콘텐츠로 이동

익스플로잇 탐지 중지

감지에 응답하거나 감지에 앞서, 응용 프로그램을 익스플로잇 감지에서 제외할 수 있습니다.

경고

제외를 추가하면 보호 수준이 약화되므로 이렇게 하기 전에 신중하게 생각하십시오.

특정 이벤트, 특정 익스플로잇 또는 응용 프로그램과 관련된 모든 익스플로잇에 대해 제외를 설정할 수 있습니다.

일부 사용자 또는 장치에 대한 익스플로잇 보호에서 응용 프로그램을 제외하려면 엔드포인트 위협 방지(Endpoint Threat Protection) 정책을 사용하여 이 작업을 수행할 수 있습니다. 위협 방지 정책을 참조하십시오.

일부 서버에 대한 익스플로잇 보호에서 응용 프로그램을 제외하려면 서버 위협 방지(Server Threat Protection) 정책을 사용하여 이 작업을 수행할 수 있습니다. 서버 위협 방지 정책을 참조하십시오.

제외 항목을 추가하면 보호 기능이 약화되기 때문에 모든 사용자와 해당 장치에 적용되는 제외 옵션을 사용하기 보다는 제외가 필요한 사용자 및 장치를 대상으로 정책을 사용하는 것이 좋습니다.

감지된 익스플로잇 감지 중지(이벤트 목록 사용)

응용 프로그램에서 익스플로잇이 감지되었지만 이 감지가 잘못된 것이라고 생각되면, 이벤트 목록에 제공되는 옵션을 사용하여 다시는 이런 감지가 발생하지 않게 할 수 있습니다.

이는 모든 사용자 및 컴퓨터에 적용됩니다.

제외 항목을 추가하면 보호 기능이 약화되기 때문에 이 전역 옵션을 사용하기 보다는 제외가 필요한 사용자 및 장치를 대상으로 정책을 사용하는 것이 좋습니다.

익스플로잇 감지를 중지하려면 다음과 같이 하십시오.

  1. 개요로 이동하여 장치를 클릭합니다.
  2. 응용 프로그램이 감지된 위치에 따라 컴퓨터 또는 서버로 이동합니다.
  3. 감지가 발생한 컴퓨터를 찾고 이 컴퓨터를 클릭하여 세부 정보를 봅니다.
  4. 이벤트 탭에서 검색 이벤트를 찾아 세부 정보를 클릭합니다.
  5. 이벤트 세부 정보에서, 이것을 다시 감지하지 않음을 찾고 다음과 같은 옵션을 선택합니다.

    • 이 감지 ID를 검사 대상에서 제외합니다.은 이 응용 프로그램에서 이 감지를 차단합니다. 그러면 이 특정 감지와 관련된 감지 ID에 대한 제외가 추가됩니다. 동일한 동작이 Estate에서 다시 발생하는 경우에도 감지가 트리거되지 않습니다. 그러나 동작이 다른 경우(예: 다른 경로 또는 파일) 감지 ID가 다르며 별도의 제외 작업이 필요합니다.
    • 이 응용 프로그램 검사에서 이 완화를 제외합니다.를 선택하면 이 응용 프로그램에서 이 익스플로잇에 대한 검사가 차단됩니다. 이는 공격의 위험을 증가시킵니다. 그러나, 이는 특정 비즈니스 응용 프로그램에서 예상치 못한 많은 감지가 생성되는 경우에 유용할 수 있습니다.
    • 이 응용 프로그램을 검사 대상에서 제외합니다.를 선택하면 이 응용 프로그램에서 모든 익스플로잇에 대한 검사가 차단됩니다. 이 경우 가장 위험할 수 있으므로 마지막 수단으로만 사용해야 합니다.
    • 더 정밀하게 목표된 감지 ID를 먼저 제외해 봅니다. 동일한 감지가 다시 발생할 경우, 다음번에는 익스플로잇을 제외합니다. 동일한 감지가 계속 발생할 경우, 다음번에는 응용 프로그램을 제외합니다.

      "이벤트 세부 정보”(응용 프로그램에서 StackExec 감지 유형을 표시)

  6. 제외를 클릭합니다.

목록에 제외 대상을 추가합니다.

감지 ID 제외가 전역 제외로 이동합니다. 응용 프로그램 제외는 익스플로잇 완화 제외로 이동합니다.

감지된 익스플로잇 감지 중지(정책 설정 사용)

응용 프로그램에서 익스플로잇이 감지되었지만 이 감지가 잘못된 것이라고 생각되면, 위협 보호 정책에 제공되는 옵션을 사용하여 다시는 이런 감지가 발생하지 않게 할 수 있습니다.

또한 위협 보호 정책을 사용하여 보안 익스플로잇 방지에서 Windows 응용 프로그램을 제외할 수도 있습니다.

