온디맨드 시스템 무결성 검사

온디맨드 시스템 무결성 검사는 수동으로 또는 스케줄에 따라 실행할 수 있는 작업입니다. 시스템 무결성 검사 작업을 실행할 때 애플리케이션은 모니터링 범위에 포함된 개체의 현재 상태를 베이스라인 상태와 비교합니다. 실시간 시스템 무결성 모니터와 달리, 시스템 무결성 검사 작업은 이벤트 수를 제한하고 운영 체제의 변경 사항에 대한 전반적인 리포트를 생성할 수 있도록 도와줍니다.

시스템 무결성 모니터가 작동하려면 적어도 하나 이상의 규칙을 추가해야 합니다. 시스템 무결성 모니터 규칙은 파일 및 레지스트리에 대한 사용자의 접근을 정의하는 기준입니다. 시스템 무결성 모니터는 지정된 모니터링 범위 내에서 파일 및 레지스트리의 변경 사항을 탐지합니다. 모니터링 범위는 시스템 무결성 모니터 규칙의 기준 중 하나입니다. 실시간 시스템 무결성 모니터에서 시스템 무결성 검사 작업에서 공유할 규칙을 구성하거나 작업에 대한 규칙을 별도로 생성할 수 있습니다. 베이스라인을 생성하기 위해 Kaspersky Endpoint Security는 시스템 무결성 검사 작업의 모니터링 범위를 베이스라인 업데이트 작업에 적용합니다.

베이스라인 생성 및 업데이트

시스템 무결성 검사 작업이 작동하려면 베이스라인이 필요합니다. 베이스라인은 시스템 내 객체의 기록된 상태로 애플리케이션이 현재 상태와 비교할 때 이를 참조합니다. 시스템의 현재 상태가 베이스라인에 기록된 시스템 상태와 다른 경우 Kaspersky Endpoint Security가 해당 이벤트를 생성합니다. 베이스라인 업데이트 작업을 사용하여 베이스라인을 생성하거나 업데이트할 수 있습니다.

다음 모드로 베이스라인을 업데이트할 수 있습니다.

관리 콘솔(MMC)에서 베이스라인을 생성하거나 업데이트하는 방법

웹 콘솔에서 베이스라인을 생성하거나 업데이트하는 방법

시스템 무결성 검사 작업에 대한 모니터링 범위 구성하기

시스템 무결성 검사 작업의 모니터링 범위는 기본값으로 실시간 시스템 무결성 모니터의 모니터링 범위와 같습니다. 작업에 대해 다른 모니터링 범위를 구성할 수 있습니다.

관리 콘솔(MMC)에서 시스템 무결성 검사 작업에 대해 다른 모니터링 범위를 구성하는 방법

웹 콘솔에서 시스템 무결성 검사 작업에 대해 다른 모니터링 범위를 구성하는 방법

애플리케이션 인터페이스에서 시스템 무결성 검사 작업에 대해 다른 모니터링 범위를 구성하는 방법

시스템 무결성 검사 작업 규칙 설정

파라미터

설명

규칙 이름

시스템 무결성 검사 작업 규칙 이름.

이벤트 심각도 수준

Kaspersky Endpoint Security는 모니터링 범위 내 파일 또는 레지스트리 키가 수정될 때마다 파일 수정 이벤트를 기록합니다. 사용할 수 있는 이벤트 심각도는 정보(정보 이벤트 아이콘.), 경고(경고 이벤트 아이콘.), 심각(심각 이벤트 아이콘.)입니다.

모니터링 범위

  • 파일. 구성 요소가 모니터링하는 파일 및 폴더 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 *? 문자를 지원합니다.

