콘텐츠로 이동

위협 방지 정책

위협 보호는 맬웨어, 위험한 파일 형식 및 웹 사이트, 악성 네트워크 트래픽으로부터 보호해 줍니다.

참고

이 페이지는 워크스테이션 사용자에 대한 정책 설정에 대해 설명합니다. 서버에 대해 다른 정책 설정이 적용됩니다.

위협 방지를 설정하려면 Endpoint Protection > 정책으로 이동합니다.

정책을 설정하려면 다음과 같이 하십시오.

  • 위협 방지 정책을 만듭니다. 정책 만들기 또는 편집을 참조하십시오.
  • 정책의 설정 탭을 열고 아래 설명대로 구성합니다. 정책이 켜져 있는지 확인합니다.

권장 설정을 사용하거나 변경할 수 있습니다. “위협 방지 설정”에서 위협 방지 정책을 설정하는 방법에 대한 동영상을 찾아볼 수 있습니다.

이 정책의 설정을 변경한 후 기본 설정을 확인하려면 새 정책을 만듭니다. 저장할 필요는 없지만 기본값이 표시됩니다.

참고

SophosLabs는 어떤 파일을 스캔할지 독립적으로 제어할 수 있습니다. 이 프로그램은 최상의 보호를 제공하기 위해 특정 파일 유형의 스캔을 추가하거나 제거할 수 있습니다.

참고

옵션이 잠겨 있으면 파트너 또는 Enterprise Administrator가가 전역 설정을 적용한 것입니다. 이벤트 목록으로 이동하여 여전히 응용 프로그램, 익스플로잇 및 랜섬웨어를 중지할 수 있습니다.

권장 설정 사용

경고

권장 설정을 변경하면 보호 수준이 약화되므로 이렇게 하기 전에 신중하게 생각하십시오.

Sophos가 권장하는 설정을 사용하려면 권장 설정 사용을 클릭하십시오. 복잡한 구성 없이 최상의 보호 기능을 제공합니다.

향후 권장 사항이 변경되면 정책이 새 설정으로 자동 업데이트됩니다.

권장 설정은 다음을 제공합니다.

  • 알려진 맬웨어 감지
  • Sophos에 알려진 최신 맬웨어를 감지할 수 있는 클라우드 내부 검사
  • 사전에 새로운 맬웨어 감지
  • 맬웨어 자동 정리

위협 방지 설정

이 동영상에서는 위협 방어 정책을 설정하는 방법과 모범 사례에 대한 권장 사항을 설명합니다.

Live Protection

Live Protection은 SophosLabs 데이터베이스의 최신 맬웨어와 비교해 의심스러운 파일을 검사합니다. Sophos Threat Center를 참조하십시오.

다음과 같은 옵션을 선택할 수 있습니다.

  • Live Protection을 사용하여 SophosLabs 온라인에서 최신 위협 정보 확인. 그러면 실시간 스캐닝 중에 파일을 확인합니다.
  • 예약된 검사 중에 Live Protection 사용

딥 러닝

Deep Learning(딥 러닝)은 고급 머신 러닝을 사용하여 위협을 탐지합니다. 딥 러닝은 알려진 맬웨어과 이전에는 알 수 없었던 맬웨어 및 서명을 사용하지 않고 '사용자 동의 없이 설치된 응용 프로그램'을 식별할 수 있습니다.

이 Deep Learning(딥 러닝)은 Sophos Intercept X가 설치된 경우에만 사용할 수 있습니다.

실시간 검사 - 로컬 파일 및 네트워크 공유

실시간 스캐닝은 사용자가 액세스를 시도할 때 파일을 스캔합니다. 파일이 정상이면 액세스를 허용합니다.

로컬 파일은 기본적으로 스캔됩니다. 또한,

  • 원격 파일: 이 옵션은 네트워크 공유의 파일을 검사합니다.

