사전 정의된 규칙 구성
사전 정의된 규칙에는 보호 대상 컴퓨터에서 일어나는 비정상 활동 템플릿이 포함됩니다. 비정상 활동은 공격 시도를 의미할 수 있습니다. 사전 정의된 규칙은 휴리스틱 분석으로 작동합니다. 7가지 사전 정의된 규칙을 로그 검사에서 사용할 수 있습니다. 규칙을 작동하거나 중지할 수 있습니다. 사전 정의된 규칙은 삭제할 수 없습니다.
다음 작업의 이벤트를 모니터링하는 규칙의 트리거 기준을 구성할 수 있습니다.
- 무차별 암호 대입 감지
- 네트워크 로그인 감지
관리 콘솔(MMC)에서 사전 정의된 규칙을 구성하는 방법
- Kaspersky Security Center 관리 콘솔 창을 엽니다.
- 관리 콘솔 트리의 관리 중인 기기 폴더에서 관련 클라이언트 컴퓨터가 속한 관리 그룹의 이름을 가진 폴더를 엽니다.
- 작업 공간에서 정책 탭을 선택합니다.
- 필요한 정책을 선택하고 더블 클릭하여 정책 속성을 엽니다.
- 정책 창에서 보안 제어 → 로그 검사를 선택합니다.
- 로그 검사 확인란이 선택되어 있어야 합니다.
- 사전 정의된 규칙 블록에서 설정 버튼을 누릅니다.
- 사전 정의된 규칙을 구성하는 확인란을 선택하거나 선택을 해제합니다.
- 시스템에서 무차별 대입 공격 의심 패턴이 발견되었습니다.
- 네트워크 로그인 세션 도중 이례적 활동이 감지되었습니다.
- Windows 이벤트 로그 남용 패턴이 발견되었습니다.
- 설치된 새 서비스가 아닌 이례적 작업이 감지되었습니다.
- 명시적 자격 증명을 사용하는 이례적 로그인이 감지되었습니다.
- 시스템에서 Kerberos 위조 PAC(MS14-068) 공격 의심 패턴이 발견되었습니다.
- 권한이 있는 내장 관리자 그룹에서 의심스러운 변경 사항이 감지되었습니다.
- 필요할 경우 시스템에서 무차별 대입 공격 의심 패턴이 발견되었습니다 규칙을 구성합니다.
- 규칙 밑에 있는 설정 버튼을 클릭합니다.
- 열린 창에서 규칙 트리거에 필요한 암호 입력 횟수와 시간을 지정합니다.
- 확인을 누릅니다.
- 네트워크 로그인 세션 도중 이례적 활동이 감지되었습니다 규칙을 선택했다면, 다음과 같이 설정을 구성해야 합니다.
- 규칙 밑에 있는 설정 버튼을 클릭합니다.
- 네트워크 로그인 감지 블록에서 시간 간격의 시작과 끝을 지정합니다.
Kaspersky Endpoint Security는 지정한 간격 도중 수행한 로그인 시도를 비정상 활동으로 간주합니다.
기본적으로 간격은 설정되지 않으며 애플리케이션은 로그인 시도를 모니터링하지 않습니다. 애플리케이션이 로그인 시도를 계속 모니터링하려면 간격을 오전 12:00부터 오후 11:59로 설정합니다. 간격의 시작과 끝은 다르게 설정해야 합니다. 시작과 끝을 같게 설정 시 애플리케이션이 로그인 시도를 모니터링하지 않습니다.
- 신뢰되는 사용자와 신뢰하는 IP 주소(IPv4 및 IPv6)의 목록을 생성합니다.
Kaspersky Endpoint Security는 이러한 사용자와 컴퓨터에 대한 로그온 시도는 모니터링하지 않습니다.
- 확인을 누릅니다.
- 변경 사항을 저장합니다.
웹 콘솔 및 클라우드 콘솔에서 사전 정의된 규칙을 구성하는 방법
- 웹 콘솔의 메인 창에서 기기 → 정책 및 프로필을 선택합니다.
- Kaspersky Endpoint Security 정책 이름을 클릭합니다.
정책 속성 창이 열립니다.
- 애플리케이션 설정 탭을 선택합니다.
- 보안 제어 → 로그 검사로 이동합니다.
- 로그 검사 토글 스위치가 켜져야 합니다.
- 사전 정의된 규칙 블록에서 토글을 사용해 사전 정의된 규칙을 사용하도록 설정하거나 해제합니다.
- 시스템에서 무차별 대입 공격 의심 패턴이 발견되었습니다.
- 네트워크 로그인 세션 도중 이례적 활동이 감지되었습니다.
- Windows 이벤트 로그 남용 패턴이 발견되었습니다.
- 설치된 새 서비스가 아닌 이례적 작업이 감지되었습니다.
