Sophos Central Admin · 2020. 7. 17. · 위협 사례 (페이지 22) 위협 사례를 사용하면...

Sophos Central Admin

도움말

목차이 도움말 정보...................................................................................................................................1라이선스 활성화.................................................................................................................................2개요....................................................................................................................................................3

대시보드.................................................................................................................................. 3경고......................................................................................................................................... 4위협 분석 센터...................................................................................................................... 20로그 및 보고서...................................................................................................................... 36사용자....................................................................................................................................57장치....................................................................................................................................... 69전역 설정...............................................................................................................................90장치 보호.............................................................................................................................162

Endpoint Protection..................................................................................................................... 176대시보드.............................................................................................................................. 176로그 및 보고서.................................................................................................................... 176사용자..................................................................................................................................180컴퓨터..................................................................................................................................191컴퓨터 그룹......................................................................................................................... 199정책..................................................................................................................................... 201설정..................................................................................................................................... 224장치 보호.............................................................................................................................259

암호화............................................................................................................................................ 269대시보드.............................................................................................................................. 269로그 및 보고서.................................................................................................................... 269사용자..................................................................................................................................271컴퓨터..................................................................................................................................282관리되지 않는 컴퓨터..........................................................................................................291컴퓨터 그룹......................................................................................................................... 292정책..................................................................................................................................... 293설정..................................................................................................................................... 298장치 보호.............................................................................................................................315

Server Protection.........................................................................................................................317대시보드.............................................................................................................................. 317로그 및 보고서.................................................................................................................... 317서버..................................................................................................................................... 320AWS 서버............................................................................................................................330정책..................................................................................................................................... 334설정..................................................................................................................................... 363장치 보호.............................................................................................................................396

Wireless........................................................................................................................................ 401무선 대시보드......................................................................................................................401무선 경고.............................................................................................................................403장치..................................................................................................................................... 404사용 현황 파악.................................................................................................................... 405무선 진단.............................................................................................................................405액세스 지점......................................................................................................................... 413SSID.................................................................................................................................... 417사이트..................................................................................................................................430설정..................................................................................................................................... 433

Email Gateway............................................................................................................................. 435Email Gateway에 사서함 추가............................................................................................435도메인 설정/상태................................................................................................................. 436정책 및 설정........................................................................................................................437

(2020/09/02)

이메일 게이트웨이 대시보드................................................................................................437메시지 기록 보고서............................................................................................................. 439메시지 요약 보고서............................................................................................................. 440지능형 위협 보고서............................................................................................................. 441클릭 시간 요약.................................................................................................................... 441위험 사용자......................................................................................................................... 442데이터 손실 방지 정책 위반................................................................................................ 442사용자..................................................................................................................................443사서함..................................................................................................................................453격리된 메시지......................................................................................................................456정책..................................................................................................................................... 457설정..................................................................................................................................... 472Sophos Email과 외부 서비스 통합......................................................................................497

Web Gateway............................................................................................................................... 521대시보드.............................................................................................................................. 521로그..................................................................................................................................... 522보고서..................................................................................................................................522사용자..................................................................................................................................522컴퓨터..................................................................................................................................533정책..................................................................................................................................... 541설정..................................................................................................................................... 548장치 보호.............................................................................................................................571

방화벽 관리....................................................................................................................................572대시보드.............................................................................................................................. 572방화벽..................................................................................................................................573작업 대기열......................................................................................................................... 593동적 개체.............................................................................................................................594백업..................................................................................................................................... 595

Phish Threat.................................................................................................................................597대시보드.............................................................................................................................. 597보고서..................................................................................................................................598사용자..................................................................................................................................599캠페인..................................................................................................................................610설정..................................................................................................................................... 617

Cloud Optix...................................................................................................................................630모바일............................................................................................................................................ 631무료 평가판....................................................................................................................................632

평가판 라이선스 배너..........................................................................................................633계정 및 라이선싱........................................................................................................................... 634

계정 세부 정보.................................................................................................................... 634라이선싱.............................................................................................................................. 637

조기 액세스 프로그램.................................................................................................................... 640지원되는 웹 브라우저.................................................................................................................... 642언어................................................................................................................................................643추가 지원 받기.............................................................................................................................. 645법적 고지.......................................................................................................................................646

(2020/09/02)


1 이 도움말 정보이 도움말은 Sophos Central의 모든 기능을 사용하는 방법을 알려줍니다.

여기에서 필요한 도움을 얻을 수 없는 경우에는 당사 웹 사이트의 지원 섹션으로 이동하여 도움말을검색하십시오. 이렇게 하면 지식 자료 문서 또는 Sophos 커뮤니티의 토론을 찾을 수 있습니다.

팁Sophos Central을 아직 사용해 보지 않으셨습니까? 여기에 가입하시면 시작할 수 있도록 도와드리겠습니다.

관리자가 Microsoft 로그인을 설정해 둔 경우 이 정보를 사용하여 로그인할 수 있습니다. Microsoft로 로그인을 클릭하고 Microsoft 로그인 세부 정보를 입력합니다.

Copyright © Sophos Limited 1

https://secure2.sophos.com/en-us/support.aspxhttps://central.sophos.com/manage/login


2 라이선스 활성화새 라이선스를 구입하면 라이선스를 활성화해야 합니다.

Sophos Central에서 이와 같이 하면 됩니다(Sophos 파트너가 라이선스 활성화를 처리하는 경우 제외).

업그레이드를 구매하면 자동으로 활성화될 수도 있고 사용자가 활성화해야 할 수도 있습니다.

참고Sophos Central 체험판을 시작하는 경우에는 아직 라이선스를 활성화하지 않아도 됩니다. 유료라이선스로 업그레이드할 경우에만 이와 같이 합니다.

라이선스를 활성화하려면 다음과 같이 하십시오.

1. Sophos가 보내 드린 라이선스 일정에 라이선스 키가 표시되는지 확인합니다.

2. 사용자 인터페이스 오른쪽 위에서 계정 이름을 찾아봅니다. 이름을 클릭하고 라이선싱을 선택합니다.

3. 이제 귀하의 라이선스 키를 사용하십시오.

• 활성화 코드 적용이 표시되면 키를 입력하고 적용을 클릭합니다.

• 라이선스 키 적용 링크가 표시되면 클릭합니다. 키를 입력하고 적용을 클릭합니다.

4. 계정에 이미 키에 포함된 기능에 대한 라이선스가 있는 경우 또 다른 대화 상자가 표시됩니다. 그러면 새 라이선스를 사용하는 방법을 선택할 수 있습니다.

• 갱신을 선택하면 현재 라이선스가 만료될 때 새 라이선스를 시작합니다.

• 변경을 선택하면 지금 새 라이선스를 시작합니다. 모든 라이선스가 동일한 날짜에 만료되도록라이선스 기간을 조정하겠습니다.

적용을 다시 클릭합니다.

"변경" 옵션의 작동 방식

한 고객이 1년 단위의 라이선스 50개를 주문합니다. 6개월 후, 1년 단위의 라이선스 50개를 더 주문합니다.

고객이 변경을 선택하면 다음과 같이 처리됩니다.

• 이전 라이선스에 새 라이선스를 추가합니다. 고객은 이제 라이선스 100개를 갖게 됩니다.

• 이전 라이선스의 남은 기간(라이선스 50개 x 6개월 = 300)을 새 라이선스의 기간(라이선스 50개x 12개월 = 600)에 더합니다. 총 기간은 900개월입니다.

• 이 기간을 라이선스 100개에 모두 분배합니다. 각 사용자의 라이선스는 이제 키가 적용된 날짜로부터 9개월 동안 실행됩니다(만료일은 이에 따라 조정됨).

고객은 이제 지금부터 9개월 후에 모두 만료되는 라이선스 100개를 갖게 됩니다.

대부분의 경우에 기존 라이선스 만료일이 연장되지만 표시되는 새 만료일을 확인하십시오.

2 Copyright © Sophos Limited


3 개요기본 메뉴에는 Sophos Central에서 사용자에게 제공되는 기능이 나열됩니다. Endpoint Protection과 같은 제품 이름 아래에 나열됩니다.

또한 모든 라이선스 제품의 기능을 통합하는 개요도 있습니다.

3.1 대시보드

대시보드는 Sophos Central의 시작 페이지로, 사용자가 가장 중요한 정보를 한눈에 볼 수 있게 해줍니다. 다음 영역으로 구성되어 있습니다.

가장 최근 경고

가장 최근 경고는 최신 경고 몇 가지를 표시합니다. 정보 제공 경고는 정보 제공용으로만 제공되며,조치가 필요하지 않습니다.

모든 경고를 보려면 모든 경고 보기를 클릭합니다.

장치 및 사용자: 요약

장치 및 사용자: 요약은 사용자나 보호되는 장치에 대한 사용량 및 보호 세부 정보를 보여 줍니다.또한 보호되지 않은 사용자 또는 장치 수를 표시합니다.

각 장치 유형이나 사용자에 대한 정보를 보려면 탭을 클릭하십시오.

선택한 탭에 대한 상세 보고서를 열려면 보고서 보기를 클릭하십시오.

이메일 보안

인바운드는 다음 메시지 범주에 대한 정보를 보여 줍니다.

• 정상: 깨끗한 것으로 분류되었기 때문에 배달된 메시지.

• DLP 정책 위반: 데이터 손실 방지 정책을 위반한 메시지.

• 스팸: 스팸으로 분류된 메시지.

• 지능형 위협: 고급 위협이 포함된 것으로 분류된 메시지.

• 바이러스: 바이러스가 포함된 것으로 분류된 메시지.