실시간 검사 - 인터넷

실시간 스캐닝은 사용자가 액세스하려 할 때 인터넷 리소스를 스캔합니다. 다운로드 신뢰도를 참조하십시오. 다음과 같은 옵션을 선택할 수 있습니다.

  • 진행 중인 다운로드 검사
  • 악성 웹 사이트에 대한 액세스 차단: 맬웨어를 호스팅하는 것으로 알려진 웹 사이트에 대한 액세스를 거부합니다.
  • 낮은 신뢰도 파일 감지: 다운로드의 신뢰도가 낮은 경우에 경고합니다. 신뢰도는 파일의 소스, 다운로드 빈도, 기타 요인을 기반으로 합니다. 다음을 지정할 수 있습니다.
    • 낮은 신뢰도 다운로드에 대해 취할 조치: 사용자에게 메시지 표시를 선택하면 낮은 신뢰도 파일을 다운로드하려고 할 때 경고 메시지가 나타납니다. 그리고 나서 파일을 신뢰하거나 삭제할 수 있습니다. 기본 설정입니다.
    • 신뢰도 수준: 엄격을 선택하면 보통 신뢰도뿐 아니라 낮은 신뢰도 파일도 감지됩니다. 기본 설정은 권장입니다.

교정

수정 옵션은 다음과 같습니다.

  • 자동으로 맬웨어 정리: Sophos Central이 감지된 맬웨어를 자동으로 정리하려 시도합니다.

    정리에 성공하면 맬웨어 감지 경고가 경고 목록에서 삭제됩니다. 감지 및 정리는 이벤트 목록에 표시됩니다.

    참고

    사용자가 자동 정리를 해제하더라도 응용 프로그램, 라이브러리 및 시스템 파일과 같은 PE(Portable Executable) 파일은 항상 정리됩니다. PE 파일이 격리되어 있고 50MB 미만이면 복원할 수 있습니다.

  • 위협 그래프 생성 활성화: 위협 그래프를 통해 맬웨어 공격 시의 일련의 이벤트를 조사하고 보안을 강화할 수 있는 영역을 파악할 수 있습니다.

런타임 보호

제한

일부 옵션을 사용하려면 조기 액세스 프로그램에 가입해야 합니다.

런타임 보호는 의심스럽거나 악의적인 동작 또는 트래픽을 감지하여 위협으로부터 보호합니다. 다음을 선택할 수 있습니다.

