트워크 프로필의 설정을 수정하거나 수동으로 예외를 정의할 수도 있습니다.

정책 속성에 지정된 예외는 보안위협 탐지 시 자동으로 네트워크 격리가 켜질 때만 적용됩니다. 컴퓨터 속성에 지정된 예외는 Kaspersky Security Center 콘솔의 컴퓨터 속성이나 경고 세부 정보에서 네트워크 격리가 수동으로 켜질 때만 적용됩니다.

실행 방지

실행 파일 및 스크립트의 실행과 오피스 형식 파일 열기를 제어합니다. 예를 들어, 선택한 컴퓨터에서 안전하지 않다고 판단되는 애플리케이션의 실행을 방지할 수 있습니다. 실행 방지는 오피스 파일 확장자 세트스크립트 인터프리터 세트를 지원합니다.

실행 방지 구성 요소를 사용하려면 실행 방지 규칙을 추가해야 합니다. 실행 방지 규칙은 개체 실행 차단 등과 같이 개체 실행에 반응할 때 애플리케이션이 고려하는 기준 집합입니다. 애플리케이션은 MD5 및 SHA256 해싱 알고리즘을 사용하여 계산된 경로 또는 체크섬으로 파일을 식별합니다.

금지된 개체 실행 또는 열기 시 동작

차단 후 리포트에 기록. 이 모드에서는 애플리케이션이 방지 규칙의 기준과 일치하는 개체 실행 또는 문서 열기를 차단합니다. 또한 애플리케이션은 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center 이벤트 로그에 게시합니다.

이벤트만 기록. 이 모드에서는 Kaspersky Endpoint Security가 방지 규칙의 기준과 일치하는 실행 개체 실행 또는 문서 열기 시도 이벤트를 Windows 이벤트 로그 및 Kaspersky Security Center에 게시하지만, 개체나 문서에 대한 실행 또는 열기 시도를 차단하지 않습니다. 이 모드가 기본적으로 선택되어 있습니다.

Cloud Sandbox

Cloud Sandbox는 컴퓨터에서 지능형 보안위협을 탐지할 수 있는 기술입니다. Kaspersky Endpoint Security는 분석을 위해 탐지된 파일을 Cloud Sandbox에 자동 전달합니다. Cloud Sandbox는 이러한 파일을 격리된 환경에서 실행하여 악성 활동을 식별하고 평판을 결정합니다. 그다음 이 파일의 데이터가 Kaspersky Security Network로 전송됩니다. 따라서 Cloud Sandbox가 악성 파일을 탐지하면 Kaspersky Endpoint Security는 이 파일이 탐지된 모든 컴퓨터에서 이 위협 요소를 제거하기 위해 적절한 조치를 수행합니다.

Cloud Sandbox 기술은 영구적으로 활성화되며 사용 중인 라이센스 유형과 관계없이 모든 Kaspersky Security Network 사용자가 사용할 수 있습니다.

이 확인란을 선택하면 Kaspersky Endpoint Security는 위협 탐지 기술기본 애플리케이션 창에서 Cloud Sandbox를 사용하여 탐지된 보안위협에 대한 카운터를 활성화합니다. Kaspersky Endpoint Security는 Kaspersky Security Center 콘솔의 애플리케이션 이벤트위협 처리 리포트에서 Cloud Sandbox 보안위협 탐지 기술을 표시합니다.

맨 위로