• 인증 실패: DMARC, SPF 또는 DKIM에 의한 인증 확인에 실패한 메시지.

• 실시간 차단 목록: 차단된 전송 IP로 인해 감지된 메시지.

• 회사 차단 목록: 회사 차단 목록(인바운드 허용/차단)에 이미 추가된 주소로부터 전송된 메시지.

아웃바운드는 최근 30일 동안 보호된 사서함에 대해 Email Security가 검사한 총 아웃바운드 이메일 메시지 수를 나타냅니다. 또한 처리된 정상 메시지 수, 감지된 스팸 및 바이러스 메시지 수 및DLP 정책을 위반하는 메시지 수를 나타냅니다.

보고서 보기를 클릭하여 메시지 요약 보고서를 열고 처리된 메시지의 세부 정보를 검토하십시오. 메시지 요약 보고서를 참조하십시오.



웹 제어

웹 제어는 웹 제어 보호에 대한 통계를 보여 줍니다.

차단된 위협, 차단된 정책 위반, 정책 경고에 대한 수치입니다. 웹 사이트 방문 경고를 무시한 사용자의 수에 해당하는 "진행된 정책 경고"에 대한 수치도 있습니다.

자세한 보고서를 열려면 수치를 클릭하십시오.

웹 게이트웨이 차단 요약

웹 게이트웨이 차단 요약는 Web Gateway 보호에 대한 통계를 보여 줍니다(Web Gateway 라이선스가 있는 경우에만 표시됨).

차단된 맬웨어 및 차단된 웹 사이트에 대한 수치입니다.

자세한 보고서를 열려면 수치를 클릭하십시오.

관련 개념

메시지 요약 보고서 (페이지 55)Email Gateway 보고서에는 보호되는 사서함에 대해 메시지 요약가 처리하는 이메일 메시지의 세부정보가 나옵니다.

3.2 경고

경고 페이지에는 사용자의 조치가 필요한 모든 경고가 나열됩니다.

제한일부 기능은 아직 모든 고객에게 제공되지 않을 수도 있습니다.

자동으로 해결된 경고는 표시되지 않습니다. 전체 이벤트를 보려면 로그 및 보고서 > 이벤트(으)로이동합니다.

참고같은 이벤트가 반복적으로 발생하면 경고 이벤트 시간이 업데이트되지 않습니다.

경고 페이지에서 다음 작업을 수행할 수 있습니다.

• 경고 그룹화.

• 경고 필터링.

• 경고에 대해 조치.

• 이메일 경고 주기를 변경합니다.

여러 가지 유형의 경고에 대한 자세한 내용은 이 섹션의 다른 도움말 페이지를 참조하십시오.

참고Intercept X Advanced with EDR이 있으면 위협 사례에서 위협을 조사, 차단 및 정리할 수 있습니다.



경고 그룹화

목록의 단일 항목 아래에서 특정 위험이나 이벤트에 대한 모든 경고를 함께 그룹화할 수 있습니다.이렇게 하면 경고를 관리하기가 더 쉽습니다.

그룹을(를) 사용으로 설정합니다(페이지의 오른쪽 상단).

각 그룹 항목에 대한 경고 수를 확인하려면 개수을(를) 봅니다.

한 그룹의 경고를 모두 표시하려면 오른쪽의 펼치기 화살표를 클릭합니다.

경고 필터링

특정 우선순위를 가지는 경고를 보려면 페이지 상단에 있는 높음 경고, 중간 경고 또는 낮음 경고에대한 그림을 클릭합니다.

특정 제품 또는 위협 유형에 대한 경고를 보려면 경고 목록 위의 드롭다운 필터를 사용합니다.

경고에 대해 조치

경고에 대해 조치를 취할 수 있습니다.

개별 경고에 대한 조치를 취하려면 경고 옆에 있는 드롭다운 화살표를 클릭하여 해당 경고의 세부정보를 엽니다. 조치에서 조치 링크(사용 가능한 경우)를 클릭합니다.

경고 그룹을 보고 있는 경우에는 목록에서 해당 그룹 옆에 있는 조치 버튼(사용 가능한 경우)을 클릭합니다.

참고Sophos 딥 러닝이 맬웨어로 보고하는 응용 프로그램을 허용하려면, 여기가 아니라 이벤트 페이지에서 허용합니다.

경고 유형에 따라, 경고에 대해 다음과 같은 작업을 이용할 수 있습니다.

• 승인됨으로 표시: 목록에서 경고를 제거하려면 클릭합니다. 경고가 다시 표시되지 않습니다.

위협이 해결되지 않으며 컴퓨터 또는 서버의 격리 관리자에서 위협 세부 정보가 제거되지 않습니다.

• 해결됨으로 표시: 끝점 컴퓨터 또는 서버에서 위협이 이미 해결된 경우에 클릭합니다. 이 작업은Sophos Central의 목록에서 경고를 지우고 컴퓨터 또는 서버의 격리 관리자에서도 위협 세부 정보를 지웁니다.

이 작업은 위협을 해결하지는 않습니다.

이 작업은 Windows 끝점 컴퓨터 또는 서버에만 제공됩니다.

• 정리: 서버에서 랜섬웨어를 제거하려면 클릭합니다.

• 엔드포인트 보호 다시 설치: Sophos 에이전트 소프트웨어를 다운로드할 수 있는 장치 보호 페이지로 이동하려면 클릭합니다.

• 지원 문의: 추가 도움이 필요하면 클릭합니다. 이 작업은 맬웨어 정리가 실패했을 때처럼 도움이 필요할 때 제공됩니다.

• PUA 정리: 감지된 PUA(사용자 동의 없이 설치된 응용 프로그램)를 정리하려면 클릭합니다.

이 작업은 컴퓨터에만 사용할 수 있습니다.



네트워크 공유에서 PUA가 감지된 경우에는 이 작업이 제공되지 않을 수 있습니다. SophosEndpoint Protection 에이전트에 해당 파일을 정리할 수 있는 충분한 권한이 없기 때문입니다.PUA 처리에 대한 자세한 내용의 경우.

• PUA 권한 부여: PUA(사용자 동의 없이 설치된 응용 프로그램)가 모든 컴퓨터에서 실행될 수 있도록 권한을 부여하려면 클릭합니다. 응용 프로그램이 유용하다고 생각되면 이와 같이 할 수 있습니다.

이 작업은 컴퓨터에만 사용할 수 있습니다.

이메일 경고 주기 변경

경고 유형을 보내는 주기를 변경할 수 있습니다.

경고 옆에 있는 드롭다운 화살표를 클릭하여 해당 경고의 세부정보를 엽니다. 이메일 경고에서 이유형의 경고를 보내기 위한 빈도를 선택합니다.

이 설정은 이메일 경고 설정의 예외에 추가됩니다. 거기서 설정을 편집할 수도 있습니다.

관련 개념

위협 처리 방법 (페이지 11)

위협 사례 (페이지 21)위협 사례를 사용하면 맬웨어 공격을 조사하고 정리할 수 있습니다.

허용된 응용 프로그램 (페이지 133)

위협 방지에 대한 경고 (페이지 6)

설치, 업데이트, 규정 준수에 대한 경고 (페이지 9)

이벤트 보고서 (페이지 37)

이메일 경고 구성 (페이지 126)관리자가 이메일 경고를 수신하는 방법을 관리할 수 있습니다.

3.2.1 위협 방지에 대한 경고

위협 방지 경고에는 다음과 같은 유형이 있습니다.

위협에 대한 자세한 내용과 처리 방법에 대한 조언을 보려면 경고에서 해당 이름을 클릭하십시오.

또는 Sophos 웹 사이트의 위협 분석 페이지로 이동하십시오. 위협 분석 찾아보기 아래에서 위협 유형에 대한 링크를 클릭한 후 위협을 검색하거나 최신 항목 목록에서 찾아보십시오.

이벤트 목록에 맬웨어 감지가 ML/PE-A로 표시될 수도 있습니다.

높음

실시간 보호를 사용할 수 없음

2시간 반이 넘는 시간 동안 컴퓨터의 실시간 보호가 사용하지 않도록 설정되어 있습니다. 실시간 보호는 항상 켜져 있어야 합니다. Sophos 지원에서는 조사를 수행하기 위해 잠시 동안 이 기능을 끌것을 권장할 수 있습니다.

맬웨어가 정리되지 않음

자동 정리를 사용할 수 있더라도 24시간 경과 후에 감지된 일부 맬웨어를 제거할 수 없습니다. 자동정리 기능이 제공되지 않는 검사(예: 로컬로 구성된 주문형 검사)를 통해 맬웨어가 감지된 것 같습니다. 다음 중 한 가지 방법으로 맬웨어를 처리할 수 있습니다.

• 정책에서 검사를 예약하여 중앙에서 정리하십시오. 그러면 자동 정리를 사용할 수 있습니다.



• 격리 관리자를 통해 로컬에서 정리하십시오.

수동 정리가 필요함

자동 정리를 사용할 수 없으므로 감지된 일부 맬웨어를 자동으로 제거할 수 없습니다. 경고에서 "설명"을 클릭하여 Sophos 웹 사이트로 이동하십시오. 여기에서 위협 제거 방법에 대한 조언을 읽어 볼수 있습니다. 도움이 필요하면 Sophos 지원에 문의하십시오.

실행 중인 맬웨어가 정리되지 않음

컴퓨터에서 실행 중이고 악의적이거나 의심스러운 동작을 보이는 프로그램을 정리할 수 없습니다.위협에 대한 자세한 내용과 위협에 대응하는 방법을 알아보려면 경고에서 "설명"을 클릭하십시오.도움이 필요하면 Sophos 지원에 문의하십시오.

