적응형 이상 행위 제어 규칙에 대한 예외 규칙 생성
적응형 이상 행위 제어 규칙에 대한 예외는 1,000개보다 많이 생성할 수 없습니다. 예외는 200개보다 많이 생성하지 않는 것이 좋습니다. 사용되는 예외 수를 줄이려면 예외 설정에서 마스크를 사용하는 것이 좋습니다.
적응형 이상 행위 제어 규칙에 대한 예외에는 소스 및 대상 개체에 대한 설명이 포함됩니다. 소스 개체는 작업을 수행하는 개체입니다. 대상 개체는 작업이 수행되는 개체입니다. 예를 들어 file.xlsx
라는 파일을 열었습니다. 따라서 DLL 확장자를 가진 라이브러리 파일이 컴퓨터 메모리에 로드됩니다. 이 라이브러리는 브라우저에서 사용됩니다(browser.exe
라는 실행 파일). 이 예에서 file.xlsx
는 소스 개체이며 Excel은 소스 프로세스, browser.exe
는 대상 개체이고 Browser는 대상 프로세스입니다.
적응형 이상 행위 제어 규칙의 예외 규칙을 생성하려면 다음과 같이 하십시오.
- 메인 애플리케이션 창에서 버튼을 클릭합니다.
- 애플리케이션 설정 창에서 보안 제어 → 적응형 이상 행위 제어를 선택합니다.
- 규칙 블록에서 규칙 편집 버튼을 클릭합니다.
적응형 이상 행위 제어 규칙 목록이 열립니다.
- 표에서 규칙을 선택합니다.
- 편집을 클릭합니다.
적응형 이상 행위 제어 규칙 속성 창이 열립니다.
- 예외 규칙 창에서 추가 버튼을 누릅니다.
예외 규칙 속성 창이 열립니다.
- 예외 규칙을 구성할 사용자를 선택합니다. Active Directory에서 사용자 목록을 생성합니다.
적응형 이상 행위 제어는 사용자 그룹 예외 규칙을 지원하지 않습니다. 사용자 그룹을 선택하면 Kaspersky Endpoint Security가 예외 규칙을 적용하지 않습니다.
- 설명 필드에 예외 규칙의 설명을 입력합니다.
- 개체에 의해 시작된 소스 개체 또는 소스 프로세스의 설정 정의:
- 소스 프로세스. 파일이 포함된 파일 또는 폴더의 경로 또는 마스크(
С:\Dir\File.exe
또는Dir\*.exe
등). - 소스 프로세스 해시. 파일 해시 코드.
- 소스 개체. 파일이 포함된 파일 또는 폴더의 경로 또는 마스크(
С:\Dir\File.exe
또는Dir\*.exe
등). 예, 스크립트 또는 매크로를 사용하여 대상 프로세스를 시작하는document.docm
파일 경로.또한 웹 주소, 매크로, 명령줄의 명령, 레지스트리 경로 등의 제외할 다른 개체를 지정할 수도 있습니다. 다음 템플릿에 따라 개체를 지정합니다:
object://<object>,
여기서<object>
는 개체 이름을 나타냅니다. 예,object://web.site.example.com
,object://VBA, object://ipconfig
,object://HKEY_USERS
. 마스크를 사용할 수도 있습니다. 예,object://*C:\Windows\temp\*
. - 소스 개체 해시. 파일 해시 코드.
적응형 이상 행위 제어 규칙은 개체에 의해 수행된 작업 또는 개체에 의해 시작된 프로세스에 적용되지 않습니다.
- 소스 프로세스. 파일이 포함된 파일 또는 폴더의 경로 또는 마스크(
- 개체에서 시작된 대상 개체 또는 대상 프로세스의 설정을 지정합니다.
- 대상 프로세스. 파일이 포함된 파일 또는 폴더의 경로 또는 마스크(
С:\Dir\File.exe
또는Dir\*.exe
등). - 대상 프로세스 해시. 파일 해시 코드.
- 대상 개체. 대상 프로세스를 시작하는 명령.
object://<명령>
패턴을 사용하여 명령을 지정합니다. 예,object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"
. 마스크를 사용할 수도 있습니다. 예,object://*C:\Windows\temp\*
. - 대상 개체 해시. 파일 해시 코드.
적응형 이상 행위 제어 규칙은 개체에서 행한 작업 또는 개체에서 시작된 프로세스에 적용되지 않습니다.
- 대상 프로세스. 파일이 포함된 파일 또는 폴더의 경로 또는 마스크(
- 변경 사항을 저장합니다.