  • 랜섬웨어(CryptoGuard)로부터 문서 파일 보호: 파일에 대한 액세스를 제한하는 맬웨어로부터 문서 파일을 보호한 후 파일을 공개하는 데 요금을 부과합니다. 또한 원격 위치에서 랜섬웨어가 실행되지 않도록 64비트 컴퓨터를 보호할 수 있습니다.
  • 파일 시스템 암호화 공격 차단: 이렇게 하면 파일 시스템을 암호화하는 랜섬웨어로부터 컴퓨터를 보호할 수 있습니다. 랜섬웨어가 탐지될 경우 어떤 조치를 취할지 선택합니다. 랜섬웨어 프로세스를 종료하거나 분리하여 파일 시스템에 대한 쓰기를 중지할 수 있습니다.
  • 마스터 부트 레코드 랜섬웨어로부터 보호: 이것은 컴퓨터를 마스터 부트 레코드를 암호화하는 랜섬웨어로부터 보호하고(그래서 시작하지 못하게 함) 하드 디스크를 지우는 공격으로부터 보호합니다.
  • 웹 브라우저의 중요 기능 보호(안전 검색): 맬웨어에 의한 악용으로부터 웹 브라우저를 보호해 줍니다.
  • 취약한 응용 프로그램의 익스플로잇 완화: 맬웨어에 의한 악용에 가장 취약한 응용 프로그램을 보호해 줍니다. 보호할 응용 프로그램의 유형을 선택할 수 있습니다.
  • 프로세스 보호: 맬웨어에 의한 합법적인 응용 프로그램의 하이재킹을 방지하는 데 도움이 됩니다. 다음과 같은 옵션을 선택할 수 있습니다.
    • 할로잉 공격 진행 방지. 프로세스 교체 공격을 방지합니다.
    • 신뢰할 수 없는 폴더에서 DLL로드 방지. 신뢰할 수 없는 폴더에서 .DLL 파일을 로드하는 것을 방지합니다.
    • 자격 증명 도난 방지. 메모리, 레지스트리 또는 하드 디스크에서 암호 및 해시 정보의 도난을 방지합니다.
    • 코드 케이브 이용 방지. 다른 합법적인 응용 프로그램에 삽입된 악성 코드를 탐지합니다.
    • APC 위반 방지. 공격이 응용 프로그램 프로시저 호출(APC)을 사용하여 코드를 실행하지 못하게 합니다.
    • 권한 상승 방지. 공격으로 인해 낮은 권한의 프로세스가 더 높은 권한으로 상승되어 시스템에 액세스하는 것을 방지합니다.
  • 네트워크 트래픽 보호. 다음과 같은 옵션을 선택할 수 있습니다.
    • 명령 및 제어 서버에 대한 악성 연결 감지. 이 기능은 엔드포인트 컴퓨터를 장악할 가능성이 있는 것으로 나타나는 엔드포인트 컴퓨터와 서버 간의 트래픽을 검색합니다.
    • 패킷 검사를 통해 악성 네트워크 트래픽 방지(IPS). 이 기능은 가장 낮은 수준에서 트래픽을 스캔하여 운영 체제 또는 응용 프로그램에 피해를 주기 전에 위협을 차단합니다.
  • 악의적인 동작 감지(HIPS): 이 기능은 아직 알려지지 않은 위협을 차단합니다. 악의적이거나 의심스러운 것으로 알려진 동작을 감지하고 차단하는 방법을 통해 보호합니다.
  • 악의적인 동작 감지: 이 기능은 아직 알려지지 않은 위협을 차단합니다. 악의적이거나 의심스러운 것으로 알려진 동작을 감지하고 차단하는 방법을 통해 보호합니다.

  • AMSI 보호(스크립트 기반 위협에 대해 개선된 스캔 지원): 이렇게 하면 Microsoft AMSI(Antimalware Scan Interface)를 사용하여 악성 코드(예: PowerShell 스크립트)를 차단할 수 있습니다. AMSI를 통해 전달된 코드는 실행 전에 스캔되고, 코드를 실행하는 데 사용된 응용 프로그램은 Sophos를 통해 위협 알림을 받습니다. 위협이 탐지되면 이벤트가 기록됩니다. 컴퓨터에서 AMSI 등록이 제거되지 않도록 할 수 있습니다. AMSI (Antimalware Scan Interface)를 참조하십시오.

고급 설정

이러한 설정은 테스트 또는 문제 해결용으로만 사용됩니다. 이러한 설정은 기본값으로 두는 것이 좋습니다.

HTTPS 웹 사이트의 SSL/TLS 복호화

SSL/TLS를 사용하여 웹 사이트 암호 해독을 선택한 경우, HTTPS 웹 사이트의 콘텐츠를 해독하고 위협 요소가 있는지 확인하십시오.

위험한 웹 사이트를 해독하면 이를 차단합니다. 사용자에게 메시지를 표시하고 재평가를 위해 사이트를 SophosLabs에 제출할 수 있는 옵션을 제공합니다.

기본적으로 암호 해독은 해제되어 있습니다.

참고

장치에 적용되는 위협 방지 정책에서 암호 해독이 켜져 있는 경우 해당 장치의 웹 제어 검사에도 켜집니다.

장치 격리

이 옵션을 선택하면, 상태가 빨간색일 때 장치가 네트워크에서 자체적으로 격리됩니다. 위협이 탐지되었거나, 소프트웨어가 오래되었거나, 장치가 정책을 준수하지 않거나, 제대로 보호되지 않는 경우에는 컴퓨터 상태가 빨간색이 됩니다.