악성 트래픽이 감지됨

봇네트나 기타 맬웨어 공격에 관여하는 명령 및 제어 서버를 향한 악성 네트워크 트래픽이 감지되었습니다. 위협에 대한 자세한 내용과 위협에 대응하는 방법을 알아보려면 경고에서 "설명"을 클릭하십시오. 도움이 필요하면 Sophos 지원에 문의하십시오.

반복되는 감염

Sophos Central이 위협을 제거하려고 시도한 후에 컴퓨터가 다시 감염되었습니다. 위협에 감지되지않은 숨겨진 구성 요소가 있을 수 있기 때문입니다. 위협에 대한 심층적인 분석이 필요할 수 있습니다. 지원이 필요하면 Sophos 지원에 문의하십시오.

랜섬웨어가 감지됨

랜섬웨어를 감지하고 파일 시스템에 대한 액세스를 차단했습니다. 컴퓨터가 워크스테이션이면 자동으로 랜섬웨어를 정리해 드립니다. 다음과 같이 해야 합니다.

• 여전히 정리가 필요한 경우: 다른 컴퓨터에 위험을 주지 않는 네트워크로 컴퓨터를 임시로 이동하십시오. 컴퓨터로 이동하고 Sophos Clean을 실행합니다. 설치되어 있지 않으면 웹 Sophos 사이트에서 다운로드하십시오.

서버의 Sophos Central에서 Sophos Clean을 실행할 수 있습니다. 경고를 확인합니다.

• 자동 샘플 제출을 사용할 수 없으면 랜섬웨어의 샘플을 보내 주십시오. 샘플을 분류하고 회사의 규칙을 업데이트해 드리겠습니다. 악성일 경우 나중에 Sophos Central이 이를 차단합니다.

• Sophos Central로 이동하고 경고로 이동한 다음, 경고를 해결된 상태로 표시하십시오.

원격 컴퓨터를 공격하는 랜섬웨어가 감지됨

이 컴퓨터가 다른 컴퓨터의 파일을 암호화하려 하는 것을 감지했습니다.

네트워크 공유에 대한 컴퓨터의 쓰기 권한을 차단했습니다. 컴퓨터가 워크스테이션이고 랜섬웨어(CryptoGuard)로부터 문서 파일 보호가 활성화되어 있으면, 랜섬웨어가 자동으로 정리됩니다.

다음과 같이 해야 합니다.

• Sophos Central 정책에서 랜섬웨어(CryptoGuard)로부터 문서 파일 보호이 활성화되어 있는지 확인합니다. 그러면 더 자세한 정보가 제공됩니다.

• 정리가 자동으로 발생하지 않을 경우: 다른 컴퓨터에 위험을 주지 않는 네트워크로 컴퓨터를 이동하십시오. 그런 다음 컴퓨터로 이동하고 Sophos Clean을 실행합니다. 설치되어 있지 않으면 웹Sophos 사이트에서 다운로드하십시오.


보통

PUA(사용자 동의 없이 설치된 응용 프로그램)가 감지됨



애드웨어 또는 기타 PUA(사용자 동의 없이 설치된 응용 프로그램)일지도 모르는 일부 소프트웨어가감지되었습니다. 기본적으로 사용자 동의 없이 설치된 응용 프로그램은 차단됩니다. 유용하다고 판단된다면 권한을 부여하거나 정리할 수 있습니다.

PUA 권한 부여

PUA는 모든 컴퓨터에서 권한을 부여할지, 일부 컴퓨터에서만 권한을 부여할지에 따라 다음 두 가지방법 중 하나를 사용하여 권한을 부여할 수 있습니다.

• 경고 페이지에서 경고를 선택하고 페이지의 오른쪽 상단에서 PUA 권한 부여 버튼을 클릭합니다.이렇게 하면 모든 컴퓨터에서 PUA에 권한이 부여됩니다.

• 맬웨어 방지 정책의 검색 제외에 PUA를 추가합니다. 이렇게 하면 정책이 적용되는 컴퓨터에서만PUA에 권한이 부여됩니다.

PUA 정리

다음 두 가지 방법 중 하나로 PUA를 정리할 수 있습니다.

• 경고 페이지에서 경고를 선택하고 페이지의 오른쪽 상단에서 PUA 정리 버튼을 클릭합니다.

• 영향을 받는 컴퓨터에 있는 에이전트 소프트웨어의 격리 관리자에서 정리하십시오.

참고네트워크 공유에서 PUA가 감지된 경우에는 정리가 제공되지 않을 수 있습니다. Sophos 에이전트에 해당 파일을 정리할 수 있는 충분한 권한이 없기 때문입니다.

PUA(사용자 동의 없이 설치된 응용 프로그램)가 정리되지 않음

사용자 동의 없이 설치된 응용 프로그램을 제거할 수 없습니다. 수동 정리 작업이 필요할 수 있습니다. 응용 프로그램에 대한 자세한 내용과 위협에 대응하는 방법을 알아보려면 경고에서 "설명"을 클릭하십시오. 도움이 필요하면 Sophos 지원에 문의하십시오.

정리를 완료하기 위해 컴퓨터 검사가 필요함

위협 정리를 위해서는 전체 컴퓨터 검사가 필요합니다. 컴퓨터를 검사하려면 컴퓨터 페이지로 이동하고 컴퓨터의 이름을 클릭하여 세부정보 페이지를 연 다음 지금 검사 버튼을 클릭합니다.

검사에 시간이 걸릴 수 있습니다. 완료되면 로그 및 보고서 > 이벤트 페이지에서 "'내 컴퓨터 검사'검사가 완료됨" 이벤트와 성공한 모든 정리 이벤트를 볼 수 있습니다. 실패한 정리에 대한 경고는 경고 페이지에서 볼 수 있습니다.

컴퓨터가 오프라인 상태이면 다시 온라인 상태가 될 때 검사됩니다. 컴퓨터 검사가 이미 실행 중이면 새 검사 요청이 무시되고 이전 검사가 진행됩니다.

또는 영향을 받은 컴퓨터에서 Sophos 에이전트 소프트웨어를 사용하여 로컬로 검사를 실행할 수도있습니다. Windows 컴퓨터의 Sophos Endpoint에서 검사 옵션을 사용하거나 Mac의 Sophos Anti-Virus에서 이 Mac 검사 옵션을 사용하십시오.

정리를 완료하기 위해 재부팅이 필요함

위협이 부분적으로 제거되었으나, 정리를 완료하려고 하는 경우 엔드포인트 컴퓨터를 다시 시작해야 합니다.

원격 실행되는 랜섬웨어가 감지됨

랜섬웨어가 원격 컴퓨터에서 실행 중이고 네트워크 공유의 파일을 암호화하려 시도하고 있음이 감지되었습니다.

원격 컴퓨터의 IP 주소에서 네트워크 공유에 대한 쓰기 권한을 차단했습니다. 해당 주소의 컴퓨터가Sophos Central에 의해 관리되는 워크스테이션이고 랜섬웨어(CryptoGuard)로부터 문서 파일 보호가 활성화되어 있으면, 랜섬웨어가 자동으로 정리됩니다.


• 랜섬 웨어가 실행 중인 컴퓨터를 찾습니다.



• 컴퓨터가 Sophos Central에 의해 관리되는 경우 정책에서 랜섬웨어(CryptoGuard)로부터 문서 파일 보호을 사용할 수 있는지 확인하십시오.



관련 개념

경고 (페이지 4)경고 페이지에는 사용자의 조치가 필요한 모든 경고가 나열됩니다.

관련 정보

위협 보호

ML/PE-A 감지 설명

3.2.2 Device Encryption에 대한 경고

Device Encryption에 대해 다음과 같은 유형의 경고가 있습니다.

보통

• 장치가 암호화되지 않았습니다.

암호화되어 있어야 하는 볼륨이 암호화되어 있지 않습니다. 정책이 적용되었을 때 사용자가 암호화를 연기했기 때문일 수 있습니다.

• 복구 키가 없습니다.

Sophos Central 데이터베이스에서 암호화된 볼륨에 대한 복구 키를 찾을 수 없습니다.

• Device Encryption이 일시 중단됨

Device Encryption을 일시 중단하지 않은 경우, 가능한 이유는 다음과 같습니다.

— 복구 키가 아직 Sophos Central에 저장되지 않았습니다. 엔드포인트가 인터넷에 연결되었는지확인하십시오.

— 미리 프로비전된 BitLocker가 아직 활성화되지 않았습니다. 사용자가 BitLocker를 활성화하려면 PIN, 암호 또는 USB 키를 정의해야 합니다.

— Windows 업데이트를 설치 중입니다. 다음번 다시 시작 후 BitLocker의 일시 중단이 자동으로해제됩니다.

3.2.3 설치, 업데이트, 규정 준수에 대한 경고

Sophos 에이전트 설치, Sophos 에이전트 업데이트 또는 정책 준수에 영향을 주는 문제에 대해 다음과 같은 유형의 경고가 있습니다.

높음

컴퓨터 또는 서버를 보호하지 못함

컴퓨터에서 에이전트 소프트웨어 설치 작업을 시작했지만 1시간 동안 보호되지 않습니다. 영향을 받는 컴퓨터에서 실행한 설치 프로그램이 오류 원인에 대해 보다 자세한 정보를 제공할 수도 있습니다.


https://www.sophos.com/en-us/threat-center/threat-analyses.aspxhttps://community.sophos.com/kb/en-us/127331


보통

컴퓨터 또는 서버가 오래되었습니다

지난 24시간 동안 업데이트되지 않은 컴퓨터가 지난 6시간 안에 Sophos Central과 통신해 왔으며,이후 2시간 동안 업데이트되지 않았습니다. 보통 컴퓨터는 시작된 지 약 5분 후에 업데이트를 시도했다가 이후에는 60분에 한 번씩 주기적으로 시도합니다. 정책을 다시 적용해도 반복해서 실패한다면 더 심각한 문제가 발생한 것일 수 있습니다. 이러한 경우 다시 설치하면 문제가 해결될 수 있습니다.

