콘텐츠로 이동

서버 위협 방지 정책

위협 보호는 맬웨어, 위험한 파일 형식 및 웹 사이트, 악성 네트워크 트래픽으로부터 보호해 줍니다.

제한

Windows 서버에서는 일부 옵션만 사용할 수 있습니다.

참고

옵션이 잠겨 있으면 파트너 또는 Enterprise Administrator가가 전역 설정을 적용한 것입니다. 이벤트 목록으로 이동하여 여전히 응용 프로그램, 익스플로잇 및 랜섬웨어를 중지할 수 있습니다.

위협 방지를 설정하려면 Server Protection > 정책으로 이동합니다.

정책을 설정하려면 다음과 같이 하십시오.

  • 위협 방지 정책을 만듭니다. 정책 만들기 또는 편집을 참조하십시오.
  • 정책의 설정 탭을 열고 아래 설명대로 구성합니다. 정책이 켜져 있는지 확인합니다.

권장 설정을 사용하거나 변경할 수 있습니다.

경고

권장 설정을 변경하면 보호 수준이 약화되므로 이렇게 하기 전에 신중하게 생각하십시오.

참고

SophosLabs는 어떤 파일을 스캔할지 독립적으로 제어할 수 있습니다. 이 프로그램은 최상의 보호를 제공하기 위해 특정 파일 유형의 스캔을 추가하거나 제거할 수 있습니다.

위협을 평가하는 방법에 대한 자세한 내용은 를 참조하십시오 Sophos Threat Center.

Intercept X Advanced for Server

이 라이선스가 있으면 위협 방지 정책이 랜섬웨어와 익스플로잇으로부터 보호하고 서명 없는 위협 탐지 기능 그리고 위협 이벤트 분석을 위한 위협 그래프를 제공합니다.

보호 효과를 극대화하기 위해 이러한 설정을 사용하는 것이 좋습니다.

참고

이러한 기능을 활성화할 경우 이 정책에 할당된 서버가 Intercept X Advanced for Server 라이선스를 사용합니다.

서버 보호: Intercept X Advanced을 참조하십시오.

Server Protection 기본 설정

이러한 설정은 켜두는 것이 좋습니다. 복잡한 구성 없이 최상의 보호 기능을 제공합니다.

이러한 설정은 다음 기능을 제공합니다.

  • 알려진 맬웨어 감지
  • Sophos에 알려진 최신 맬웨어를 감지할 수 있는 클라우드 내부 검사
  • 사전에 새로운 맬웨어 감지
  • 맬웨어 자동 정리
  • 검사에서 알려진 응용 프로그램에 의한 활동 자동 제외

서버 보호: 기본 설정을 참조하십시오.

HTTPS 웹 사이트의 SSL/TLS 복호화

SSL/TLS를 사용하여 HTTPS 웹 사이트 암호 해독을 선택한 경우, HTTPS 웹 사이트의 콘텐츠를 해독하고 위협 요소가 있는지 확인하십시오.

위험한 웹 사이트를 해독하면 이를 차단합니다. 사용자에게 메시지를 표시하고 재평가를 위해 사이트를 SophosLabs에 제출할 수 있는 옵션을 제공합니다.

기본적으로 암호 해독은 해제되어 있습니다.

참고

장치에 적용되는 위협 방지 정책에서 암호 해독이 켜져 있는 경우 해당 장치의 웹 제어 검사에도 켜집니다.

예약된 검사

예약된 스캐닝은 지정한 시간에 스캔을 한 번 또는 여러 번 수행합니다.

이 스캐닝 형태는 기본적으로 서버에 대해 활성화되어 있습니다.

다음과 같은 옵션을 선택할 수 있습니다.

  • 예약된 검색 사용. 스캔을 수행해야 하는 시간과 하루 이상의 날짜를 정의할 수 있습니다.

    참고

    예약된 스캔 시간은 엔드포인트 컴퓨터 기준 시간입니다(UTC 시간 아님).

  • 정밀 검사 사용 이 옵션을 선택하면 예약된 스캐닝 중에 아카이브가 스캔됩니다. 이렇게 하면 시스템 로드가 증가하고 스캐닝 속도가 상당히 느려질 수 있습니다.

