주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=cloud-native-security-profile-advanced

고급 Linux 런타임 감지 프로파일 구성

Linux 런타임 감지 프로파일에는 환경에 맞게 프로파일을 사용자 지정할 수 있도록 여러 버전, 규칙 범주 및 필터링 옵션이 있습니다.

버전

Linux 런타임 감지 프로파일에는 변경할 수 있는 다음의 두 가지 버전이 있습니다.

  • 프로파일 버전: 프로파일 버전은 프로파일을 처음 만드는 것부터 시작하며 변경할 때마다 새 버전이 만들어집니다. 이를 통해 시간에 따른 프로파일 변경 및 업데이트를 추적할 수 있습니다.
  • 콘텐츠 버전: 프로파일에 사용되는 SophosLabs 기본 콘텐츠 버전입니다.

콘텐츠 업데이트

Linux 런타임 감지 프로파일 콘텐츠 업데이트는 Sophos Protection for Linux Agents(SPL)와 Sophos Linux 센서(SLS)에 서로 다른 영향을 미칩니다.

  • SPL: SPL Agent는 항상 최신 버전의 SophosLabs 기본 콘텐츠를 활용합니다. SophosLabs에서 업데이트된 버전의 기본 콘텐츠를 릴리스하면 SPL 에이전트는 콘텐츠를 가져와 새 콘텐츠 버전을 기반으로 기존 프로파일을 업데이트합니다. 즉, SophosLabs 기본 콘텐츠의 업데이트를 기반으로 프로파일을 업데이트해야 할 수 있습니다. 예를 들어 프로파일에서 수정됨 필터에 대해 을 선택하면 이전에 수정한 규칙만 표시되므로 변경 사항을 확인할 수 있습니다.
  • SLS: SLS를 사용하면 센서에 대해 사용 중인 SophosLabs 기본 콘텐츠의 버전을 기반으로 프로파일을 구성할 수 있습니다. 새 콘텐츠 버전을 사용할 수 있는 경우 SLS를 수동으로 업데이트해야 합니다.

규칙 범주

Linux 런타임 감지 프로파일에는 규칙을 위한 다음 두 개의 탭이 있습니다. 감지 분석스마트 정책.

감지 분석

감지 분석에는 악의적인 동작 지표를 감지하는 하위 수준 시스템 모니터링 기반의 감지 기능이 포함되어 있습니다. SophosLabs는 이러한 구성 요소를 다음과 같은 범주로 구분합니다.

  • 응용 프로그램 악용: 메모리 손상 또는 비정상적인 응용 프로그램 동작과 같이 호스트에서 실행 중인 응용 프로그램의 악용을 감지합니다.
  • 시스템 악용: 권한 상승 및 보안 메커니즘 무단 변경과 같은 Linux 시스템에서 취약점의 악용을 감지합니다.
  • 지속성: 호스트가 다시 시작된 후에도 계속 액세스를 제공하는 이벤트(예: 커널 또는 사용자 영역 백도어)를 감지합니다.

스마트 정책

스마트 정책에는 프로세스가 이미 초기 감지를 트리거한 이벤트 이후의 활동을 기반으로 하는 감지가 포함됩니다. 이러한 감지는 악의적일 수도 있는 추가 이벤트에 대한 컨텍스트를 제공하는 데 도움이 됩니다. SophosLabs는 이러한 구성 요소를 다음과 같은 범주로 구분합니다.

  • 파일 활동: 시스템 바이너리, 구성 및 파일 업데이트를 변경합니다.
  • 네트워크 활동: 내부망 이동 및 네트워크 서비스 동작을 나타내는 활동입니다.
  • 프로세스 활동: 비정상적인 프로세스 실행, 컴파일러/디버거 사용, 작업 예약 변경 및 업데이트입니다.
  • 사용자 활동: 권한 및 사용자 계정 업데이트입니다.

세부 정보

각 탭에서 규칙에 대해 다음과 같은 세부 정보를 확인할 수 있습니다.

  • 규칙 이름: 규칙의 이름입니다. 열 맨 위에 있는 규칙 이름을 클릭하여 규칙을 알파벳순으로 정렬합니다.
  • 규칙 설명: 경고를 트리거하는 동작 및 경고가 악의적으로 간주될 수 있는 이유입니다.
  • 수정됨: SophosLabs 기본 설정 콘텐츠에서 규칙이 수정되었는지 여부를 표시합니다.
  • 구성 가능: 규칙을 사용자 지정할 수 있는지 여부를 표시합니다.
  • 범주: 규칙의 범주입니다. 규칙 범주을 참조하십시오.
  • 사용함: 규칙이 설정되어 있는지 여부를 표시합니다.

필터

목록에 필터를 적용하여 개별 규칙을 쉽게 찾을 수 있습니다. 범주, 활성화됨, 수정됨, 및 구성 가능으로 목록을 필터링할 수 있습니다. 필터를 적용하려면 다음과 같이 하십시오.

  1. 필터 표시를 클릭합니다.
  2. 필터링할 범주를 확장합니다.

  3. 규칙 목록에 표시할 항목을 선택합니다.

    여러 범주에서 여러 필터를 동시에 적용할 수 있습니다.

  4. 적용을 클릭합니다.

필터 숨기기를 클릭하여 필터 옵션을 숨깁니다.

적용된 필터를 모두 제거하려면 모두 지우기를 클릭한 다음 적용을 클릭합니다.

참고

필터 숨기기를 클릭해도 규칙 목록에서 필터가 제거되지 않습니다. 적용된 필터를 수동으로 지워야 합니다.

규칙 세부 정보

규칙을 클릭하면 다음과 같은 세부 정보 및 사용자 지정 옵션을 볼 수 있습니다.

  • 사용함: 규칙이 설정되어 있는지 여부를 표시합니다.
  • 설명: 경고를 트리거하는 동작 및 경고가 악의적으로 간주될 수 있는 이유입니다.
  • 경고 메시지: 규칙이 트리거될 때 표시되는 경고 메시지입니다.
  • 우선순위: 경고의 심각도
  • Mitre 공격 기법: 규칙에 대한 관련 Mitre 기법입니다. 기법 번호를 클릭하면 관련 Mitre 페이지로 이동하여 감지에 대한 전체 세부 정보를 볼 수 있습니다.
  • 출력: 감지 내의 "출력" 필드 내용입니다.

허용 목록과 차단 목록

허용/차단 목록을 사용하면 드롭다운 메뉴에서 해당 규칙과 연결된 허용 및 차단 목록을 선택할 수 있습니다. 이러한 목록을 사용하면 사용자 환경에 맞게 규칙 내의 개별 항목을 설정하거나 해제할 수 있습니다.

항목 추가

항목 추가를 클릭하여 규칙에 사용자 지정 항목을 추가할 수 있습니다.

SophosLabs 기본 설정 항목에만 표시되는 Sophos 방패Sophos 방패.를 찾아 사용자 지정 항목과 SophosLabs 기본 설정 항목을 구분할 수 있습니다.

삭제삭제.를 클릭하여 허용/차단 목록에서 사용자 지정 항목을 제거합니다.