재부팅 필요

에이전트 소프트웨어 업데이트를 완료하기 위해 컴퓨터 재부팅이 필요하지만 컴퓨터를 2주 동안 다시 시작한 적이 없습니다. 경우에 따라 에이전트 소프트웨어를 설치하거나 업데이트한 후에 소프트웨어의 새 버전 또는 업데이트된 버전의 기능을 완벽하게 사용하려면 다시 시작해야 합니다. 즉시 업데이트를 수행할 필요는 없지만 최대한 빨리 수행하는 것이 좋습니다.

정책 비준수

장치가 여러 가지 이유로 정책을 준수하지 않을 수 있습니다. 예를 들면, 장치 자체의 설정이 변경되었기 때문일 수 있습니다. 이 경우 비준수가 발생한 지 3시간 후에 시스템이 경고를 발동하고 해당정책을 다시 적용하려 시도합니다. 장치가 다시 정책을 준수하면 경고가 자동으로 해제됩니다. 다시적용해도 반복해서 실패한다면 더 심각한 문제가 발생한 것일 수 있습니다. 이러한 경우 다시 설치하면 문제가 해결될 수 있습니다.

주변 기기가 감지됨

Sophos Central에 의해 모니터링되는 장치에서 이동식 미디어 또는 주변 기기 장치가 감지되었습니다.

중복된 장치 감지

중복된 장치가 감지되었습니다. 장치가 이미지에서 복제된 경우 ID가 동일합니다. 중복된 ID는 관리문제를 유발할 수 있습니다. 중복된 장치는 새 ID로 다시 등록됩니다.

참고:

• Windows XP/Vista 또는 Server 2003/2008을 실행하는 컴퓨터는 중복으로 감지되지 않습니다.하지만, 지원되는 OS(예: Windows 10)를 실행하는 컴퓨터와 같은 ID를 갖는 컴퓨터는 중복으로감지되며 재등록되지는 않습니다.

• 서버 잠금 제품이 설치되어 잠긴 Windows 서버는 중복으로 감지된 경우에 다시 등록되지 않습니다.

• VDI 스타일 환경(예: VMware Horizon 또는 Citrix PVS 또는 Citrix MCS)에서는 중복된 장치 감지 기능을 지원하지 않습니다.

관련 정보

중복된 장치 감지

3.2.4 무선 경고

액세스 지점에서 생성된 무선 경고를 봅니다.


https://community.sophos.com/kb/en-us/132029


높음

액세스 지점의 상태가 불량합니다.: 액세스 지점의 부하가 너무 높습니다. 너무 많은 장치가 연결되어 있습니다. 해당 영역을 커버하기에 충분한 액세스 지점이 있는지 확인합니다.

보통

액세스 지점이 오프라인 상태입니다.: 액세스 지점이 인터넷에 연결되어 있지 않거나, 전원에 연결되지 않았거나, 소프트웨어 오류가 발생했습니다. 재시작을 시도해 볼 수 있습니다. 재시작은 소프트웨어 오류를 해결할 수 있습니다.

액세스 지점이 네트워크를 브로드캐스팅하지 않습니다.: 액세스 포인트가 구성되지 않았습니다. 액세스 지점을 구성하려면 무선 > 액세스 지점를 클릭합니다.

액세스 지점 명령이 완료됨: 재시작이 완료됩니다.

액세스 지점을 다시 시작하면 다음과 같은 경고가 해결될 수 있습니다.

• 액세스 지점 구성이 실패했습니다.

• 액세스 지점이 새 펌웨어로 업데이트되지 않았습니다.

문제가 계속되면 Sophos 지원팀에 문의합니다. 문제를 조사하려면 원격 액세스가 필요합니다. 무선> 설정 > 진단 > Sophos 지원의 액세스 지점에 대한 원격 로그인(으)로 이동하여 원격 액세스를 허용합니다.

낮음

액세스 지점이 새 펌웨어로 업데이트됩니다.: 약 5분 동안 무선이 꺼집니다.

모든 액세스 지점이 새 펌웨어로 업데이트됩니다.: 약 5분 동안 무선이 꺼집니다.

액세스 지점이 새 펌웨어로 업데이트되었습니다.

모든 액세스 지점이 업데이트되었습니다.

3.2.5 위협 처리 방법

위협 처리에 대한 도움말은 다음을 참조하십시오.

• 랜섬웨어 처리.

• 익스플로잇 처리.

• 웹 브라우저 공격 처리.

• Deep Learning으로 탐지된 맬웨어 처리.

• 응용 프로그램 잠금 이벤트 처리.

• 긍정 오류 처리.

맬웨어와 관련하여 도움이 필요한 경우, 위협 방지에 대한 경고에 나와 있는 맬웨어 경고에 대한 섹션을 참조하십시오.

관련 개념




랜섬웨어 처리 (페이지 12)

익스플로이트 처리 (페이지 13)

웹 브라우저 공격 처리 (페이지 14)

딥 러닝으로 탐지된 맬웨어 처리 (페이지 14)

응용 프로그램 잠금 이벤트 처리 (페이지 15)

긍정 오류 처리 (페이지 15)

위협 방지에 대한 경고 (페이지 6)

랜섬웨어 처리

랜섬웨어 탐지 시 발생하는 상황과 이에 대한 수행 작업입니다.

감지가 긍정 오류임을 알게 되면 긍정 오류 처리를 참조하십시오.

랜섬웨어 탐지 시 발생하는 상황

랜섬웨어 탐지 시:

• 이것이 파일/폴더 암호화 제품과 같은 합법적인 응용 프로그램인지 확인합니다. 그렇지 않다면 실행을 중지합니다.

• 파일이 수정 전 상태로 복원됩니다.

• 최종 사용자에게 알립니다.

• 위협 사례가 생성됩니다. 이 보고서는 추가 조치를 취할지 여부를 결정하는 데 도움이 됩니다.

• 스캔이 시작되어 장치의 기타 맬웨어를 식별하고 정리합니다.

• 장치의 상태가 녹색으로 되돌아갑니다.

“랜섬웨어가 감지됨”이 표시될 경우 수행할 조치

여전히 정리가 필요한 경우, 다음과 같이 하십시오.

• 자동 샘플 제출을 사용할 수 없으면 랜섬웨어의 샘플을 보내 주십시오. 샘플을 분류하고 회사의 규칙을 업데이트해 드리겠습니다. 악성일 경우 나중에 Sophos Central이 이를 차단합니다.

• 다른 컴퓨터에 위험을 주지 않는 네트워크로 컴퓨터를 임시로 이동하십시오. 컴퓨터로 이동하고Sophos Clean을 실행합니다. 설치되어 있지 않으면 웹 Sophos 사이트에서 다운로드하십시오.

서버의 Sophos Central에서 Sophos Clean을 실행할 수 있습니다.


“원격 실행되는 랜섬웨어가 감지됨”이 표시될 경우 수행할 조치

랜섬웨어가 원격 컴퓨터에서 실행 중이고 네트워크 공유의 파일을 암호화하려 시도하고 있음이 감지되었습니다.

원격 컴퓨터의 IP 주소에서 네트워크 공유에 대한 쓰기 권한을 차단했습니다. 해당 주소의 컴퓨터가Sophos Central에 의해 관리되는 워크스테이션이고 랜섬웨어(CryptoGuard)로부터 문서 파일 보호이 활성화되어 있으면, 랜섬웨어가 자동으로 정리됩니다.


• 랜섬 웨어가 실행 중인 컴퓨터를 찾습니다.



• 컴퓨터가 Sophos Central에 의해 관리되는 경우 정책에서 랜섬웨어(CryptoGuard)로부터 문서 파일 보호을 사용할 수 있는지 확인하십시오.



“원격 컴퓨터를 공격하는 랜섬웨어가 감지됨”이 표시될 경우 수행할 조치

이 컴퓨터가 다른 컴퓨터의 파일을 암호화하려 하는 것을 감지했습니다.

네트워크 공유에 대한 컴퓨터의 쓰기 권한을 차단했습니다. 컴퓨터가 워크스테이션이고 랜섬웨어(CryptoGuard)로부터 문서 파일 보호이(가) 활성화되어 있으면, 랜섬웨어가 자동으로 정리됩니다.


• Sophos Central 정책에서 랜섬웨어(CryptoGuard)로부터 문서 파일 보호이 활성화되어 있는지 확인합니다. 그러면 더 자세한 정보가 제공됩니다.



관련 개념



관련 정보

의심스러운 파일의 샘플을 Sophos에 제출하는 방법

익스플로이트 처리

이 항목에서는 익스플로이트에 대해 수행할 조치를 설명합니다.

감지가 긍정 오류임을 알게 되면 긍정 오류 처리를 참조하십시오.

익스플로이트 탐지 시 발생하는 상황

익스플로이트가 탐지되면 다음과 같은 일이 발생합니다.

• 익스플로이트가 중지됩니다.

• 사용자에게 알립니다.

• 검사가 시작되어 위협을 정리합니다.

