콘텐츠로 이동

컴퓨터 요약

컴퓨터의 세부 정보 페이지에 있는 요약 탭에서는 다음과 같은 정보를 볼 수 있습니다.

개요 > 장치로 이동한 후 컴퓨터를 클릭하고 세부 정보를 확인할 컴퓨터를 클릭합니다.

표시되는 섹션은 사용자의 라이선스 및 설정한 기능에 따라 달라집니다.

보안 상태

왼쪽 창에서 보안 상태를 확인하고 조치를 취할 수 있습니다.

참고

왼쪽 창은 이 페이지의 다른 탭을 클릭해도 항상 표시됩니다.

아이콘이 컴퓨터에 보안 경고가 있는지 여부를 보여 줍니다.

아이콘 설명
녹색 체크 표시 우선순위가 낮은 경고가 있거나 경고가 아예 없으면 녹색 체크 표시.
주황색 경고 신호 보통 우선순위 경고가 있으면 주황색 경고 신호.
빨간색 경고 신호 우선순위가 높은 경고가 있으면 빨간색 경고 신호.

수행할 수 있는 작업

왼쪽 창에 있는 버튼과 링크를 사용하여 컴퓨터에서 작업을 수행할 수 있습니다. 추가 작업을 클릭하여 확장된 작업 목록을 표시합니다.

모든 작업은 아래에 설명되어 있습니다.

격리 또는 격리에서 제거

이 옵션은 Intercept X Advanced with XDR이 있는 경우에 사용할 수 있습니다.

격리는 컴퓨터를 네트워크에서 격리시킵니다. 잠재적 위협이 있을 경우 이 작업을 수행하는 것이 좋습니다. Sophos Central에서 컴퓨터를 계속 관리할 수 있으며 언제든지 격리에서 컴퓨터를 제거할 수 있습니다.

컴퓨터가 격리되면 컴퓨터 아이콘 및 보안 상태 아래에 다음가 같은 요소가 표시됩니다.

  • 메시지 관리자가 격리함.

  • 격리에서 제거로 라벨이 지정된 링크. 컴퓨터를 네트워크에 재연결하려면 클릭합니다.

참고

컴퓨터가 이미 스스로 자동 격리한 경우에는 격리 옵션이 표시되지 않습니다. 장치 격리를 참조하십시오.

지금 업데이트

지금 업데이트는 최신 Sophos 소프트웨어로 컴퓨터를 업데이트합니다. 컴퓨터 다시 시작을 참조하십시오.

삭제

삭제는 Sophos Central에서 컴퓨터를 삭제합니다. 또한 컴퓨터와 연관된 경고도 삭제됩니다.

경고

컴퓨터를 삭제하기 전에 Sophos 소프트웨어를 제거해야 합니다.

Live Response

Live Response를 사용하면 컴퓨터에 연결하여 가능한 보안 문제를 조사하고 해결할 수 있습니다. 컴퓨터가 격리된 경우에도 컴퓨터에 연결할 수 있습니다.

Live Response를 사용하려면 다음 조건을 충족해야 합니다.

  • 슈퍼 관리자이거나 컴퓨터에서 Live Response 시작 세션을 포함하는 사용자 지정 역할이 있어야 합니다.

  • 다단계 인증(MFA)을 사용하여 로그인해야 합니다.

MFA를 사용한 Microsoft 페더레이션 로그인 등의 다른 방법을 사용하면 Live Response에 액세스하지 못할 수 있으므로 Sophos ID로 로그인하는 것이 좋습니다.

시작하기 전에 개요 > 전역 설정 > Endpoint Protection > Live Response에서 Live Response가 켜져 있는지 확인하십시오.

Live Response를 시작하려면 다음과 같이 하십시오.

  1. Live Response를 클릭합니다.

  2. 세션 목적에서 세션을 요약합니다.

  3. 시작를 클릭합니다.

    컴퓨터에 대한 연결이 다른 브라우저 탭에서 열립니다. 탭에 터미널 창이 표시됩니다.

    새 탭이 열리지 않으면 브라우저에서 차단했을 수도 있습니다. 브라우저가 해당 탭을 허용하도록 구성합니다.

  4. 명령 프롬프트에서 조사 또는 수정을 수행할 명령을 입력합니다.

    연결한 컴퓨터에 따라 DOS, UNIX 또는 Linux 명령을 사용합니다.

  5. 작업을 마치면 세션 종료을 클릭합니다.

    탭이 열린 상태로 유지되지만 연결은 닫힙니다. 여기에서 Sophos Central의 다른 위치를 찾아볼 수 있습니다.

    다음과 같은 경우 연결도 닫힙니다.

    • 탭을 닫습니다.

    • 탭을 새로 고칩니다.

    • 여기에서 Sophos Central의 다른 위치를 찾아봅니다.

    • 30분 동안 활동이 없습니다.

어떤 Live Response 세션이 시작되었는지 또는 종료되었는지 확인하려면 Sophos Central 감사 로그를 확인하십시오.

그룹 변경

그룹 변경을 확인하려면 추가 작업을 클릭합니다. 이렇게 하면 컴퓨터를 그룹에 추가하거나 다른 그룹으로 이동하거나 현재 그룹에서 제거할 수 있습니다.

