PUA 경고 해결
PUA 경고를 해결하기 위해 할 수 있는 조치입니다.
경고를 사용하여 언제 조치를 취해야 하는지 또는 PUA(Potentially Unwanted Application) 감지를 조사해야 하는지 여부를 알려줍니다. 또한 PUA의 정리를 시도한 적이 있는지 알려줍니다. 장치의 세부 정보 페이지에 이 내용이 표시됩니다. 장치을 참조하십시오.
또한 위협 그래프를 생성할 수 있습니다. 이는 감지된 PUA에 대한 자세한 정보를 제공합니다. 위협 그래프을 참조하십시오.
PUA가 긍정 오류인지 확인
간혹 맬웨어 감지가 오탐일 수도 있습니다. 예를 들어 Deep Learning(탐지 이름: ML/PE-A
) 감지는 머신 러닝을 사용하여 이전에는 없었던 맬웨어를 식별합니다. 매우 효과적이지만 합법적인 응용 프로그램을 맬웨어로 식별할 수 있는 경우도 있습니다.
감지가 잘못된 경우 응용 프로그램을 허용하거나 제외 항목을 추가할 수 있습니다.
감지가 올바르면 해당 응용 프로그램을 정리해야 합니다.
응용 프로그램이 악성인지 PUA인지 확실하지 않은 경우 경고를 조사해야 합니다. 그런 다음 응용 프로그램을 적절하게 허용하거나 정리할 수 있습니다.
경고 조사
감지된 PUA에 대해 필요한 모든 정보가 경고에 제공되지 않을 수 있습니다. 악성인지 불필요한 것인지 확실하지 않은 경우 감지된 PUA에 대해 가능한 모든 정보를 검토하십시오.
이렇게 하려면, 다음 과정을 수행하십시오.
- 위협 그래프가 있는지 확인합니다. Sophos Central에서 위협 분석 센터 > 위협 그래프으로 이동합니다.
-
감지된 PUA와 관련된 위협 그래프를 찾습니다.
위협 그래프가 있는 경우 감지된 PUA에 대한 세부 정보가 표시됩니다. 여기에는 수행된 모든 활동과 기타 의심스러운 파일 또는 조사 프로세스가 있는지 여부가 나타납니다.
- 위협 그래프가 없는 경우 위협 그래프를 만듭니다.
-
옵션: 적절한 경우 사용자에게 연락해서 감염 발생 시점에 어떤 일이 있었는지 알아냅니다. 예를 들어, 이메일에서 링크를 클릭하거나 USB 드라이브를 연결했습니까?
-
위협 그래프를 조사하고 문제 해결을 위해 당사에서 제안하는 단계를 따릅니다.
위협 그래프를 사용한 위협 조사에 대한 도움말은 위협 그래프 분석를 참조하십시오.
-
조사를 완료하면 다음 중에서 선택하십시오.
-
경고를 해결합니다. 경고 해결를 참조하십시오.
긍정 오류 처리
감지가 올바르지 않다고 생각되면 응용 프로그램을 허용하거나 제외 항목을 추가할 수 있습니다.
경고
응용 프로그램을 허용하거나 제외 항목을 추가할 때 주의하십시오. 이렇게 하면 보호 기능이 줄어들 수 있습니다.
예를 들어 디렉터리를 제외시킨 다음에도 해당 위치에서 멀웨어가 실행되는 경우 멀웨어는 차단되지 않습니다.
긍정 오류를 처리하려면 다음과 같이 하십시오.
-
애플리케이션을 허용하려면 다음과 같이 하십시오.
- 응용 프로그램이 탐지된 위치에 따라 장치 > 컴퓨터 또는 서버페이지로 이동합니다.
- 감지가 발생한 장치를 찾고 이 장치의 세부 정보를 봅니다.
- 이벤트 탭에서 검색 이벤트를 찾아 세부 정보을 클릭합니다.
- 이벤트 세부 정보 대화 상자에서 이 응용 프로그램 허용을 확인합니다.
-
응용 프로그램을 허용할 방법을 선택합니다.
- 인증서(Windows만 해당): 이 방법을 권장합니다. 또한, 이 방법은 동일한 인증서로 다른 응용 프로그램을 허용합니다.
- SHA-256(Windows, Linux): 응용 프로그램의 이 버전만 허용합니다. 그러나 응용 프로그램을 업데이트하면 다시 감지할 수 있습니다.
- 경로 (Windows): 이 위치에 설치된 경우 응용 프로그램을 허용합니다. 응용 프로그램이 다른 컴퓨터의 다른 위치에 있는 경우 변수를 사용할 수 있습니다.
-
경로 (Linux): 응용 프로그램이 표시된 경로(위치)에 설치된 경우 허용합니다. 응용 프로그램이 다른 컴퓨터의 다른 위치에 설치된 경우, 지금 또는 나중에 경로를 편집할 수 있으며 변수를 사용할 수 있습니다. 슬래시를 사용해야 합니다.
-
허용을 클릭합니다.
응용 프로그램 허용에 대한 자세한 내용은 허용된 응용 프로그램을 참조하십시오.
-
제외 항목을 추가하려면 정책 기반 제외를 사용하는 것이 좋습니다. 제외 항목을 대상으로 정하고 가능한 한 구체적으로 지정할 수 있습니다. 제외 항목을 추가하려면, 다음과 같이 하십시오.
-
엔드포인트의 경우 나의 제품 > Endpoint > 정책으로 이동하여 제외 항목을 설정합니다.
위협 방지 정책을 참조하십시오.
-
서버의 경우 나의 제품 > Server > 정책으로 이동하여 제외 항목을 설정합니다.
서버 위협 방지 정책을 참조하십시오.
-
-
엔드포인트의 경우 경고 페이지의 응용 프로그램을 허용할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.
- 경고로 이동합니다.
- PUA 경고를 찾습니다.
-
PUA 권한 부여를 클릭합니다.
경고
이렇게 하면 모든 컴퓨터에서 실행하도록 PUA에 권한이 부여됩니다. 인증서 또는 SHA-256을 사용하여 응용 프로그램을 허용하는 것이 좋습니다.
이제 경고를 해결할 수 있습니다.
PUA 정리
감지가 정확하다고 생각되면 응용 프로그램을 정리할 수 있습니다. 먼저 PUA를 조사하는 것이 도움이 될 수 있습니다. 이렇게 하면 관련된 프로세스나 기타 의심스러운 파일에 대한 자세한 정보를 찾을 수 있습니다.
PUA를 정리하려면 다음과 같이 하십시오.
- 컴퓨터로 이동합니다.
- 응용 프로그램, 관련 프로세스 및 레지스트리 키를 삭제합니다.
경고 해결
애플리케이션을 허용 또는 제거한 경우 경고를 해결할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.
- 경고로 이동합니다.
- 경고로 이동합니다.
- 해결됨으로 표시를 클릭합니다.