시스템 무결성 모니터를 사용하면 운영 체제의 변경 사항을 실시간으로 추적할 수 있습니다. 컴퓨터에서 보안 위반을 나타낼 수 있는 변경 사항을 추적할 수 있습니다. 이 구성 요소를 사용하면 이러한 변경을 차단하거나 단순히 변경 이벤트를 로그 기록할 수 있습니다.
시스템 무결성 모니터가 작동하려면 적어도 하나 이상의 규칙을 추가해야 합니다. 시스템 무결성 모니터 규칙은 파일 및 레지스트리에 대한 사용자의 접근을 정의하는 기준입니다. 시스템 무결성 모니터는 지정된 모니터링 범위 내에서 파일 및 레지스트리의 변경 사항을 탐지합니다. 모니터링 범위는 시스템 무결성 모니터 규칙의 기준 중 하나입니다.
실시간 시스템 무결성 모니터 모드
시스템 무결성 모니터 규칙이 운영 체제 또는 기타 서비스 기능에 중요한 리소스를 사용하는 작업을 차단하지 않도록 하려면 테스트 모드를 활성화하고 구성 요소가 시스템에 미치는 영향을 분석하는 것이 좋습니다. 테스트 모드를 켜면 Kaspersky Endpoint Security는 규칙에 의해 금지된 사용자 활동을 차단하지 않고 경고 이벤트를 생성합니다.
실시간 시스템 무결성 모니터 구성 요소에는 두 가지 모드가 있습니다:
규칙에 따라 변경을 상대로 시스템을 보호
이 모드에서 시스템 무결성 모니터는 시스템의 변경 사항을 추적하고 규칙에 따라(허용 또는 차단) 작업을 수행합니다. 또한 시스템 무결성 모니터는 해당 이벤트를 생성하고 Kaspersky Security Center 콘솔에서 장치의 상태를 변경합니다.
테스트 모드: 차단 금지, 기록만
이 모드에서 시스템 무결성 모니터는 모니터링 범위에 있는 파일 및 레지스트리 키에 대한 작업을 허용합니다. 파일 또는 레지스트리에 대한 작업이 금지된 경우 애플리케이션이 이벤트(차단된 작업이 테스트 모드에서 허용되었습니다)를 생성합니다. 규칙이 시스템에 어떤 영향을 미치는지 분석하려면 리포트를 확인할 수 있습니다.
시스템 무결성 모니터 규칙 목록을 XML 파일로 내보낼 수 있습니다. 그 후 파일을 수정하여 동일 유형의 기록을 여러 개 추가하는 등의 작업을 진행할 수 있습니다. 내보내기/가져오기 기능을 사용하여 시스템 무결성 모니터 규칙 목록을 백업하거나 다른 서버로 마이그레이션할 수 있습니다.
시스템 무결성 모니터 규칙 목록을 XML 파일로 내보낼 수 있습니다. 그 후 파일을 수정하여 동일 유형의 기록을 여러 개 추가하는 등의 작업을 진행할 수 있습니다. 내보내기/가져오기 기능을 사용하여 시스템 무결성 모니터 규칙 목록을 백업하거나 다른 서버로 마이그레이션할 수 있습니다.
시스템 무결성 모니터 규칙 목록을 XML 파일로 내보낼 수 있습니다. 그 후 파일을 수정하여 동일 유형의 기록을 여러 개 추가하는 등의 작업을 진행할 수 있습니다. 내보내기/가져오기 기능을 사용하여 시스템 무결성 모니터 규칙 목록을 백업하거나 다른 서버로 마이그레이션할 수 있습니다.
Kaspersky Endpoint Security는 규칙 목록을 기본 다운로드 폴더의 XML 파일로 내보냅니다.
실시간 시스템 무결성 모니터 규칙 목록을 가져오기:
가져오기 링크를 클릭합니다.
창이 열리면 규칙 목록을 가져올 XML 파일을 선택합니다.
파일을 엽니다.
컴퓨터에 이미 규칙 목록이 있으면 Kaspersky Endpoint Security는 기존 목록을 삭제하거나 XML 파일에 새 항목을 추가하라는 메시지를 표시합니다.
시스템 무결성 검사 규칙을 내보내거나 가져오기:
시스템 무결성 검사 블록에서 사용자 지정 설정을 선택합니다.
구성을 클릭합니다.
시스템 무결성 검사 규칙 목록을 내보내기:
내보낼 규칙을 선택합니다.
내보내기를 클릭합니다.
선택한 규칙만 내보낼 것인지 전체 목록을 내보낼 것인지 확인하십시오.
파일을 저장합니다.
Kaspersky Endpoint Security는 규칙 목록을 기본 다운로드 폴더의 XML 파일로 내보냅니다.
시스템 무결성 검사 규칙 목록을 불러오려면:
가져오기 링크를 클릭합니다.
창이 열리면 규칙 목록을 가져올 XML 파일을 선택합니다.
파일을 엽니다.
컴퓨터에 이미 규칙 목록이 있으면 Kaspersky Endpoint Security는 기존 목록을 삭제하거나 XML 파일에 새 항목을 추가하라는 메시지를 표시합니다.
변경 사항을 저장합니다.
실시간 시스템 무결성 모니터 규칙을 구성합니다(아래 표 참조).
변경 사항을 저장합니다.