지금 검사

지금 검사를 확인하려면 추가 작업을 클릭합니다. 이 옵션은 컴퓨터에서 위협 요소를 검사합니다.

검사에 시간이 걸릴 수 있습니다. 완료되면 로그 및 보고서 > 이벤트 페이지에서 "검사가 완료됨" 이벤트와 성공한 모든 정리 이벤트를 볼 수 있습니다. 실패한 정리에 대한 경고는 경고 페이지에서 볼 수 있습니다.

컴퓨터가 오프라인 상태이면 다시 온라인 상태가 될 때 검사됩니다. 컴퓨터 검사가 이미 실행 중이면 새 검사 요청이 무시되고 이전 검사가 진행됩니다.

진단

진단을 확인하려면 추가 작업을 클릭합니다. Sophos Diagnostic Utility를 실행하여 로그를 수집하고 Sophos 지원 팀에 전송합니다. 자세한 내용은 Sophos Diagnostic Utility를 참조하십시오.

포렌식 스냅샷 만들기

포렌식 스냅샷 생성을 확인하려면 추가 작업을 클릭합니다.포렌식 스냅샷 생성을 확인하려면 추가 작업을 클릭합니다. 장치에서 데이터의 "포렌식 스냅샷"을 만들 수 있습니다. 이렇게 하면 장치 활동에 대한 Sophos 로그에서 데이터를 가져와 장치에 저장합니다. 포렌식 스냅샷에 대한 자세한 내용은 포렌식 스냅샷을 참조하십시오.

지정한 AWS(Amazon Web Services) S3 버킷에 저장할 수도 있습니다. 그런 다음 사용자가 직접 분석을 수행할 수 있습니다.

데이터를 읽으려면 컨버터(당사 제공)가 필요합니다.

참고

스냅샷에 원하는 데이터 양과 업로드 위치를 선택할 수 있습니다. 이 작업을 하려면 전역 설정 > 포렌식 스냅샷으로 이동합니다. 이러한 옵션은 아직 모든 고객에게 제공되지 않을 수도 있습니다.

스냅샷을 만들려면 다음과 같이 하십시오.

  1. 위협 그래프의 분석 탭으로 이동합니다.

    또는 장치의 세부 정보 페이지에서 상태 탭을 엽니다.

  2. 포렌식 스냅샷 만들기를 클릭합니다.

  3. 포렌식 스냅샷을 AWS S3 버킷에 업로드의 단계를 따릅니다.

생성한 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\에서 찾을 수 있습니다.

감지에서 생성된 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\에 있습니다.

참고

귀하는 변조 방지 암호에 액세스할 수 있는 관리자여야 하며, 관리자로 명령 프롬프트를 실행하여 저장된 스냅샷에 액세스해야 합니다.

상태 재설정

제한

이 옵션은 macOS에는 제공되지 않습니다.

상태 재설정을 확인하려면 추가 작업을 클릭합니다. 이렇게 하면 상태가 "정상"로 재설정됩니다.

재설정으로도 위협이 해결되거나 소프트웨어가 수정되지는 않지만 Sophos Central 및 컴퓨터에서 경고가 지워집니다.

이전 문제를 지우고 현재 또는 향후 문제에 집중하려면 재설정을 수행하십시오. 문제가 없는 컴퓨터는 재설정 후에도 “정상” 상태를 유지하므로 현재나 미래의 보호 또는 맬웨어 문제를 더 분명하게 파악할 수 있습니다.

재설정은 보호에 영향을 미치지 않습니다. 컴퓨터에 문제가 있어 조치가 필요하면 잘못된 상태로 돌아갑니다.

최근 이벤트

컴퓨터의 최근 이벤트가 나열됩니다. 전체 목록을 보려면 이벤트 탭을 클릭하십시오.

이 아이콘은 어떤 Sophos 에이전트가 각 이벤트를 보고했는지 나타냅니다. 아이콘 위에 마우스를 대면 의미가 표시됩니다.

에이전트 요약

Endpoint Agent는 위협 방지와 주변 기기 제어, 응용 프로그램 제어, 웹 제어 같은 기타 기능을 제공합니다.

요약에는 다음과 같은 세부 정보가 표시됩니다. 또한 필요한 경우 링크를 포함하여 컴퓨터를 업데이트하거나, 제품을 설치하거나 컴퓨터가 소속된 그룹을 변경합니다.

  • 최근 활동: 마지막 활동이 발생한 시기를 표시합니다.

  • 최근 에이전트 업데이트: 컴퓨터가 최신 상태인지 여부를 표시합니다.

  • 할당된 제품: 설치된 Sophos 제품(예: Intercept X 또는 Device Encryption)을 표시합니다. 설치된 각 제품의 라이선스 및 버전 번호를 표시합니다. 버전 정보는 Windows 컴퓨터에서만 사용할 수 있습니다.

  • 설치된 구성요소 버전: Sophos 구성 요소의 전체 목록과 해당 요소의 버전 번호를 보려면 여기를 클릭합니다. 이 기능은 Windows 컴퓨터에서만 사용할 수 있습니다.

