8월 06, 2020
206
1. 개요
- 본 문서는 EPP의 연계 정책에 대해 설명합니다.
2. 소개
1) 연계 정책이란 무엇인가?
- 안랩 엔드포인트 보안 제품간 연계된 조건 설정으로 탐지 및 대응이 가능하도록 하는 정책을 말합니다.
2) 연계 정책의 필요성?
- 각 엔드포인트 제품 간 시너지가 발생하여 고객사 환경에 최적화된 엔드포인트 보안 운영이 가능하도록 합니다.
3. 설정 방법
0) 상단의 [정책/연계 규칙] 메뉴 선택 > [연계 규칙] 탭에서 '추가' 버튼을 클릭합니다.
1) 기본 설정
- '연계 규칙 사용'을 체크한 뒤 이름 및 주기를 설정합니다.
2) 규칙 설정
- 엔드포인트 제품별로 조회를 원하는 규칙을 설정합니다. (AND 및 OR 조건으로 추가 가능)
- 각 제품별 대응 방법을 설정한 뒤 '다음' 버튼을 클릭합니다.
3) 예외 대상 설정
- 해당 연계 정책에 예외로 설정할 대상을 추가합니다. (도메인/그룹 또는 에이전트로 추가 가능)
- 예외할 대상이 없을 경우 바로 '다음' 버튼을 클릭합니다.
4) 알림/보고서 설정
- 재알림 제한 시간: 설정한 시간 내에 알림을 다시 전송하지 않습니다.
- 알림 기간: 설정한 기간동안 알림이 발송되며, 기간을 설정하지 않으면 영구적으로 알림이 발송됩니다.
- 알림 메일 발송: 알림을 발송할 메일 템플릿을 설정합니다.
- 보고서를 생성할지 여부를 체크 및 설정합니다.
- 설정 완료 후 '확인' 버튼을 누르면 연계 정책이 생성됩니다.
4. 연계 정책 활용하기
시나리오 #1 : (EDR/V3/공통) EDR 탐지 분석 정보를 활용한 연계 정책
- Malware/MDP.Pharm.M1402 (cacls.exe) 탐지 및 자동 대응
- (기대효과) 전사 탐지 이력 및 현황 파악 / 메일발송을 통한 관리자 확인
시나리오 #2 : (EDR/V3/APM/공통) ASEC Blog 등 상세 분석된 악성코드 분석정보를 활용한 연계 정책
- ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염확산 방지
- (기대효과) 사전 방역 및 단말 자동대응 / 메일발송을 통한 관리자 확인
시나리오 #3 : (EDR/V3/ESA/공통) 백신으로 탐지되지만 대응 및 수동처리가 어려운 PUP 악성코드 자동 대응
- PUP/Win32.vGrid.C2774628 자동 삭제처리 대응
- (기대효과) 수동 처리를 자동 처리로 전환, 관리 리소스 감소
시나리오 #4 : (EDR/V3/APrM/공통) 개인정보를 노린 허위 경품 증정 이벤트 페이지 차단 및 자동 대응
- 개인정보 유출 이벤트 접속 URL 등 접속 시 단말에서 자동 대응 처리
- (기대효과) 개인정보유출 경품페이지 등을 사전 차단 안내