[EPPM] 연계 규칙 설정 가능 항목 정리

8월 06, 2020

129

1. 개요

EPP를 통해 생성이 가능한 연계 규칙 항목에 대해 자세히 알아봅니다.

2. 영향 버전

EPP 모든 버전
단, 해당 게시글은 1.0.5 기준으로 작성되었습니다.
(버전 Up 시 항목이 추가/변경될 수 있습니다.)

3. 연계 규칙 설정 항목 확인 전 생성 방법

[EPPM] 연계 정책이란 무엇인가?

4. 연계 규칙 - 탐지 규칙 설정 가능 항목

규칙 대상	규칙	설명
공통	마지막 접속 날짜	에이전트가 관리 서버로 접속한 마지막 날짜. 마지막 접속 날짜는 숫자로 입력.
	라이선스 정보 없음	라이선스 정보가 없는 에이전트에 대한 규칙.
	사용자 정보 없음	사용자 정보가 입력되지 않은 에이전트에 대한 규칙. 동일(=) 조건 선택 시, 빌드 버전을 함께 입력.
	에이전트 버전	에이전트 프로그램에 대한 버전 규칙. 규칙 설정 시 동일/유사 연산자를 지원.
	설치된 보안 제품	에이전트가 설치된 단말에 설치되어 있는 보안 제품에 대한 규칙.
V3	악성코드/평판 기반 탐지 횟수	악성코드/평판 기반 탐지 횟수에 대한 규칙.
	악성코드 진단명	악성코드 진단명에 대해 규칙을 설정. 악성코드 진단명에 대해 동일/유사 연산자를 지원.
	V3 미설치	V3 제품의 미설치에 대한 규칙. V3가 설치되지 않았으면 규칙을 만족.
	마지막 엔진 업데이트 날짜	마지막 엔진 업데이트 날짜에 대한 규칙. 마지막 엔진 업데이트 날짜는 숫자로 입력.
	실시간 검사 미사용	V3 제품의 실시간 검사 미사용에 대한 규칙. 실시간 검사가 사용 중이 아니면 규칙의 조건에 만족.
	마지막 검사 날짜	V3 제품의 마지막 악성코드 검사 날짜에 대한 규칙. 마지막 검사 날짜는 숫자로 입력.
	네트워크 침입 차단 탐지 횟수	V3 제품의 네트워크 침입 차단 탐지 횟수에 대한 규칙. 네트워크 침입 차단 탐지 로그 중 오른쪽 항목에 대한 탐지 횟수를 체크함.
	네트워크 침입 차단 규칙 이름	V3 제품의 네트워크 침입 차단 규칙 이름에 대한 규칙. 네트워크 보안 > 침입 차단의 차단 규칙 보기에 있는 규칙리스트에 대해서만 동작.
EDR	프로세스	탐지된 프로세스의 이름, 파일 경로, 해시값 정보가 모두 동일하면 규칙의 조건에 만족. 1개 이상은 반드시 입력.
	레지스트리	레지스트리에 대한 규칙. 입력한 키, 값, 데이터가 모두 동일하면 규칙을 만족.
	네트워크 URL	입력한 URL정보와 동일하면 규칙을 만족. 규칙 설정 시 동일 연산자를 지원.
	네트워크 IP 주소	입력한 IP 주소 정보와 동일하면 규칙을 만족. 규칙 설정 시 동일 연산자를 지원. IP 주소로만 판단함.
	행위 유형별 Unknown 탐지 횟수	랜섬웨어 유사 행위, 인젝션 행위, 네트워크 접속, 시스템 설정 변경, 권한 상승, 파일리스(Fileless) 선택된 항목의 개별 개수로 체크
	Unknown 탐지 횟수	랜섬웨어 유사 행위, 인젝션 행위, 네트워크 접속, 시스템 설정 변경, 권한 상승, 파일리스(Fileless) 전체 항목의 개수 합으로 체크
EPM	권장 패치율	권장 패치율에 대한 규칙. 권장 패치율은 1~100 사이의 숫자로 입력.
	전체 패치율	전체 패치율에 대한 규칙. 전체 패치율은 1~100 사이의 숫자로 입력.
	소프트웨어 설치	소프트웨어 설치에 대한 규칙을 생성. 규칙 설정 시 동일/유사 연산자를 지원.
	소프트웨어 미설치	소프트웨어 미설치에 대한 규칙을 생성. 규칙 설정 시 동일/유사 연산자를 지원.
	특정 패치 적용	특정 패치의 적용 여부에 대한 규칙. 세부 조건으로 KB 번호와 위험도에 대한 조건을 설정.
	특정 패치 미적용	특정 패치의 미적용에 대한 규칙. 규칙 설정 시 동일/유사 연산자를 지원.
EPrM	개인 정보 유출 의심 탐지 횟수	개인 정보 유출 의심 탐지 횟수에 대한 규칙. 등급별(전체, 위험, 경고, 주의)로 규칙을 설정할 수 있고 규칙 설정 시 초과/이상/동일/이하/미만 연산자를 지원.
	개인 정보 미처리 파일 보유 개수	개인 정보 미처리 파일 보유 개수에 대한 규칙. 등급별(전체, 위험, 경고, 주의)로 규칙을 설정할 수 있고 규칙 설정 시 초과/이상 연산자를 지원.
	개인 정보 검색 미실행 기간	개인 정보 검색을 수행하지 않은 기간에 대한 규칙. 미실행 기간을 날짜별로 설정할 수 있고, 규칙 설정 시 초과/이상 연산자를 지원.
ESA	PC 보안 점검 점수	PC 보안 점검 점수에 대한 규칙. 규칙 설정 시 초과/이상/동일/이하/미만 연산자를 지원.
	보안 수준 평가 미완료	보안 수준 평가 미완료에 대한 규칙. 보안 수준 평가를 완료하지 않았으면 규칙을 만족.
	PC 보안 점검 취약 항목 수	PC 보안 점검 결과 취약으로 진단된 점검 항목 수에 대한 규칙. 취약 항목 수에 대한 초과/이상 연산자를 지원.
	보안 수준 평가 점수	보안 수준 평가 점수에 대한 규칙. 규칙 설정 시 초과/이상/동일/이하/미만 연산자를 지원.
	PC 보안 점검 미실행 기간	PC 보안 점검을 수행하지 않은 기간에 대한 규칙. 미실행 기간을 날짜별로 설정할 수 있고, 규칙 설정 시 초과/이상 연산자를 지원.
	특정 PC 보안 점검 취약 항목	설정된 시간 내에 특정 PC의 보안 점검 결과가 취약인 항목에 대한 규칙.