• 위협 사례가 생성됩니다.


https://community.sophos.com/kb/en-us/11490


사용자가 수행해야 할 작업

위협 분석 센터 > 위협 사례로 이동한 후, 사례 세부 정보를 검토하여 공격이 언제 시작되었는지, 어떻게 확산되었는지 그리고 어떤 프로세스 또는 파일이 감염되었는지 알아냅니다.

사용자가 공격자에게 액세스 권한을 부여한 응용 프로그램을 다운로드했거나 허가한 경우가 있었습니다. 이를 막기 위해 사용자에게 안전한 검색에 관한 교육을 제공합니다.

관련 개념


웹 브라우저 공격 처리

웹 브라우저 위협 탐지 시 발생하는 상황

공격이 탐지될 때:

• Intercept X가 사용자에게 브라우저를 닫을 것을 경고합니다.

• Sophos Clean 검사가 시작됩니다.



사용자는 다음과 같이 수행해야 합니다.

• 위협 사례를 사용하여 공격과 관련된 IP 및 URL 연결을 식별합니다.

• 회사 방화벽에서 그 위치를 차단할지 여부를 결정합니다. (사용자의 웹 보호에서 이 공격이 탐지되지 않았다면 이 공격은 악성으로 분류되지 않습니다.)

• 사용자가 암호를 입력했다면 암호를 변경하라고 요청합니다.

• 사용자가 본인의 은행에 접속하고 있었다면 해당 계좌에서 비정상적인 활동이 없었는지 확인하라고 요청합니다.

딥 러닝으로 탐지된 맬웨어 처리

Deep Learning (딥 러닝)은 고급 머신 러닝을 사용하여 서명을 사용하지 않는 맬웨어나 PUA를 탐지합니다.

딥 러닝으로 탐지되는 맬웨어는 “ML/” 접두사가 붙는 경고로 표시됩니다.

탐지된 PE 파일(응용 프로그램, 라이브러리, 시스템 파일)은 격리됩니다. 만약 이들 파일이 안전하면 복원하고 허용할 수 있습니다.

맬웨어 탐지 시 발생하는 상황

딥 러닝이 파일을 악성으로 식별하면 다음 단계가 수행됩니다.

• 파일이 허용된 응용 프로그램 목록에 추가되었는지 여부를 확인합니다. (이 목록을 통해 파일이 맬웨어로 잘못 탐지되었다면 이 파일을 검사 대상에서 제외할 수 있습니다.)



• 파일이 허용된 목록에 없으면 해당 파일은 맬웨어로 보고되고 격리됩니다.


• 맬웨어가 격리되므로 컴퓨터의 보안 상태는 녹색으로 표시됩니다.


맬웨어가 격리되었으므로, 일반적으로 사용자는 어떤 조치도 취할 필요가 없습니다.

그러나, 때때로 딥 러닝이 합법적인 파일을 맬웨어로 보고할 수 있습니다(긍정 오류). 파일이 안전하다고 확신하면 파일을 복원하고 사용자가 다시 파일을 사용하도록 허용할 수 있습니다.

파일을 복원하고 허용하려면 허용된 응용 프로그램의 단계를 따르십시오.

관련 개념

허용된 응용 프로그램 (페이지 133)

응용 프로그램 잠금 이벤트 처리

응용 프로그램 잠금 기능은 일반적으로 사용되는 응용 프로그램의 합법적인 기능을 남용하여 공격을 수행하거나 맬웨어를 실행하는 공격을 중지합니다.

공격 탐지 시 발생하는 상황

잠금 상태의 응용 프로그램이 기타 소프트웨어 설치나 시스템 설정 변경 같은 금지된 작업을 수행하면, 다음 단계가 수행됩니다.

• Intercept X가 자동으로 해당 응용 프로그램을 닫습니다.

• 사용자에게 알립니다.

• Sophos Clean 검사가 시작됩니다. 이 검사는 기타 잠재적인 맬웨어 구성 요소를 식별할 수 있습니다.



사용자는 다음과 같이 수행해야 합니다.

• 위협 사례를 사용하여 공격의 원인이 되는 파일이나 활동을 식별합니다.

• 필요한 다른 작업이 없음을 확인합니다.

긍정 오류 처리

Sophos의 소프트웨어는 이전에 알 수 없었던 위협을 탐지할 수 있습니다. 그러나, 때때로 사용자가안전하다고 알고 있는 응용 프로그램도 맬웨어로 식별하거나 익스플로이트를 보고할 수 있습니다.이것은 "긍정 오류"입니다.

긍정 오류가 발생할 경우 소프트웨어가 다시 그 위협을 감지할 수 없게 하고 (해당하는 경우) 제거된파일을 복원할 수 있습니다.

관련 개념

응용 프로그램 탐지 중지 (페이지 16)



랜섬웨어 감지 중지 (페이지 20)

관련 정보

익스플로잇 감지 중지 (페이지 16)감지에 응답하거나 감지에 앞서, 응용 프로그램을 익스플로잇 감지에서 제외할 수 있습니다.

응용 프로그램 탐지 중지

응용 프로그램, 라이브러리 및 시스템 파일과 같은 PE(Portable Executable) 파일이 탐지될 경우이들은 격리되고 복원될 수 있습니다.

Sophos가 탐지하고 제거한 응용 프로그램을 허용하려면 다음과 같이 하십시오.

• 이 방법은 모든 컴퓨터 및 사용자에게 응용 프로그램을 허용합니다.

• 이 방법은 응용 프로그램이 시작되도록 허용하지만 응용 프로그램이 실행 중인 경우 위협, 익스플로잇, 악의적인 행동을 계속 확인합니다.

1. 응용 프로그램이 탐지된 위치에 따라 컴퓨터 또는 서버 페이지로 이동합니다.

2. 감지가 발생한 컴퓨터를 찾고 이 컴퓨터를 클릭하여 세부 정보를 봅니다.

3. 이벤트 탭에서 검색 이벤트를 찾아 세부 정보를 클릭합니다.

4. 이벤트 세부 정보 대화 상자에서 이 응용 프로그램 허용을 확인합니다.

5. 응용 프로그램을 허용하는 방법을 다음 중에서 선택합니다.

• 인증서: 권장되는 방법입니다. 또한, 이 방법은 동일한 인증서로 다른 응용 프로그램을 허용합니다.

• SHA-256: 이 버전의 응용 프로그램을 허용합니다. 그러나, 응용 프로그램이 업데이트되면 이응용 프로그램이 다시 탐지될 수 있습니다.

• 경로: 응용 프로그램이 표시된 경로(위치)에 설치된 경우 허용합니다. 응용 프로그램이 다른 컴퓨터의 다른 위치에 설치된 경우, 지금 또는 나중에 경로를 편집할 수 있으며 변수를 사용할 수있습니다.

6. 허용을 클릭합니다. 익스플로잇 감지 중지감지에 응답하거나 감지에 앞서, 응용 프로그램을 익스플로잇 감지에서 제외할 수 있습니다.

소개

특정 이벤트, 특정 익스플로잇 또는 응용 프로그램과 관련된 모든 익스플로잇에 대해 제외를 설정할수 있습니다.

감지된 익스플로잇 감지 중지(이벤트 목록 사용)

응용 프로그램에서 익스플로잇이 감지되었지만 이 감지가 잘못된 것이라고 생각되면, 이벤트 목록에 제공되는 옵션을 사용하여 다시는 이런 감지가 발생하지 않게 할 수 있습니다.

이는 모든 사용자 및 컴퓨터에 적용됩니다.

익스플로잇 감지를 중지하려면 다음과 같이 하십시오.



3. 이벤트 탭에서 검색 이벤트를 찾아 세부 정보을 클릭합니다.

4. 이벤트 세부 정보에서, 이것을 다시 감지하지 않음을 찾고 다음과 같은 옵션을 선택합니다.

• 이 감지 ID를 검사 대상에서 제외합니다.은 이 응용 프로그램에서 이 감지를 차단합니다. 그러면 이 특정 감지와 관련된 감지 ID에 대한 제외가 추가됩니다. 동일한 동작이 Estate에서 다시발생하는 경우에도 감지가 트리거되지 않습니다. 그러나 동작이 다른 경우(예: 다른 경로 또는파일) 감지 ID가 다르며 별도의 제외 작업이 필요합니다.



• 이 응용 프로그램 검사에서 이 완화를 제외합니다.를 선택하면 이 응용 프로그램에서 이 익스플로잇에 대한 검사가 차단됩니다. 이는 공격의 위험을 증가시킵니다. 그러나, 이는 특정 비즈니스 응용 프로그램에서 예상치 못한 많은 감지가 생성되는 경우에 유용할 수 있습니다.

• 이 응용 프로그램을 검사 대상에서 제외합니다.를 선택하면 이 응용 프로그램에서 모든 익스플로잇에 대한 검사가 차단됩니다. 이 경우 가장 위험할 수 있으므로 마지막 수단으로만 사용해야합니다.

a) 더 정밀하게 목표된 감지 ID를 먼저 제외해 봅니다. 동일한 감지가 다시 발생할 경우, 다음번에는 익스플로잇을 제외합니다. 동일한 감지가 계속 발생할 경우, 다음번에는 응용 프로그램을 제외합니다.

5. 제외을 클릭합니다.

목록에 제외 대상을 추가합니다.

감지 ID 제외가 전역 제외로 이동합니다. 응용 프로그램 제외는 익스플로잇 완화 제외로 이동합니다.

감지된 익스플로잇 감지 중지(정책 설정 사용)

응용 프로그램에서 익스플로잇이 감지되었지만 이 감지가 잘못된 것이라고 생각되면, 위협 보호 정책에 제공되는 옵션을 사용하여 다시는 이런 감지가 발생하지 않게 할 수 있습니다.