제외 항목을 추가하면 보호 수준이 낮아집니다. 특정 사용자 및 장치를 대상으로 공격 완화 제외를 적용할 수 있기 때문에 여러 정책을 사용하여 익스플로잇 완화 제외를 추가하는 것이 좋습니다. 제외가 필요한 사용자 및 장치에만 정책을 할당할 수 있습니다.

익스플로잇 감지를 중지하는 정책을 사용하면 이 응용 프로그램에 영향을 주는 다른 익스플로잇이 있는지 계속 확인합니다.

익스플로잇 감지를 중지하려면 다음과 같이 하십시오.

  1. Endpoint Protection 또는 Server Protection로 이동합니다.
  2. 정책에서, 장치에 적용되는 위협 방지 정책을 찾습니다.
  3. 설정에서 제외를 찾고 제외 추가를 클릭합니다.
  4. 제외 유형 상자에서, 감지된 익스플로잇(Windows/Mac)를 선택합니다.
  5. 익스플로잇을 선택하고 추가를 클릭합니다.
  6. 적절한 사용자 및 장치에 정책이 할당되었는지 확인합니다.

또한, 정책을 사용하여 특정 유형의 모든 응용 프로그램에 대한 익스플로잇 감지를 중지할 수 있습니다. 이렇게 하려면 위협 방지 정책으로 이동하고 해당 응용 프로그램 유형에 대한 익스플로잇 완화를 끄십시오(런타임 보호 아래에 있음).

경고

익스플로잇 완화를 끄지 않는 것이 좋습니다.

응용 프로그램에서 특정 익스플로잇에 대한 검사 중지

응용 프로그램에 대한 감지가 발생하지 않았지만 특정 완화에서 응용 프로그램을 제외해야 하는 것으로 확인되었다고 가정합니다. 이 경우 특정 익스플로잇에 대한 확인을 사전에 중지할 수 있습니다.

이 방법을 선택하면 이 응용 프로그램에 영향을 주는 기타 익스플로잇을 계속 확인합니다.

제외 항목을 추가하면 보호 기능이 약화되기 때문에 이 전역 옵션을 사용하기 보다는 제외가 필요한 사용자 및 장치를 대상으로 정책을 사용하는 것이 좋습니다.

특정 익스플로잇에 대한 검사를 중지하려면 다음과 같이 하십시오.

  1. 전역 설정 > 전역 제외로 이동합니다.
  2. 제외 추가를 클릭합니다.
  3. 제외 유형에서, 익스플로잇 완화(Windows)를 선택합니다.
  4. 응용 프로그램 목록에서 제외할 응용 프로그램을 선택합니다.

    1. 목록에 없으면, 응용 프로그램이 목록에 없습니까?를 클릭합니다. 결로를 기준으로 응용 프로그램 제외에서, 응용 프로그램의 전체 경로를 입력합니다.

      “제외 추가”(보호된 응용 프로그램 목록 표시)

  5. 완화에서, 응용 프로그램을 제외할 완화를 끕니다.

    “완화”(응용 프로그램에 대해 설정된 완화 목록 표시)

  6. 추가를 클릭합니다.

  7. 저장을 클릭합니다.

응용 프로그램에서 모든 익스플로잇에 대한 검사 중지

응용 프로그램에서 예기치 않은 익스플로잇 감지를 많이 생성하거나 익스플로잇 완화가 켜져 있을 때 성능 문제가 발생하는 경우, 응용 프로그램에서 모든 익스플로잇에 대한 검사를 중지할 수 있습니다.

이 방법을 사용하는 경우 응용 프로그램을 익스플로잇에 대해 확인하지 않지만, 랜섬웨이 동작 및 맬웨어에 대해서는 계속 검사합니다.

제외 항목을 추가하면 보호 기능이 약화되기 때문에 이 전역 옵션을 사용하기 보다는 제외가 필요한 사용자 및 장치를 대상으로 정책을 사용하는 것이 좋습니다.

응용 프로그램의 모든 악용 확인 작업을 중지하려면 다음을 수행합니다.

  1. 전역 설정 > 전역 제외로 이동합니다.
  2. 제외 추가를 클릭합니다.
  3. 제외 유형에서, 익스플로잇 완화(Windows)를 선택합니다.
  4. 응용 프로그램 목록에서 제외할 응용 프로그램을 선택합니다.

    1. 목록에 없으면, 응용 프로그램이 목록에 없습니까?를 클릭합니다.
    2. 결로를 기준으로 응용 프로그램 제외에서, 응용 프로그램의 전체 경로를 입력합니다.

      “제외 추가”(보호된 응용 프로그램 목록 표시)

  5. 완화에서, 응용 프로그램 보호를 끕니다.

    “완화"("응용 프로그램 보호" 옵션 표시)

  6. 추가를 클릭합니다.

  7. 저장을 클릭합니다.
맨위로