    마스크 사용:

    • *(별표) 문자는 \/ 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 문자의 조합을 나타낼 수 있습니다. 예를 들어 C:\*\*.txt 마스크에는 C: 드라이브의 폴더(하위 폴더 제외)에 있는 TXT 확장자를 가진 파일에 대한 모든 경로가 포함됩니다.
    • * 문자를 두 번 연속 사용하면 파일 또는 폴더 이름에서 \/ 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 포함하여 모든 문자(공백 포함)의 조합을 나타낼 수 있습니다. 예를 들어, C:\Folder\**\*.txt 마스크는 Folder라는 이름의 폴더를 제외하고 Folder 내에 포함된 폴더에 있는 TXT 확장자 파일에 대한 모든 경로를 포함합니다. 마스크에는 적어도 하나의 하위 레벨이 포함되어야 합니다. C:\**\*.txt 마스크는 하위 레벨의 폴더가 없어 유효한 마스크가 아닙니다.
    • ?(물음표) 문자는 \/ 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 단일 문자를 나타낼 수 있습니다. 예를 들어 C:\Folder\???.txt 마스크는 TXT 확장자를 가지고 있으며 세 개 문자를 가진 Folder 폴더 내의 모든 파일에 대한 경로를 포함하게 됩니다.
  • 레지스트리. 구성 요소가 모니터링하는 레지스트리 키와 값의 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 *? 문자를 지원합니다.

예외 규칙

  • 파일. 모니터링 범위에서 예외 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 환경 변수와 *? 문자를 지원합니다. 예: C:\Folder\Application\*.log. 예외 항목이 모니터링 범위 항목에 우선합니다.

    마스크 사용:

    • *(별표) 문자는 \/ 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 문자의 조합을 나타낼 수 있습니다. 예를 들어 C:\*\*.txt 마스크에는 C: 드라이브의 폴더(하위 폴더 제외)에 있는 TXT 확장자를 가진 파일에 대한 모든 경로가 포함됩니다.
    • * 문자를 두 번 연속 사용하면 파일 또는 폴더 이름에서 \/ 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 포함하여 모든 문자(공백 포함)의 조합을 나타낼 수 있습니다. 예를 들어, C:\Folder\**\*.txt 마스크는 Folder라는 이름의 폴더를 제외하고 Folder 내에 포함된 폴더에 있는 TXT 확장자 파일에 대한 모든 경로를 포함합니다. 마스크에는 적어도 하나의 하위 레벨이 포함되어야 합니다. C:\**\*.txt 마스크는 하위 레벨의 폴더가 없어 유효한 마스크가 아닙니다.
    • ?(물음표) 문자는 \/ 문자(파일 및 폴더에 대한 경로에서 파일 및 폴더 이름의 구분 기호)를 제외한 모든 단일 문자를 나타낼 수 있습니다. 예를 들어 C:\Folder\???.txt 마스크는 TXT 확장자를 가지고 있으며 세 개 문자를 가진 Folder 폴더 내의 모든 파일에 대한 경로를 포함하게 됩니다.
  • 레지스트리. 모니터링 범위에서 예외 목록입니다. Kaspersky Endpoint Security는 마스크를 입력할 때 *? 문자를 지원합니다. 예외 항목이 모니터링 범위 항목에 우선합니다.

시스템 무결성 검사 작업 실행

시스템 무결성 검사 작업을 통해 파일 또는 레지스트리 키 변경 사항과 외부 장치 연결 상태를 확인할 수 있습니다. 파일의 변경 사항을 확인하려면 다음 모드에서 시스템 무결성 검사 작업을 실행할 수 있습니다:

작업이 실행되는 모드는 레지스트리나 외부 장치의 검사에 영향을 미치지 않습니다.

관리 콘솔(MMC)에서 시스템 무결성 검사 작업을 실행하는 방법

웹 콘솔에서 시스템 무결성 검사 작업을 실행하는 방법

시스템 무결성 검사 작업을 성공적으로 완료하려면 시스템 무결성 검사 작업의 모니터링 범위가 베이스라인과 완전히 일치해야 합니다. 모니터링 범위가 다르면 작업이 오류와 함께 종료됩니다. 모니터링 범위를 동기화하려면 베이스라인 업데이트 작업을 새 모니터링 범위로 실행하세요.

맨 위로