    참고

    아카이브를 검사하면 시스템 로드가 증가하고 스캔 속도가 상당히 느려질 수 있습니다.

검사 제외

일부 응용 프로그램은 실시간 검사에서 활동이 자동으로 제외됩니다. 자동 제외를 참조하십시오.

다른 응용 프로그램을 기준으로 다른 항목이나 활동을 검사에서 제외할 수도 있습니다. 데이터베이스 응용 프로그램이 다수의 파일에 액세스하므로 여러 번의 스캔이 트리거되고 서버의 성능에 영향을 주기 때문에 이와 같이 하는 것이 좋습니다.

응용 프로그램에 대해 제외를 설정하기 위해 해당 응용 프로그램에서 실행 중인 프로세스를 제외하는 옵션을 사용할 수 있습니다. 이는 파일이나 폴더를 제외하는 것보다 안전합니다.

익스플로잇에 대해서는 제외된 항목도 계속 검사합니다. 그러나, 이미 감지된 익스플로잇 검사는 중지할 수 있습니다(감지된 익스플로잇 제외 사용).

정책에서 설정된 제외는 정책이 적용되는 서버에 대해서만 사용됩니다.

참고

모든 사용자 및 서버에 제외를 적용하려면 개요 > 전역 설정 > 전역 제외 페이지에서 전역 제외를 설정하십시오.

정책 스캐닝 제외를 만들려면 다음과 같이 하십시오.

  1. 제외 추가(페이지 오른쪽)를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  2. 제외 유형 드롭다운 목록에서 제외할 항목의 유형(파일 또는 폴더, 프로세스, 웹 사이트 또는 사용자 동의 없이 설치된 응용 프로그램)을 선택합니다.

  3. 제외할 항목을 지정합니다. 다음 규칙이 적용됩니다.

    • 파일 또는 폴더(Windows). Windows에서는 드라이브, 폴더 또는 파일을 전체 경로를 기준으로 제외할 수 있습니다. 와일드카드와 변수를 사용할 수 있습니다. 예:
      • 폴더: C:\programdata\adobe\photoshop\ (폴더의 경우 슬래시 추가)
      • 전체 드라이브: D:
      • 파일: C:\program files\program\*.vmg
    • 파일 또는 폴더(Linux). Linux에서는 폴더 또는 파일을 제외할 수 있습니다. 와일드카드 ? 및 *를 사용할 수 있습니다. 예: /mnt/hgfs/excluded.
    • 파일 또는 폴더(Sophos Security VM). Sophos 보안 VM을 통해 보호되는 Windows 게스트 VM에서는 다른 Windows 컴퓨터와 마찬가지로 드라이브, 폴더 또는 파일을 전체 경로를 기준으로 제외할 수 있습니다. 파일 이름에 대해서만 와일드카드 *를 사용할 수 있습니다.

      참고

      기본적으로 제외는 보안 VM에 의해 보호되는 모든 게스트 VM에 적용됩니다. 하나 이상의 특정 VM에 대한 제외의 경우.

    • 프로세스(Windows). 응용 프로그램에서 실행되는 프로세스를 제외할 수 있습니다. 프로세스가 사용하는 파일도 제외되지만 해당 프로세스가 액세스할 때만 제외됩니다. 가능하면 작업 관리자에 표시된 프로세스 이름이 아닌 응용 프로그램의 전체 경로를 입력하십시오. 예: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      참고

      응용 프로그램에서 제외해야 하는 모든 프로세스 또는 기타 항목을 보려면 응용 프로그램 공급업체의 설명서를 참조하십시오.

      참고

      와일드카드와 변수를 사용할 수 있습니다.