- 명시적 자격 증명을 사용하는 이례적 로그인이 감지되었습니다.
- 시스템에서 Kerberos 위조 PAC(MS14-068) 공격 의심 패턴이 발견되었습니다.
- 권한이 있는 내장 관리자 그룹에서 의심스러운 변경 사항이 감지되었습니다.
- 필요할 경우 시스템에서 무차별 대입 공격 의심 패턴이 발견되었습니다 규칙을 구성합니다.
- 규칙 밑에 있는 설정을 클릭합니다.
- 열린 창에서 규칙 트리거에 필요한 암호 입력 횟수와 시간을 지정합니다.
- 확인을 누릅니다.
- 네트워크 로그인 세션 도중 이례적 활동이 감지되었습니다 규칙을 선택했다면, 다음과 같이 설정을 구성해야 합니다.
- 규칙 밑에 있는 설정을 클릭합니다.
- 네트워크 로그인 감지 블록에서 시간 간격의 시작과 끝을 지정합니다.
Kaspersky Endpoint Security는 지정한 간격 도중 수행한 로그인 시도를 비정상 활동으로 간주합니다.
기본적으로 간격은 설정되지 않으며 애플리케이션은 로그인 시도를 모니터링하지 않습니다. 애플리케이션이 로그인 시도를 계속 모니터링하려면 간격을 오전 12:00부터 오후 11:59로 설정합니다. 간격의 시작과 끝은 다르게 설정해야 합니다. 시작과 끝을 같게 설정 시 애플리케이션이 로그인 시도를 모니터링하지 않습니다.
- 예외 규칙 블록에서 신뢰되는 사용자와 신뢰하는 IP 주소(IPv4 및 IPv6)를 추가합니다.
Kaspersky Endpoint Security는 이러한 사용자와 컴퓨터에 대한 로그온 시도는 모니터링하지 않습니다.
- 확인을 누릅니다.
- 변경 사항을 저장합니다.
애플리케이션 인터페이스에서 사전 정의된 규칙을 구성하는 방법
- 메인 애플리케이션 창에서
버튼을 클릭합니다. - 애플리케이션 설정 창에서 보안 제어 → 로그 검사를 선택합니다.
- 로그 검사 토글 스위치가 켜져야 합니다.
- 사전 정의된 규칙 블록에서 구성 버튼을 누릅니다.
- 사전 정의된 규칙을 구성하는 확인란을 선택하거나 선택을 해제합니다.
- 시스템에서 무차별 대입 공격 의심 패턴이 발견되었습니다.
- 네트워크 로그인 세션 도중 이례적 활동이 감지되었습니다.
- Windows 이벤트 로그 남용 패턴이 발견되었습니다.
- 설치된 새 서비스가 아닌 이례적 작업이 감지되었습니다.
- 명시적 자격 증명을 사용하는 이례적 로그인이 감지되었습니다.
- 시스템에서 Kerberos 위조 PAC(MS14-068) 공격 의심 패턴이 발견되었습니다.
- 권한이 있는 내장 관리자 그룹에서 의심스러운 변경 사항이 감지되었습니다.
- 필요할 경우 시스템에서 무차별 대입 공격 의심 패턴이 발견되었습니다 규칙을 구성합니다.
- 규칙 밑에 있는 설정을 클릭합니다.
- 열린 창에서 규칙 트리거에 필요한 암호 입력 횟수와 시간을 지정합니다.
- 네트워크 로그인 세션 도중 이례적 활동이 감지되었습니다 규칙을 선택했다면, 다음과 같이 설정을 구성해야 합니다.
- 규칙 밑에 있는 설정을 클릭합니다.
- 네트워크 로그인 감지 블록에서 시간 간격의 시작과 끝을 지정합니다.
Kaspersky Endpoint Security는 지정한 간격 도중 수행한 로그인 시도를 비정상 활동으로 간주합니다.
기본적으로 간격은 설정되지 않으며 애플리케이션은 로그인 시도를 모니터링하지 않습니다. 애플리케이션이 로그인 시도를 계속 모니터링하려면 간격을 오전 12:00부터 오후 11:59로 설정합니다. 간격의 시작과 끝은 다르게 설정해야 합니다. 시작과 끝을 같게 설정 시 애플리케이션이 로그인 시도를 모니터링하지 않습니다.
- 예외 규칙 블록에서 신뢰되는 사용자와 신뢰하는 IP 주소(IPv4 및 IPv6)를 추가합니다.
Kaspersky Endpoint Security는 이러한 사용자와 컴퓨터에 대한 로그온 시도는 모니터링하지 않습니다.
- 변경 사항을 저장합니다.
이후 규칙이 트리거되면 Kaspersky Endpoint Security가 심각 이벤트를 생성합니다.
맨 위로