4. 연계 규칙 - 대응 규칙 설정 가능 항목

규칙 대상	규칙	설명
공통	공지 사항 보내기	규칙을 만족하는 에이전트를 대상으로 공지 사항을 전달.
	공유 폴더 정보 가져오기	규칙을 만족하는 에이전트를 대상으로 에이전트가 설치된 시스템의 공유 폴더 정보를 가져옴.
	모든 공유 폴더 해제	규칙을 만족하는 에이전트를 대상으로 에이전트가 설치된 시스템의 모든 공유 폴더를 해제.
	AhnReport 수집	규칙을 만족하는 에이전트를 대상으로 에이전트가 설치된 시스템의 AhnReport를 수집.
	사용자 정보 입력 창 표시	규칙을 만족하는 에이전트를 대상으로 사용자 정보 입력 창 표시.
V3	V3 수동 업데이트	에이전트가 설치된 시스템의 V3 제품을 수동으로 업데이트 진행.
	V3 네트워크 차단	에이전트가 설치된 시스템의 V3 제품에 네트워크 차단 명령 전달.
	V3 네트워크 차단 해제	에이전트가 설치된 시스템의 V3 제품에 네트워크 차단 해제 명령 전달.
	악성코드 검사	에이전트가 설치된 시스템의 V3 제품에 악성코드 검사 명령 전달.
	시스템 최적화	에이전트가 설치된 시스템의 V3 제품에 시스템 최적화 명령 전달.
EDR	프로세스 종료	대응 조건에 입력한 정보를 만족하는 프로세스를 종료. 프로세스 이름, 프로세스 경로, 파일 해시값 중 1개 이상은 반드시 입력.
	파일 검색	대응 조건에 입력한 정보를 만족하는 파일을 검색. 파일 이름이나 해시값(MD5) 중 하나는 반드시 입력.
	파일 수집	대응 조건에 입력한 정보를 만족하는 파일을 수집. 파일 이름과 파일 경로를 반드시 입력.
	EDR 네트워크 차단	규칙을 만족하는 에이전트를 대상으로 네트워크 차단 명령을 전달.
	EDR 네트워크 차단 해제	규칙을 만족하는 에이전트를 대상으로 네트워크 차단 해제 명령을 전달.
EPM	패치 실행	EPM 에이전트가 설치된 시스템에 패치 실행 명령 전달.
EPM	소프트웨어 설치 점검	EPM 에이전트가 설치된 시스템에 소프트웨어 정책 적용을 위해 소프트웨어 설치 점검 명령 전달.
EPrM	Privacy Day 캠페인 알림	EPrM 에이전트가 설치된 시스템에 개인 정보 검색을 위한 Privacy Day 캠페인 명령 전달.
EPrM	개인 정보 관리자 수동 검색	EPrM 에이전트가 설치된 시스템에 개인 정보 관리자가 수동 검색 명령 전달.
ESA	PC 보안 점검 실행	ESA 에이전트가 설치된 시스템에 PC 보안 점검 명령 전달.
ESA	PC 보안 점검 모두 조치	ESA 에이전트가 설치된 시스템에 PC 점검 결과가 미조치된 항목을 모두 조치하도록 명령 전달.