    • 웹 사이트(Windows). IP 주소, IP 주소 범위(CIDR 표기법) 또는 도메인으로 웹사이트를 지정할 수 있습니다. 예:

      • IP 주소: 192.168.0.1
      • IP 주소 범위: 192.168.0.0/24 부록 /24는 이 범위의 모든 IP 주소에 공통된 접두사의 비트 수를 상징합니다. 따라서 /24는 넷마스크 11111111.11111111.11111111.00000000과 같습니다. 이 예에서 범위에는 192.168.0으로 시작하는 모든 IP 주소가 포함됩니다.
      • 도메인: google.com
    • 사용자 동의 없이 설치된 응용 프로그램(Windows). 정상적으로 스파이웨어로 감지된 응용 프로그램을 제외할 수 있습니다. 시스템이 감지한 것과 동일한 이름을 사용하여 제외를 지정하십시오. Sophos Threat Center에서 PUA에 대한 자세한 정보를 찾아보십시오.
    • 감지된 익스플로잇(Windows/Mac). 이미 감지된 익스플로잇은 제외할 수 있습니다. 영향을 받은 응용 프로그램에 대해서는 제외한 익스플로잇을 더 이상 감지하지 않고 더 이상 해당 응용 프로그램을 차단하지 않습니다.

      참고

      이렇게 하면 Windows 서버에서 영향을 받는 응용 프로그램에 대해 이 익스플로잇에 대한 CryptoGuard 랜섬웨어 보호가 꺼집니다.

    • AMSI 보호(Windows). Windows에서는 드라이브, 폴더 또는 파일을 전체 경로를 기준으로 제외할 수 있습니다. 이 위치에서 코드를 스캔하지 않습니다. 파일 이름이나 확장자에 와일드카드 *를 사용할 수 있습니다. AMSI (Antimalware Scan Interface)를 참조하십시오.

    • 서버 격리(Windows). Intercept X Advanced for Server with XDR용 Early Access Program에 등록한 사용자는 서버에 대해 장치 격리(관리자로)를 사용할 수 있습니다.

      사용자는 격리된 장치에서 다른 장치와의 통신이 제한되도록 할 수 있습니다.

      격리된 장치에서 아웃바운드 또는 인바운드 통신을 사용할지 또는 둘 다 사용할지를 선택합니다.

      다음 설정 중 하나 이상을 사용하여 통신을 제한합니다.

      • 로컬 포트: 모든 장치는 격리된 장치에서 이 포트를 사용할 수 있습니다.
      • 원격 포트: 격리된 장치는 모든 장치에서 이 포트를 사용할 수 있습니다.
      • 원격 주소: 격리된 장치는 이 IP를 사용해서만 장치와 통신할 수 있습니다. 예 1: 문제를 해결할 수 있도록 격리된 장치에 대한 원격 데스크톱 액세스를 원합니다.

      • 인바운드 연결을 선택합니다.

      • 로컬 포트에서 포트 번호를 입력합니다. 예 2: 격리된 장치로 이동하여 서버에서 정리 도구를 다운로드하고 싶습니다.

      • 아웃바운드 연결을 선택합니다.

      • 원격 주소에 서버의 주소를 입력합니다.
      • 파일 또는 폴더 제외의 경우에만 활성 기간 드롭다운 목록에서 제외가 실시간 스캐닝, 예약된 스캐닝 또는 둘 다에 대해 유효해야 하는지 여부를 지정합니다.
      • 추가 또는 더 추가을 클릭합니다. 제외가 스캐닝 제외 목록에 추가됩니다.

나중에 제외를 편집하려면 제외 목록에서 이름을 클릭하고 새 설정을 입력한 후 업데이트를 클릭합니다.

사용할 수 있는 제외 항목에 대한 자세한 내용은 다음을 참조하십시오.

익스플로잇 완화 제외

보안 익스플로잇 방지에서 응용 프로그램을 제외할 수 있습니다. 예를 들어, 문제가 해결될 때까지 위협으로 잘못 감지된 응용 프로그램을 제외하려 할 수 있습니다.

제외 항목을 추가하면 보호 수준이 낮아집니다.

전역 옵션 개요 > 전역 설정 > 전역 제외를 사용하여 제외 사항을 추가하면 모든 사용자 및 장치에 적용되는 제외 사항이 생성됩니다.

이 옵션을 사용하고 제외 사항이 필요한 해당 서버에만 제외가 포함된 정책을 할당하는 것이 좋습니다.