이 방법을 선택하면 이 응용 프로그램에 영향을 주는 기타 익스플로잇을 계속 확인합니다.

익스플로잇 감지를 중지하려면 다음과 같이 하십시오.

1. 정책에서, 컴퓨터에 적용되는 위협 방지 정책을 찾습니다.

2. 설정에서, 제외를 찾고 제외 추가을 클릭합니다.

3. 제외 유형 상자에서, 감지된 익스플로잇(Windows/Mac)를 선택합니다.

4. 익스플로잇을 선택하고 추가을 클릭합니다.

또한, 정책을 사용하여 특정 유형의 모든 응용 프로그램에 대한 익스플로잇 감지를 중지할 수 있습니다. 이렇게 하려면 위협 방지 정책으로 이동하고 해당 응용 프로그램 유형에 대한 익스플로잇 완화를 끄십시오(런타임 보호 아래에 있음).



참고익스플로잇 완화를 끄지 않는 것이 좋습니다.

응용 프로그램에서 특정 익스플로잇에 대한 검사 중지

응용 프로그램에 대한 감지가 발생하지 않았지만 특정 완화에서 응용 프로그램을 제외해야 하는 것으로 확인된 경우, 특정 익스플로잇에 대한 검사를 사전에 중지할 수 있습니다.

이 방법을 선택하면 이 응용 프로그램에 영향을 주는 기타 익스플로잇을 계속 확인합니다.

특정 익스플로잇에 대한 검사를 중지하려면 다음과 같이 하십시오.

1. 전역 설정 > 전역 제외로 이동합니다.

2. 제외 추가을 클릭합니다.

3. 제외 유형에서, 익스플로잇 완화(Windows)를 선택합니다.

4. 응용 프로그램 목록에서 제외할 응용 프로그램을 선택합니다.

a) 목록에 없으면, 응용 프로그램이 목록에 없습니까?을 클릭합니다. 결로를 기준으로 응용 프로그램 제외에서, 응용 프로그램의 전체 경로를 입력합니다.

5. 완화에서, 응용 프로그램을 제외할 완화를 끕니다.



6. 추가을 클릭합니다.

7. 저장을 클릭합니다.

응용 프로그램에서 모든 익스플로잇에 대한 검사 중지

응용 프로그램에서 예기치 않은 익스플로잇 감지를 많이 생성하거나 익스플로잇 완화가 켜져 있을때 성능 문제가 발생하는 경우, 응용 프로그램에서 모든 익스플로잇에 대한 검사를 중지할 수 있습니다.

이 방법을 사용하는 경우 응용 프로그램을 익스플로잇에 대해 확인하지 않지만, 랜섬웨이 동작 및맬웨어에 대해서는 계속 검사합니다.

응용 프로그램의 모든 악용 확인 작업을 중지하려면 다음을 수행합니다.

1. 전역 설정 > 전역 제외로 이동합니다.

2. 제외 추가을 클릭합니다.

3. 제외 유형에서, 익스플로잇 완화(Windows)를 선택합니다.

4. 응용 프로그램 목록에서 제외할 응용 프로그램을 선택합니다.

a) 목록에 없으면, 응용 프로그램이 목록에 없습니까?을 클릭합니다.

b) 결로를 기준으로 응용 프로그램 제외에서, 응용 프로그램의 전체 경로를 입력합니다.



5. 완화에서, 응용 프로그램 보호를 끕니다.

6. 추가을 클릭합니다.

7. 저장을 클릭합니다.

랜섬웨어 감지 중지

랜섬웨어가 감지되었지만 이 감지가 잘못된 것이라고 생각되면 다시는 이런 감지가 발생하지 않게할 수 있습니다.

이는 모든 사용자 및 컴퓨터에 적용됩니다.



3. 이벤트 탭에서 검색 이벤트를 찾아 세부 정보를 클릭합니다.

4. 이벤트 세부 정보에서 이것을 다시 감지하지 않음을 찾습니다.

이 감지 ID를 검사 대상에서 제외합니다.를 선택합니다. 그러면 더 이상 이 앱에서 감지가 수행되지 않습니다.

5. 제외를 클릭합니다.

제외 대상을 전역 제외 목록에 추가합니다.

3.3 위협 분석 센터

이 대시보드를 통해 가장 중요한 정보를 한눈에 볼 수 있습니다.

다음 영역으로 구성되어 있습니다.

가장 최근의 위협 사례

위협 사례를 사용하면 맬웨어 공격을 조사할 수 있습니다. 사례를 클릭하여 공격이 언제 시작되었는지, 어떻게 확산되었는지 그리고 어떤 프로세스 또는 파일이 감염되었는지 알아냅니다.

모든 위협 사례를 보려면 모든 위협 사례 보기을 클릭합니다.

위협 사례는 Windows 장치에서만 사용할 수 있습니다.

이 영역에는 신규 상태의 위협 사례만 표시됩니다. 위협 사례가 종료되었거나 진행 중인 경우, 이러한 위협 사례가 신규 상태이고 이전 버전보다 최신 날짜라 하더라도 표시되지 않습니다.

MTR 라이선스가 있으면, 영역이 다음과 같이 생성된 위협 사례에 대한 탭으로 구분됩니다.

• Sophos에 의해 자동으로 생성

• Sophos Central 관리자에 의해 생성

• Sophos Managed Threat Response(MTR) 팀에 의해 생성됨(현재 사용되지 않음)

위협 검색

Intercept X Advanced with EDR 또는 Intercept X Advanced with EDR for Server 사용자는 이옵션을 사용할 수 있습니다.

네트워크의 잠재적 위협 검색.



SHA-256 파일 해시, 파일 이름, IP 주소 또는 도메인(전체 또는 부분) 또는 명령줄을 검색할 수 있습니다. 일반적으로, 다른 보안 제품 또는 위협 알림 서비스에서 이 검색 정보를 얻습니다.

위협 검색은 다음과 같은 것을 찾습니다.

• 불확실하거나 나쁜 평판이 있는 휴대용 실행 파일(예: 응용 프로그램, 라이브러리, 시스템 파일).

• 그러한 파일이 연결된 IP 주소 또는 도메인.

• 실행된 관리 도구. 이러한 도구는 남용될 수 있습니다.

참고위협 사례 내에서 위협 검색을 실행할 수도 있습니다. 이렇게 하면 해당 사례에서 더 많은 잠재적위협의 예가 식별됩니다.

참고아직은 명령줄 및 관리 도구에 대한 검색을 모든 고객에 대해 사용할 수 없을 수 있습니다.

최근 위협 검색

Intercept X Advanced with EDR 또는 Intercept X Advanced with EDR for Server 사용자는 이옵션을 사용할 수 있습니다.

여기에는 최근에 실행 및 저장한 위협 검색이 표시됩니다. 검색을 클릭하여 다시 실행하고 영향받은장치를 찾아 조치를 취하십시오.

모든 검색을 보려면 모든 검색 보기을 클릭합니다.

상위 위협 표시기

위협 표시기는 Sophos가 차단하지 않았지만 사용자가 조사할 수 있는 의심스러운 파일입니다.

상위 위협 표시기 목록에는 다음과 같은 세부 정보를 포함하여 가장 많이 발생하는 위협 표시기가나타납니다.

• 의심 레벨. 파일이 악성일 확률입니다.

• 영향을 받는 장치 수입니다.

전체 목록을 보고 추가로 분석하려면 모든 위협 표시기 보기을 클릭합니다.

3.3.1 위협 사례

위협 사례를 사용하면 맬웨어 공격을 조사하고 정리할 수 있습니다.

공격이 언제 시작되었는지, 어떻게 확산되었는지 그리고 어느 프로세스 또는 파일이 감염되었는지를 알아낼 수 있습니다. 이렇게 하면 보안을 강화하는 데 도움이 됩니다.

이 기능은 Intercept X 또는 Intercept X Advanced with EDR 라이선스가 있는 고객만 사용할 수있습니다. Intercept X Advanced with EDR 또는 Intercept X Advanced for Server with EDR 라이선스가 있으면 다음과 같이 할 수도 있습니다.

• 영향받은 장치를 격리합니다.

• 네트워크에서 더 많은 위협의 예를 검색합니다.

• 위협을 정리하고 차단합니다.



• 더 많은 고급 위협 인텔리전스를 확보합니다.

추가 조사가 필요한 맬웨어를 감지할 때마다 위협 사례를 생성합니다.

참고이 기능은 현재 Windows 장치에서만 사용할 수 있습니다.

위협을 조사하고 정리하는 방법

이는 일반적으로 사례를 조사하는 방법에 대한 개요입니다. 모든 옵션에 대한 세부 정보는 위협 사례 분석 페이지를 참조하십시오.

Intercept X Advanced with EDR 또는 Intercept X Advanced with EDR for Server 라이선스가있는 경우에만 일부 옵션을 사용할 수 있습니다.

1. 주 메뉴에서 위협 사례를 클릭한 다음 원하는 사례를 클릭합니다.

이렇게 하면 사례 세부 정보 페이지가 표시됩니다.

2. 요약에서 공격이 시작된 위치와 어느 파일이 감염되었는지를 확인할 수 있습니다.

3. 제안된 다음 단계를 확인합니다. 사례의 우선순위를 변경하고 조사할 프로세스를 확인할 수 있습니다.

사례의 우선순위가 높고 Intercept X Advanced with EDR이 있으면 이 장치 격리를 클릭할 수있습니다. 이 옵션은 영향받은 장치를 네트워크에서 격리시킵니다. 여전히 Sophos Central에서장치를 관리할 수 있습니다.