여전히 Sophos Central에서 컴퓨터를 관리할 수 있습니다. 스캔 제외 또는 전역 제외를 사용하여, 문제 해결을 위해 제한된 액세스 권한을 부여할 수도 있습니다.

이러한 장치는 격리에서 제거할 수 없습니다. 컴퓨터 상태가 녹색이면 네트워크와 다시 통신합니다.

예약된 검사

예약된 스캐닝은 지정한 시간에 스캔을 한 번 또는 여러 번 수행합니다.

다음과 같은 옵션을 선택할 수 있습니다.

  • 예약된 검색 사용: 스캔을 수행해야 하는 시간과 하루 이상의 날짜를 정의할 수 있습니다.

    참고

    예약된 스캔 시간은 엔드포인트 컴퓨터 기준 시간입니다(UTC 시간 아님).

  • 정밀 스캐닝 사용: 이 옵션을 선택하면 예약된 스캐닝 중에 아카이브가 스캔됩니다. 이렇게 하면 시스템 로드가 증가하고 스캐닝 속도가 상당히 느려질 수 있습니다.

    참고

    아카이브를 검사하면 시스템 로드가 증가하고 스캔 속도가 상당히 느려질 수 있습니다.

검사 제외

아래에 설명된 대로, 위협 스캔 시 스캔 대상에서 파일, 폴더, 웹 사이트 또는 응용 프로그램을 제외할 수 있습니다.

익스플로잇에 대해서는 제외된 항목도 계속 검사합니다. 그러나, 이미 감지된 익스플로잇 검사는 중지할 수 있습니다(감지된 익스플로잇 제외 사용).

정책에서 설정된 제외는 정책이 적용되는 사용자에 대해서만 사용됩니다.

참고

모든 사용자 및 서버에 제외를 적용하려면 전역 제외를 설정하십시오. 이 작업을 하려면 전역 설정 > 전역 제외으로 이동합니다.

정책 스캐닝 제외를 만들려면 다음과 같이 하십시오.

  1. 제외 추가(페이지 오른쪽)를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  2. 제외 유형 드롭다운 목록에서 제외할 항목의 유형(파일 또는 폴더, 웹 사이트, 잠재적으로 원하지 않는 응용 프로그램 또는 장치 격리)을 선택합니다.

  3. 제외할 항목을 지정합니다.
  4. 파일 또는 폴더 제외의 경우에만 활성 기간 드롭다운 목록에서 제외가 실시간 스캐닝, 예약된 스캐닝 또는 둘 다에 대해 유효해야 하는지 여부를 지정합니다.
  5. 추가 또는 더 추가을 클릭합니다. 제외가 스캐닝 제외 목록에 추가됩니다.

나중에 제외를 편집하려면 제외 목록에서 이름을 클릭하고 새 설정을 입력한 후 업데이트를 클릭합니다.

사용할 수 있는 제외 항목에 대한 자세한 내용은 다음을 참조하십시오.

익스플로잇 완화 제외

보안 익스플로잇 방지에서 응용 프로그램을 제외할 수 있습니다. 예를 들어, 문제가 해결될 때까지 위협으로 잘못 감지된 응용 프로그램을 제외하려 할 수 있습니다.

제외 항목을 추가하면 보호 수준이 낮아집니다.

전역 옵션 개요 > 전역 설정 > 전역 제외를 사용하여 제외 사항을 추가하면 모든 사용자 및 장치에 적용되는 제외 사항이 생성됩니다.

이 옵션을 사용하고 제외 사항이 필요한 사용자 및 장치에만 제외가 포함된 정책을 할당하는 것이 좋습니다.

참고

Windows 응용 프로그램에 대한 제외 사항만을 만들 수 있습니다.

AWS에서 익스플로잇 완화 제외 정책을 만들려면 다음과 같이 하십시오.

  1. 제외 추가(페이지 오른쪽)를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  2. 제외 유형에서 익스플로잇 완화(Windows)를 선택합니다.