참고

Windows 응용 프로그램에 대한 제외 사항만을 만들 수 있습니다.

AWS에서 익스플로잇 완화 제외 정책을 만들려면 다음과 같이 하십시오.

  1. 제외 추가(페이지 오른쪽)를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  2. 제외 유형에서 익스플로잇 완화(Windows)를 선택합니다.

    네트워크에서 보호된 응용 프로그램 목록이 표시됩니다.

  3. 제외할 응용 프로그램을 선택합니다.

  4. 원하는 응용 프로그램이 보이지 않으면 응용 프로그램이 목록에 없습니까?를 클릭합니다. 이제 파일 경로를 입력하여 응용 프로그램에서 보호를 제외할 수 있습니다. 변수 중 어느 것이든 선택적으로 사용합니다.
  5. 완화 아래에서 다음 중에서 선택하십시오.
    • 응용 프로그램 보호를 끕니다. 선택한 응용 프로그램의 익스플로잇 유무가 확인되지 않았습니다.
    • 응용 프로그램 보호를 계속 켜고 확인하거나 확인하지 않을 공격 유형을 선택합니다.
  6. 추가 또는 더 추가을 클릭합니다. 제외 항목이 전역 제외 페이지의 목록에 추가됩니다.

    제외 사항은 이 정책을 할당한 서버에만 적용됩니다.

    다운로드 신뢰도

나중에 제외를 편집하려면 제외 목록에서 이름을 클릭하고 새 설정을 입력한 후 업데이트를 클릭합니다.

랜섬웨어 보호 제외

응용 프로그램에서 사용하는 응용 프로그램 또는 폴더를 랜섬웨어에 대한 보호에서 제외할 수 있습니다.

랜섬웨어 보호와 호환되지 않는 응용 프로그램 또는 위협으로 잘못 감지된 응용 프로그램을 제외해야 할 수 있습니다. 예를 들어, 데이터를 암호화하는 응용 프로그램은 이 보호에서 제외할 수 있습니다. 이렇게 하면 응용 프로그램이 랜섬웨어로 감지되는 것을 방지할 수 있습니다.

또는 랜섬웨어 보호에 의해 모니터링될 때 성능 문제를 표시하는 특정 응용 프로그램에서 사용하는 폴더를 제외할 수도 있습니다. 예를 들어 백업 응용 프로그램에서 사용하는 폴더를 제외시킬 수 있습니다.

제외 항목을 추가하면 보호 수준이 낮아집니다.

전역 옵션 개요 > 전역 설정 > 전역 제외를 사용하여 제외 사항을 추가하면 모든 서버에 적용되는 제외 사항이 생성됩니다.

이 옵션을 사용하고 제외 사항이 필요한 해당 서버에만 제외가 포함된 정책을 할당하는 것이 좋습니다.

랜섬웨어 보호 제외 정책을 만들려면 다음과 같이 하십시오.

  1. 제외 추가(페이지 오른쪽)를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  2. 제외 유형에서 랜섬웨어 보호(Windows)를 선택합니다.

  3. 프로세스를 제외할지 아니면 폴더를 제외할지 선택합니다.
  4. 에 제외할 프로세스 또는 폴더의 경로를 입력합니다.

    여기에서 변수를 사용할 수 있습니다. 익스플로잇 완화 또는 랜섬웨어 제외: 와일드카드 및 변수을 참조하십시오.

  5. 추가 또는 더 추가을 클릭합니다. 제외 항목이 전역 제외 페이지의 목록에 추가됩니다.

    제외 사항은 이 정책을 할당한 서버에만 적용됩니다.

나중에 제외를 편집하려면 제외 목록에서 이름을 클릭하고 새 설정을 입력한 후 업데이트를 클릭합니다.

참고

Windows 응용 프로그램에 대한 제외 사항만을 만들 수 있습니다.

데스크톱 메시징

표준 알림의 끝에 메시지를 추가할 수 있습니다. 메시지 상자를 비워 두면 표준 메시지만 표시됩니다.

데스크톱 메시징은 기본적으로 켜져 있습니다.

메시지 상자를 클릭하고 추가할 텍스트를 입력합니다.

맨위로