Administrator Guide

위협

이 장에서는 Advanced Threat Prevention을 설치한 후 엔터프라이즈 환경에서 발생하는 위협을 식별하고 관리하는 방법을 자세히 설

명합니다.

● 위협 식별

○ 위협 이벤트 보기

○ Cylance 점수 및 위협 모델 업데이트

○ 상세 위협 데이터 보기

● 위협 관리

○ 위협 데이터를 CSV로 내보내기

○ 전역 격리 목록 관리

위협 식별

이메일 및 대시보드 알림

Threat Protection 및 Advanced Threat 이벤트에 대한 이메일 알림을 설정한 경우 관리자에게 Advanced Threat Prevention 이벤트 및

위협에 대한 이메일 알림이 전송됩니다.

Management Console의 대시보드 알림 요약에는 Threat Protection 및 Advanced Threat 이벤트 알림 유형으로 Advanced Threat

Prevention의 위협 및 이벤트가 표시됩니다.

● Threat Protection 유형 - Advanced Threat Prevention의 위협 경고입니다.

● Advanced Threat 이벤트 유형 - Advanced Threat Prevention에서 감지한 이벤트입니다. 이벤트가 반드시 위협을 의미하는 것은 아

닙니다.

다음 표에는 위협 요소, 심각도 및 위협 정보가 자세히 나와 있습니다.

레이블 심각도 세부사항

ThreatFound 위험

디바이스에서 PE(Portable Executable)가 식별되었지만 엔드포인트에

서 차단되거나 격리되지 않았음을 나타내며 이는 시스템에 실제 위협

이 있음을 나타냅니다.

ThreatBlocked 경고

실행이 차단되었지만 디바이스에서 PE(Portable Executable)가 식별되

었음을 나타냅니다. 이 위협은 특별히 격리되지 않았는데, 원인은 자동

격리 정책이 활성화되지 않았거나 해당 파일이 로컬 시스템 계정(네트

워크 공유, 제거된 USB 디바이스 등)으로 쓸 수 없는 위치에 있기 때문

일 수 있습니다.

ThreatTerminated 경고

디바이스에서 PE(Portable Executable)가 식별되었으며, 실제로 실행

중인 것으로 확인되었기 때문에 프로세스가 중단되었음을 나타냅니

다. PE는 다른 위치에서 실행되었을 수도 있으므로 해당 파일도 격리

되었음을 의미하지는 않습니다. 이 엔드포인트 및 실행 파일과 관련된

다른 이벤트를 찾아 위협이 적절히 포함되어 있는지 확인하는 것이 좋

습니다.

MemoryViolationBlocked 경고

실행 파일 또는 스크립트 실행이 시도되었지만 메모리 보호 또는 스크

립트 제어 정책을 위반했음을 나타냅니다. 이후에 실행 파일 또는 스크

립트의 실행이 차단되었습니다. 일반적으로 이는 설명된 관련 메모리

보호 또는 스크립트 제어 정책이 차단으로 설정되었음을 의미합니다.

MemoryViolationTerminated 경고

실행 파일 또는 스크립트가 실제로 실행 중인 것으로 확인되었으며 메

모리 보호 또는 스크립트 제어 정책을 위반하고 있음을 나타냅니다. 이

위협 13