참고장치가 스스로 자동 격리한 경우에는 이 옵션이 표시되지 않습니다.

4. 분석 탭에서 공격의 진행상황을 보여주는 다이어그램을 볼 수 있습니다. 항목을 클릭하면 더 많은세부 정보가 표시됩니다.

5. 근본 원인 또는 다른 프로세스를 클릭하면 세부 정보가 표시됩니다.

6. Sophos의 최신 분석을 받으려면 최신 인텔리전스 요청을 클릭하십시오.

이렇게 하면 분석을 위해 파일을 Sophos로 보냅니다. 파일의 평판과 전파에 대한 새로운 정보가있으면 여기서 몇 분 이내에 확인할 수 있습니다.

제한Intercept X Advanced with EDR 또는 Intercept X Advanced for Server with EDR 사용자는 더 많은 고급 분석을 볼 수 있습니다. 프로세스 세부 정보를 참조하십시오. 다음 단계에서보는 것처럼, 추가 감지 및 정리 작업을 수행할 수도 있습니다.

7. 항목 검색을 클릭하여 네트워크에서 더 많은 파일의 예를 검색할 수 있습니다.

항목 검색 결과 페이지에 더 많은 파일의 예가 표시되면 거기서 장치 격리을 클릭하여 영향받은장치를 격리할 수 있습니다.

8. 위협 사례 세부 정보 페이지로 돌아가서 최신 위협 인텔리전스를 살펴보십시오.

9. 파일이 악성이라는 확신이 들면 정리 및 차단을 클릭할 수 있습니다.

그러면 발견된 장치에서 해당 항목이 정리되고 모든 장치에서 차단됩니다.

10. 위협을 처리했다는 확신이 들면 장치를 격리에서 제거할 수 있습니다(필요한 경우). 제안된 다음단계로 이동하여 격리에서 제거를 클릭합니다.



여러 장치를 분리한 경우, 설정 > 관리자가 격리한 장치로 이동하여 격리에서 장치를 제거합니다.

11. 감지된 위협 사례 목록으로 돌아가 사례를 선택하고 닫기를 클릭합니다.

위협 사례 목록 정보

감지된 위협 사례 페이지는 지난 90일간의 모든 위협 사례를 나열합니다.

MTR 라이선스가 있으면, 페이지가 다음과 같이 생성된 위협 사례에 대한 탭으로 구분됩니다.

• Sophos에 의해 자동으로 생성

• Sophos Central 관리자에 의해 생성

• Sophos Managed Threat Response(MTR) 팀에 의해 생성됨(현재 사용되지 않음)

MTR 라이선스가 없는 경우 페이지가 탭으로 분할되지 않습니다.

사례를 장치, 상태 또는 우선순위 기준으로 필터링할 수 있습니다.

검색을 사용하면 특정 사용자, 장치 또는 위협 이름(예: "Troj/Agent-AJWL")에 대한 사례를 볼 수있습니다.

각 사례에 대해 목록에 다음과 같은 정보가 대부분 표시됩니다. 표시되는 열은 페이지가 탭으로 분할되었는지 여부에 따라 달라집니다.

• 상태: 기본적으로 상태는 새로 만들기입니다. 사례를 볼 때 변경할 수 있습니다.

• 만든 시간: 사례가 생성된 시간 및 날짜

• 우선순위: 우선순위는 사례가 생성될 때 설정됩니다. 사례를 볼 때 변경할 수 있습니다.

• 이름: 위협 이름을 클릭하면 사례의 세부 정보를 볼 수 있습니다.

• 생성자: 위협 사례를 생성한 Sophos Central 관리자

• 사용자: 감염을 일으킨 사용자. 사용자 이름을 클릭하면 사용자의 세부 정보를 볼 수 있습니다.

• 장치: 감염을 일으킨 장치. 장치 이름을 클릭하면 세부 정보를 볼 수 있습니다.

• 장치 유형: 장치 유형(예: 컴퓨터 또는 서버).

원하는 열을 클릭하여 사례를 정렬할 수 있습니다.

관련 개념


위협 사례 분석 페이지 (페이지 23)세부 정보 페이지로 이동한 후 거기서 분석 도구를 사용하여 위협 사례를 조사할 수 있습니다.

위협 방지 정책 (페이지 204)위협 보호는 맬웨어, 위험한 파일 형식 및 웹 사이트, 악성 네트워크 트래픽으로부터 보호해 줍니다.

위협 사례 분석 페이지

세부 정보 페이지로 이동한 후 거기서 분석 도구를 사용하여 위협 사례를 조사할 수 있습니다.

감지된 위협 사례 페이지에서 위협 사례를 찾습니다. 이름을 클릭하면 단순화된 이벤트 체인, 요약, 영향을 받은 아티팩트(프로세스, 파일, 키)의 세부 정보 및 위협이 확산된 방식을 보여주는 다이어그램을 볼 수 있습니다. 다음 스크린샷은 Internet Explorer 11을 사용하여 웹 사이트에서sophos_hips_test.exe 파일을 다운로드하여 트리거된 HPmal/Eicar-A 감지를 보여줍니다.



수행할 작업에 대한 개요는 위협 조사 및 정리 방법을 참조하십시오.

모든 옵션의 자세한 내용을 보려면 이 페이지의 섹션을 읽으십시오.

참고표시되는 옵션은 라이선스 및 위협의 심각도에 따라 다를 수 있습니다.

요약

요약에서는 다음 세부 정보를 포함하여 위협의 요약을 보여줍니다.

• 근본 원인: 감염이 시스템에 진입한 위치

• 관련된 가능한 데이터: 중요한 데이터를 포함하고 있을 수 있는 파일. 데이터가 암호화되었는지 도난되었는지 확인하십시오.

• 위치: 장치와 해당 사용자의 이름

• 시기: 감지 시간 및 날짜

제안된 다음 단계

제안된 다음 단계 창은 다음과 같은 내용을 표시합니다.

우선순위: 우선순위는 자동으로 설정됩니다. 이는 변경할 수 있습니다.

상태: 기본적으로 상태는 새로 만들기입니다. 이는 변경할 수 있습니다.

참고상태를 진행 중으로 설정한 후에는 새로 만들기으로 다시 설정할 수 없습니다.



이 장치 격리: 사례의 우선순위가 높고 Intercept X Advanced with EDR 또는 Intercept XAdvanced for Server with EDR를 사용하는 경우 이것을 볼 수 있습니다. 잠재적인 위협을 조사하는 동안 장치를 격리할 수 있습니다.

여전히 Sophos Central에서 장치를 관리할 수 있습니다. 또한 분석을 위해 격리된 장치의 파일을 여전히 Sophos에 제출할 수 있습니다.

또한 제한된 환경에서 격리된 장치가 다른 장치와 통신하도록 허용할 수 있습니다. 자세한 내용은장치 격리 제외(Windows)를 참조하십시오.

언제든지 장치를 격리에서 제거할 수 있습니다. 제안된 다음 단계 아래에 격리에서 제거 옵션이 표시됩니다.

참고장치가 이미 스스로 자동 격리한 경우에는 이 장치 격리가 표시되지 않습니다. 위협 방지 정책에서장치 격리 옵션을 참조하십시오.

장치 스캔: 이 링크를 사용하여 영향을 받는 장치에서 위협 요소를 검사할 수 있습니다.

분석

분석 탭은 맬웨어 감염과 관련된 일련의 이벤트를 표시합니다.

탭 오른쪽의 메뉴를 사용하면 어느 정도의 세부 정보를 볼 것인지 선택할 수 있습니다.

• 직접 경로 표시: 이 옵션은 근본 원인과 직접 연관된 일련의 항목과 감염이 감염된 항목("알림")을표시합니다.

• 전체 그래프 표시: 이 옵션은 근본 원인, 알림, 영향을 받은 아티팩트(애플리케이션, 파일, 키), 감염경로(화살표로 표시) 및 감염이 발생한 방식을 표시합니다. 기본 설정입니다.

다른 유형의 아티팩트를 표시하거나 숨기려면 다이어그램 위의 확인란을 사용합니다.

항목의 세부 정보를 보려면 해당 항목을 클릭합니다. 이렇게 하면 다이어그램 오른쪽에 세부 정보창이 열립니다.

사례 레코드

사례 레코드 탭에는 Sophos 또는 관리자가 생성한 위협 사례의 기록이 표시됩니다. 의견을 게시하여 취한 조치 및 기타 관련 정보를 기록할 수 있습니다.

프로세스 세부 정보

영향을 받은 항목을 클릭하면 프로세스 세부 정보 창이 표시됩니다. 누군가가 이미 Sophos에 파일을 제출했으면 최신 위협 인텔리전스를 볼 수 있습니다.

파일이 제출되지 않았거나 업데이트된 인텔리전스가 있는지 확인하려면 최신 인텔리전스 요청을 클릭하십시오.

그러면 파일의 전역 신뢰도에 대한 최신 정보와 조사가 필요한지 여부가 표시됩니다.

아티팩트 목록

맬웨어 공격 다이어그램 아래에 있는 목록입니다. 이 목록은 비즈니스 파일, 프로세스, 레지스트리키 또는 IP 주소 같은 영향을 받은 모든 항목을 표시합니다.



탭 오른쪽 맨 위에 있는 CSV로 내보내기를 클릭하여 영향을 받은 아티팩트의 목록을 포함하는 쉼표로 구분된 파일(CSV)을 내보낼 수 있습니다.

목록에는 다음이 표시됩니다.