  • 그룹: 컴퓨터가 소속된 그룹이 있으면 이를 표시합니다.

Device Encryption

Device Encryption을 사용하면 Windows 컴퓨터에서 BitLocker 드라이브 암호화 또는 Mac에서 FileVault 암호화를 관리할 수 있습니다.

이 요약은 다음 항목을 보여줍니다.

  • 컴퓨터의 모든 볼륨.

  • 각 볼륨의 볼륨 ID.

  • 암호화 상태.

  • 인증 유형.

  • 암호화 방법.

Windows 컴퓨터의 경우 다음 이후 암호화됨를 볼 수 있습니다. 표시되는 정보는 장치에 따라 다릅니다.

  • Sophos Central Device Encryption으로 이미 암호화된 컴퓨터의 경우, 컴퓨터가 Sophos Central Device Encryption 버전 2.1로 업그레이드된 날짜와 시간이 표시됩니다.

  • 다른 암호화 제품을 사용하여 암호화된 컴퓨터의 경우 Sophos Central Device Encryption이 설치된 날짜와 시간이 표시됩니다.

  • Sophos Central Encryption 2.1 이상으로 암호화된 새 컴퓨터의 경우 암호화 날짜와 시간이 표시됩니다.

소프트웨어 기반 또는 하드웨어 기반 암호화로 볼륨을 암호화할 수 있습니다. 드라이브가 하드웨어 기반 암호화를 지원하는 경우에도, 장치 암호화는 새 볼륨에 대해 항상 소프트웨어 기반 암호화를 사용합니다.

드라이브가 하드웨어 기반 암호화로 암호화되어 있는 경우, 이것은 변경되지 않습니다.

BitLocker 그룹 정책 설정에 하드웨어 기반 암호화가 필요한 경우, 이것이 사용됩니다.

복구 키 검색

또한 여기서 복구 키를 가져올 수 있습니다. 사용자가 로그인 자격 증명을 잊어버린 경우 이 키를 사용하여 컴퓨터의 잠금을 해제할 수 있습니다. 암호화 복구 키 검색을 참조하십시오.

암호/PIN 트리거 변경

이를 위해서는 사용자가 즉시 BitLocker 암호 또는 PIN을 변경해야 합니다. 요청이 성공적으로 전송되면 메시지가 표시됩니다.

엔드포인트에서, 사용자에게 새 BitLocker 암호 또는 PIN을 설정하라는 메시지가 나타납니다. 사용자가 새 암호 또는 PIN을 입력하지 않고 대화 상자를 닫으면 대화 상자는 30초 후에 다시 표시됩니다. 사용자가 새 암호 또는 PIN을 입력하지 않고 대화 상자를 닫으면 대화 상자는 30초 후에 다시 표시됩니다. 사용자가 암호 또는 PIN을 변경하지 않고 대화 상자를 다섯 번 닫으면 경고가 기록됩니다.

Web Gateway 요약

Sophos Web Gateway는 위험하거나 부적절한 웹 브라우징으로부터 더 강력하게 보호해 줍니다.

요약에는 마지막 네트워크 활동이 표시됩니다. Web Gateway 에이전트 버전과 해당 버전이 최신 상태인지 여부가 표시됩니다.

Web Gateway 에이전트를 업데이트해야 할 경우 업데이트 버튼이 표시됩니다.

변조 방지

컴퓨터에서 변조 방지를 활성화할 수 있는지 여부를 표시합니다.

변조 방지 기능을 활성화하면 로컬 관리자는 컴퓨터에서 다음과 같은 사항을 변경할 수 없습니다. 다음 암호가 필요합니다.

  • 액세스 시 스캔, 의심스러운 동작 감지(HIPS), 웹 보호 또는 Sophos Live Protection에 대한 설정 변경

  • 변조 방지를 사용할 수 없도록 설정

  • Sophos 에이전트 소프트웨어 설치 제거

컴퓨터에 대한 변조 방지 암호를 관리하려면 변조 방지 사용 안 함를 클릭하십시오. 변조 방지 기능이 비활성화되어 있는 경우 활성화하는 것을 권장합니다.

삭제된 컴퓨터에 대한 무단 변조 방지 암호를 복구할 수 있습니다. 삭제된 장치 복구을 참조하십시오.

업데이트 캐시 및 메시지 릴레이

Sophos Update Cache를 사용하면 컴퓨터가 Sophos에서 직접 가져오지 않고 네트워크의 서버에 있는 캐시에서 Sophos Central 업데이트를 가져올 수 있습니다. 메시지 릴레이로 Sophos Central과 통신하도록 서버를 지정할 수도 있습니다.

이는 컴퓨터에 대해 캐시가 설정되었음을 보여줍니다. 이는 사용 중인 서버를 보여줍니다.

Windows 방화벽

Windows 방화벽이 활성화되었고 컴퓨터에서 관리되고 있습니다. 또한 다음 사항을 표시합니다.

  • Windows 그룹 정책이 사용 중인지 여부.

  • 활성 네트워크 정책.

  • 등록된 다른 방화벽이 설치되고 활성 상태인지 여부.

맨위로