실시간 시스템 무결성 모니터 규칙 설정
파라미터
설명
규칙 이름
실시간 시스템 무결성 모니터 규칙 이름
파일 및 레지스트리 사용 작업
허용. 시스템 무결성 모니터는 모니터링 범위에 있는 파일 및 레지스트리 키에 대한 작업을 허용합니다.
차단. 선택한 모드에 따라 시스템 무결성 모니터의 작업이 달라집니다. 시스템 보호 모드를 선택한 경우 시스템 무결성 모니터는 모니터링 범위의 파일 및 레지스트리 키에 대한 작업을 차단하고, 해당 이벤트를 생성하고, Kaspersky Security Center 콘솔에서 장치의 상태를 변경합니다. 테스트 모드를 선택한 경우 시스템 무결성 모니터는 모니터링 범위에 있는 파일 및 레지스트리 키에 대한 작업을 허용합니다.
이벤트 심각도 수준
Kaspersky Endpoint Security는 모니터링 범위 내 파일 또는 레지스트리 키가 수정될 때마다 파일 수정 이벤트를 기록합니다. 사용할 수 있는 이벤트 심각도는 정보(), 경고(), 심각()입니다.
모니터링 범위
파일. 구성 요소가 모니터링하는 파일 및 폴더 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다.
마스크 사용:
*(별표) 문자는 \ 및 / 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 문자의 조합을 나타낼 수 있습니다. 예를 들어 C:\*\*.txt 마스크에는 C: 드라이브의 폴더(하위 폴더 제외)에 있는 TXT 확장자를 가진 파일에 대한 모든 경로가 포함됩니다.
* 문자를 두 번 연속 사용하면 파일 또는 폴더 이름에서 \ 및 / 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 포함하여 모든 문자(공백 포함)의 조합을 나타낼 수 있습니다. 예를 들어, C:\Folder\**\*.txt 마스크는 Folder라는 이름의 폴더를 제외하고 Folder 내에 포함된 폴더에 있는 TXT 확장자 파일에 대한 모든 경로를 포함합니다. 마스크에는 적어도 하나의 하위 레벨이 포함되어야 합니다. C:\**\*.txt 마스크는 하위 레벨의 폴더가 없어 유효한 마스크가 아닙니다.
?(물음표) 문자는 \ 및 / 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 단일 문자를 나타낼 수 있습니다. 예를 들어 C:\Folder\???.txt 마스크는 TXT 확장자를 가지고 있으며 세 개 문자를 가진 Folder 폴더 내의 모든 파일에 대한 경로를 포함하게 됩니다.
레지스트리. 구성 요소가 모니터링하는 레지스트리 키와 값의 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 * 및 ? 문자를 지원합니다.
예외 규칙
파일. 모니터링 범위에서 예외 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 * 및 ? 문자를 지원합니다. 예: C:\Folder\Application\*.log. 예외 항목이 모니터링 범위 항목에 우선합니다.
마스크 사용:
*(별표) 문자는 \ 및 / 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 문자의 조합을 나타낼 수 있습니다. 예를 들어 C:\*\*.txt 마스크에는 C: 드라이브의 폴더(하위 폴더 제외)에 있는 TXT 확장자를 가진 파일에 대한 모든 경로가 포함됩니다.
* 문자를 두 번 연속 사용하면 파일 또는 폴더 이름에서 \ 및 / 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 포함하여 모든 문자(공백 포함)의 조합을 나타낼 수 있습니다. 예를 들어, C:\Folder\**\*.txt 마스크는 Folder라는 이름의 폴더를 제외하고 Folder 내에 포함된 폴더에 있는 TXT 확장자 파일에 대한 모든 경로를 포함합니다. 마스크에는 적어도 하나의 하위 레벨이 포함되어야 합니다. C:\**\*.txt 마스크는 하위 레벨의 폴더가 없어 유효한 마스크가 아닙니다.
?(물음표) 문자는 \ 및 / 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 단일 문자를 나타낼 수 있습니다. 예를 들어 C:\Folder\???.txt 마스크는 TXT 확장자를 가지고 있으며 세 개 문자를 가진 Folder 폴더 내의 모든 파일에 대한 경로를 포함하게 됩니다.
레지스트리. 모니터링 범위에서 예외 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 * 및 ? 문자를 지원합니다. 예외 항목이 모니터링 범위 항목에 우선합니다.
신뢰하는 사용자 및/또는 사용자 그룹
신뢰하는 사용자 는 모니터링 범위에서 파일 및 레지스트리 키로 작업을 수행할 수 있는 사용자입니다. Kaspersky Endpoint Security가 신뢰하는 사용자가 수행한 작업을 탐지하면 시스템 무결성 모니터가 정보 이벤트를 생성합니다.
Active Directory와 Kaspersky Security Center의 계정 목록에서 사용자를 선택하거나 로컬 사용자 이름을 수동으로 입력하여 사용자를 선택할 수 있습니다. Kaspersky는 도메인 사용자 계정을 사용할 수 없는 특별한 경우에만 로컬 사용자 계정을 사용할 것을 권장합니다.
파일 작동 표식/모니터링하는 작업
애플리케이션이 모니터링할 파일 또는 레지스트리 키로 작업을 특성화하는 마커입니다.
해싱
수정 시 파일 해시를 계산합니다. Kaspersky Endpoint Security는 이벤트가 생성될 때 파일의 해시에 대한 정보를 추가합니다.