• 이름: 이름을 클릭하면 세부 정보 창에 자세한 내용이 표시됩니다.

• 유형: 비즈니스 파일이나 레지스트리 키 같은 아티팩트의 유형

• 신뢰도

• 기록된 시간: 프로세스에 액세스한 시간 및 날짜

• 상호 작용

포렌식 스냅샷 만들기

장치에서 데이터의 "포렌식 스냅샷"을 만들 수 있습니다. 이렇게 하면 장치 활동에 대한 Sophos 로그에서 데이터를 가져와 장치에 저장합니다. 지정한 AWS(Amazon Web Services) S3 버킷에 저장할 수도 있습니다. 그런 다음 사용자가 직접 분석을 수행할 수 있습니다.

데이터를 읽으려면 컨버터(당사 제공)가 필요합니다.

참고스냅샷에 원하는 데이터 양과 업로드 위치를 선택할 수 있습니다. 이 작업을 수행하려면 전역 설정> 포렌식 스냅샷으로 이동합니다. 이러한 옵션은 아직 모든 고객에게 제공되지 않을 수도 있습니다.

스냅샷을 만들려면:

1. 위협 사례의 분석 탭으로 이동합니다.

또는 장치의 세부 정보 페이지에서 상태 탭을 엽니다.

2. 포렌식 스냅샷 만들기을 클릭합니다.

3. 포렌식 스냅샷을 AWS S3 버킷에 업로드에 나와 있는 단계를 따르십시오.

생성한 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\ForensicSnapshots\에서 찾을 수 있습니다.

감지에서 생성된 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\SavedData\에 있습니다.

참고귀하는 변조 방지 암호에 액세스할 수 있는 관리자여야 하며, 관리자로 명령 프롬프트를 실행하여저장된 스냅샷에 액세스해야 합니다.

관련 개념

위협 사례 (페이지 21)위협 사례를 사용하면 맬웨어 공격을 조사하고 정리할 수 있습니다.

위협 방지 정책 (페이지 204)위협 보호는 맬웨어, 위험한 파일 형식 및 웹 사이트, 악성 네트워크 트래픽으로부터 보호해 줍니다.

위협 검색 (페이지 32)네트워크의 잠재적 위협을 검색할 수 있습니다.

관리자가 격리한 장치 (페이지 140)

포렌식 스냅샷 (페이지 141)



포렌식 스냅샷은 컴퓨터 활동에 대한 Sophos 로그에서 데이터를 가져오므로 사용자가 자체 분석을 수행할 수 있습니다.

관련 작업

포렌식 스냅샷 변환 (페이지 142)SDR 내보내기 도구를 사용해 포렌식 스냅샷을 변환하여 쿼리를 실행할 수 있습니다.

관련 참조

장치 격리 제외(Windows) (페이지 119)사용자는 격리된 장치에서 다른 장치와의 통신이 제한되도록 할 수 있습니다.

관련 정보

포렌식 스냅샷을 AWS S3 버킷에 업로드 (페이지 143)포렌식 스냅샷을 업로드하려면 다음 지침을 따르십시오.

프로세스 세부 정보

위협 사례에서 영향을 받는 파일을 클릭하면 프로세스 세부 정보 창에 파일의 최신 세부 정보가 표시됩니다.

여기에는 파일의 전역 신뢰도, 경로, 이름, 명령줄, 프로세스 ID, 실행 사용자, SHA256, 시작 및 종료 시간, 지속 시간 등이 포함됩니다. 다음 스크린샷은 Internet Explorer 11과 관련된 프로세스의세부 정보를 보여줍니다.



최신 인텔리전스 요청

추가 분석을 위해 파일이 Sophos에 제출되지 않은 경우 이 파일에는 현재 인텔리전스가 없습니다.텍스트가 표시됩니다. 파일이 제출되지 않았거나 업데이트된 인텔리전스가 있는지 확인하려면 최신인텔리전스 요청을 클릭하십시오. 그러면 SophosLabs에 파일을 업로드하라는 요청이 컴퓨터로 전송됩니다.

파일이 분석되면 파일의 전역 신뢰도 및 조사가 필요한지 여부에 대한 최신 정보를 볼 수 있습니다.

신뢰도 점수는 파일의 신뢰성을 나타냅니다. Sophos는 빨간색(불량)에서 녹색(양호)까지의 척도로점수를 매깁니다. 알려진 클린 파일은 척도의 녹색 범위에 표시되고 알려진 악성 파일은 빨간색 범위에 표시됩니다.

신뢰도 점수는 파일이 Sophos에 의해 확인된 시점 및 빈도, 파일의 정적/동작 속성을 포함하여 다양한 이유로 올라가거나 내려갑니다. 파일이 처음 확인되는 경우, 이는 새 파일이기 때문에 주황색 범위(알 수 없음)에서 점수가 매겨질 수 있습니다. Sophos가 분석하고 나면 점수가 알려진 불량 또는알려진 양호 범위로 이동할 수 있습니다.

Intercept X Advanced with EDR 또는 Intercept X Advanced for Server with EDR 사용자는 또한 다음과 같은 더 많은 정보와 옵션을 볼 수 있습니다.

보고서 요약

보고서 요약에서, 파일의 신뢰도와 배포, 머신 러닝 분석 결과를 확인할 수 있습니다. 이는 파일의 의심스러운 정도를 나타냅니다.

보급률는 SophosLabs에서 파일을 확인한 빈도를 나타냅니다.

처음 표시된 시간는 SophosLabs가 처음으로 와일드에서 파일을 확인한 시간입니다.

마지막 표시된 시간는 SophosLabs에서 마지막으로 와일드에서 파일을 확인한 시간입니다.

Machine Learning 분석에는 파일의 의심스러운 정도가 요약되어 있습니다.

머신 러닝 분석

머신 러닝 분석에서, Sophos의 전체 분석 결과를 볼 수 있습니다.

속성은 해당 파일의 특성을 수백만 개의 알려진 불량 및 알려진 양호 파일의 특성과 비교하여 보여줍니다. 이를 통해 각 특성이 얼마나 의심스러운지 확인하고, 따라서 해당 파일이 양호할지 불량할지여부를 판단할 수 있습니다. 다음과 같은 특성을 볼 수 있습니다.

• 가져오기는 외부 DLL에서 파일이 사용하는 기능을 설명합니다.

• 문자열은 파일에서 가장 중요한 문자열을 설명합니다.

• 컴파일러는 C++, Delphi, Visual Basic, .NET과 같이 소스 코드를 컴파일하는 데 사용된 언어를지정합니다.

• 완화는 악용되는 것을 막기 위해 파일이 사용하는 기법을 설명합니다.

• 리소스는 압축되거나 암호화된 것처럼 보이는 리소스를 지정합니다.



• 요약은 예를 들면, 구축 또는 컴파일 날짜와 흔히 관련됩니다.

• Packer는 흔히 의심스러운 섹션 이름 또는 섹션이 쓰기 가능 및 실행 가능 섹션이라는 사실과 같이파일의 특정 섹션에 대한 참고 사항을 지정합니다.

• Peid는 다양한 맬웨어 서명에 대해 PE 파일을 스캔하는 타사 도구인 PEiD의 출력을 말합니다.

• Btcaddress는 파일에 있는 유효한 Bitcoin 주소를 표시합니다.

• Findcrypto는 의심스러운 암호화 상수를 표시합니다.

코드 유사성은 해당 파일을 수백만 개의 알려진 불량 및 알려진 양호 파일과 비교하여 가장 일치하는 항목을 나열합니다. 일치하는 다른 항목은 결과에 집계되며 해당 파일의 등급에 영향을 미칠 수있습니다. 일치하는 불량 파일이 많을수록 그리고 더 근접하게 일치할수록, 해당 파일이 더 의심스러운 것입니다.

파일/경로는 해당 파일 경로를 수백만 개의 알려진 불량 및 알려진 양호 파일의 경로와 비교하여 보여줍니다. 파일의 경로가 알려진 불량 파일의 경로와 더 근접하게 일치하면, 해당 파일은 의심스러울확률이 더 높습니다. 비교에 사용되는 경로와 파일 이름은 사용자의 경로와 파일 이름(사용자가 최신인텔리전스를 요청한 경우) 또는 파일을 보낸 마지막 고객의 경로와 파일 이름입니다. 다른 고객의경로에 있는 민감한 정보는 숨깁니다.

파일 속성

파일 속성에서, 파일 자체에 대한 주요 정보(예: 제품, 유형, 저작권 정보, 버전, 회사 이름, 크기 및타임스탬프)를 볼 수 있습니다.

파일 분석

PE 파일 섹션은 코드, 데이터 또는 리소스와 같은 파일의 각 섹션에 대한 정보를 보여줍니다. 섹션이름은 예를 들어 특정 패커, 컴파일러 또는 기능을 나타낼 수 있습니다. 맬웨어는 expleede, slang등과 같은 문자열을 포함하므로 명확하게 구분할 수 있습니다.

디스크 및 메모리에 있는 섹션 크기 대한 정보도 있습니다. 경우에 따라 섹션이 매우 작거나 매우 클수 있으며, 디스크에만 있거나 메모리에만 있는 경우도 있습니다. 섹션의 엔트로피를 볼 수 있으며읽기 가능, 쓰기 가능 또는 실행 가능 여부를 확인할 수 있습니다. 이 모든 정보를 바탕으로 섹션�

Sophos Central Admin · 2020. 7. 17. · 위협 사례 (페이지 22) 위협 사례를 사용하면...

Documents

Transcript of Sophos Central Admin · 2020. 7. 17. · 위협 사례 (페이지 22) 위협 사례를 사용하면...