Kaspersky Endpoint Security for Windows에는 Kaspersky Sandbox 솔루션 통합을 위한 내장 에이전트가 포함됩니다. Sandbox 구성 요소는 컴퓨터에서 지능형 보안위협을 탐지하고 자동 차단합니다. Sandbox는 조직의 IT 인프라에 대한 표적 공격의 활동 특성 및 악성 활동 탐지를 위해 개체 행동을 분석합니다. Sandbox는 Microsoft Windows 운영 체제(Sandbox 서버)의 가상 이미지가 배포된 특수 서버의 개체를 분석하고 검사합니다. 이 솔루션에 대한 자세한 내용은 Kaspersky Sandbox 도움말 및 Kaspersky Anti Targeted Attack Platform 도움말을 참조하십시오.
12.7 버전부터 Kaspersky Endpoint Security for Windows는 Kaspersky Anti Targeted Attack Platform 솔루션의 일부인 Sandbox 구성 요소를 지원합니다. Kaspersky Sandbox 솔루션과 달리 KATA Sandbox 구성 요소는 파일 마우스 오른쪽 메뉴를 통해서만 수동으로 파일을 검사할 수 있습니다.
KATA Sandbox를 배포하려면 Kaspersky Anti Targeted Attack Platform 7.0 이상이 필요합니다.
구성 요소는 Kaspersky Security Center 웹 콘솔을 통해서만 관리할 수 있습니다. 관리 콘솔(MMC)로는 이 구성 요소를 관리할 수 없습니다.
Sandbox 구성 요소 설정
파라미터 |
설명 |
|---|---|
통합 유형 |
|
서버 TLS 인증서 |
Sandbox 서버와의 신뢰할 수 있는 연결을 구성하려면 TLS 인증서를 준비해야 합니다. 그런 다음 정책을 사용하여 컴퓨터에 인증서를 추가해야 합니다. 또한 Sandbox 서버에 인증서를 추가해야 합니다. KATA Sandbox(검사를 위한 수동 파일 제출) 유형을 선택하면 Central Node 서버에 인증서를 추가해야 합니다. |
서버 연결 설정 |
시간 초과. Sandbox 서버 연결에 대한 시간 초과입니다. 구성된 시간 초과를 넘으면 Kaspersky Endpoint Security가 다음 서버로 요청을 보냅니다. 연결 속도가 느리거나 연결이 불안정하다면 서버의 연결 시간 초과 설정을 늘릴 수 있습니다. 요청 시간 초과 설정은 0.5초 이하를 권장합니다. 요청 대기열. 요청 대기열 폴더의 크기입니다. Sandbox에서 검사하기 위해 여러 개체를 전송하는 경우 Kaspersky Endpoint Security는 요청 대기열을 생성합니다. 기본적으로 요청 대기열 폴더의 크기는 100MB로 제한됩니다. 최대 크기에 도달하면 Sandbox는 대기열에 새 요청 추가를 중지하고 해당 이벤트를 Kaspersky Security Center로 보냅니다. 서버 구성에 따라 요청 대기열 폴더의 크기를 구성할 수 있습니다. 서버 TLS 인증서. Sandbox 서버와의 신뢰할 수 있는 연결을 구성하려면 TLS 인증서를 준비해야 합니다. 그런 다음 정책을 사용하여 컴퓨터에 인증서를 추가해야 합니다. 또한 Sandbox 서버에 인증서를 추가해야 합니다. 양방향 인증 사용(KATA Sandbox 전용). Kaspersky Endpoint Security와 Central Node 서버 간에 보안 연결을 설정할 때 양방향 인증. 양방향 인증을 사용하려면 Central Node 서버 설정에서 양방향 인증을 활성화한 다음 암호화 컨테이너를 가져오고 암호를 설정하여 암호화 컨테이너를 보호해야 합니다. 암호화 컨테이너는 인증서와 개인 키가 있는 PFX 압축 파일입니다. Kaspersky Anti Targeted Attack Platform 콘솔에서 암호화 컨테이너를 얻을 수 있습니다(Kaspersky Anti Targeted Attack Platform 도움말의 지침 참조). Sandbox 서버 설정을 구성한 후 Kaspersky Endpoint Security 설정에서 양방향 인증도 활성화하고 암호가 걸려 있는 암호화 컨테이너도 로드해야 합니다. |
서버 |
Sandbox 서버 연결 설정입니다. 서버는 Microsoft Windows 운영 체제의 배포된 가상 이미지를 사용하여 검사할 개체를 실행합니다. IP 주소(IPv4 또는 IPv6)나 정규화된 도메인 이름을 입력할 수 있습니다. |
위협 탐지 시 처리 방법 |
격리 저장소로 사본을 옮기고 개체 삭제. 이 옵션을 선택하면 Kaspersky Endpoint Security가 컴퓨터에서 발견된 악성 개체를 삭제합니다. 개체를 삭제하기 전에 Kaspersky Endpoint Security는 나중에 개체를 복원해야 할 때를 대비하여 백업 복사본을 생성합니다. Kaspersky Endpoint Security는 백업 복사본을 격리 저장소로 이동합니다. 중요 영역 검사 실행. 이 옵션을 선택하면 Kaspersky Endpoint Security가 중요 영역 검사 작업을 실행합니다. Kaspersky Endpoint Security는 기본적으로 커널 메모리, 실행 중인 프로세스 및 디스크 부트 섹터를 검사합니다. IOC 검사 작업 생성. 이 옵션을 선택하면 Kaspersky Endpoint Security가 자동으로 IOC 검사(자율적 IOC 검사 작업)를 생성합니다. 이 작업에 대해 실행 모드, 검사 범위 및 IOC 탐지에 대한 작업(개체 삭제, 중요 영역 검사 작업 실행)을 구성할 수 있습니다. IOC 검사 작업에 대한 다른 설정을 수정하려면 작업 설정으로 이동합니다. |
IOC 검사 범위 |
중요한 파일 영역. 이 옵션을 선택하면 Kaspersky Endpoint Security는 컴퓨터의 중요한 파일 영역(커널 메모리 및 부트 섹터)에서만 IOC 검사를 수행합니다. 컴퓨터 시스템 드라이브의 파일 영역. 이 옵션을 선택하면 Kaspersky Endpoint Security가 컴퓨터의 시스템 드라이브에서 IOC 검사를 수행합니다. |
IOC 검사 작업 실행 |
수동. 편리한 시간에 IOC 검사 작업을 수동으로 시작할 수 있는 실행 모드입니다. 위협 탐지 후. 보안위협이 탐지되면 Kaspersky Endpoint Security가 자동으로 IOC 검사 작업을 실행하는 실행 모드입니다. 컴퓨터가 유휴 상태일 때만 실행. 화면 보호기가 활성화되었거나 화면이 잠겨 있을 때 Kaspersky Endpoint Security가 IOC 검사 작업을 실행하는 실행 모드입니다. 사용자가 컴퓨터의 잠금을 해제하면 Kaspersky Endpoint Security가 작업을 일시 중지합니다. 따라서 작업을 완료하는 데 며칠이 걸릴 수 있습니다. |