    네트워크에서 보호된 응용 프로그램 목록이 표시됩니다.

  3. 제외할 응용 프로그램을 선택합니다.

  4. 원하는 응용 프로그램이 보이지 않으면 응용 프로그램이 목록에 없습니까?를 클릭합니다. 이제 파일 경로를 입력하여 응용 프로그램에서 보호를 제외할 수 있습니다. 변수 중 어느 것이든 선택적으로 사용합니다.
  5. 완화 아래에서 다음 중에서 선택하십시오.
    • 응용 프로그램 보호를 끕니다. 선택한 응용 프로그램의 익스플로잇 유무가 확인되지 않았습니다.
    • 응용 프로그램 보호를 계속 켜고 확인하거나 확인하지 않을 공격 유형을 선택합니다.
  6. 추가 또는 더 추가을 클릭합니다. 제외 항목이 전역 제외 페이지의 목록에 추가됩니다.

    제외 사항은 이 정책을 할당하는 사용자 또는 장치에만 적용됩니다.

나중에 제외를 편집하려면 제외 목록에서 이름을 클릭하고 새 설정을 입력한 후 업데이트를 클릭합니다.

랜섬웨어 보호 제외

응용 프로그램에서 사용하는 응용 프로그램 또는 폴더를 랜섬웨어에 대한 보호에서 제외할 수 있습니다.

랜섬웨어 보호와 호환되지 않는 응용 프로그램 또는 위협으로 잘못 감지된 응용 프로그램을 제외해야 할 수 있습니다. 예를 들어, 데이터를 암호화하는 응용 프로그램은 이 보호에서 제외할 수 있습니다. 이렇게 하면 응용 프로그램이 랜섬웨어로 감지되는 것을 방지할 수 있습니다.

또는 랜섬웨어 보호에 의해 모니터링될 때 성능 문제를 표시하는 특정 응용 프로그램에서 사용하는 폴더를 제외할 수도 있습니다. 예를 들어 백업 응용 프로그램에서 사용하는 폴더를 제외시킬 수 있습니다.

제외 항목을 추가하면 보호 수준이 낮아집니다.

전역 옵션 개요 > 전역 설정 > 전역 제외를 사용하여 제외 사항을 추가하면 모든 사용자 및 장치에 적용되는 제외 사항이 생성됩니다.

이 옵션을 사용하고 제외 사항이 필요한 사용자 및 장치에만 제외가 포함된 정책을 할당하는 것이 좋습니다.

랜섬웨어 보호 제외 정책을 만들려면 다음과 같이 하십시오.

  1. 제외 추가(페이지 오른쪽)를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  2. 제외 유형에서 랜섬웨어 보호(Windows)를 선택합니다.

  3. 프로세스를 제외할지 아니면 폴더를 제외할지 선택합니다.
  4. 에 제외할 프로세스 또는 폴더의 경로를 입력합니다.

    여기에서 변수를 사용할 수 있습니다. 익스플로잇 완화 또는 랜섬웨어 제외: 와일드카드 및 변수을 참조하십시오.

  5. 추가 또는 더 추가을 클릭합니다. 제외 항목이 전역 제외 페이지의 목록에 추가됩니다.

    제외 사항은 이 정책을 할당하는 사용자 또는 장치에만 적용됩니다.

나중에 제외를 편집하려면 제외 목록에서 이름을 클릭하고 새 설정을 입력한 후 업데이트를 클릭합니다.

제한

Windows 응용 프로그램에 대한 제외 사항만을 만들 수 있습니다.

데스크톱 메시징

참고

데스크톱 메시징을 설정하려면 권장 설정 사용을 꺼야 합니다.

표준 알림의 끝에 메시지를 추가할 수 있습니다. 메시지 상자를 비워 두면 표준 메시지만 표시됩니다.

데스크톱 메시징은 기본적으로 켜져 있습니다.

메시지 상자를 클릭하고 추가할 텍스트를 입력합니다.

맨위로