ATA 및 TrusWatcher 제품 구성

ZPX, ATA, TWC, 에이전트를 함께 사용하여 APT 대응 및 좀비 PC 탐지/대응을 수행할 수 있습니다. 이러한 제품 구성을 도움말에서는 TrusWatcher로 표기합니다. TrusWatcher는 다음과 같은 제품으로 구성되어 있습니다.

TrusWatcher ZPX(줄여서 'ZPX'): 이미 알려진 악성코드를 탐지하고, 알려지지 않은 악성코드를 분석, 진단하는 능동형 APT(Advanced Persistent Threat) 공격 대응 장비
TrusWatcher Controller(줄여서 'TWC'): TrusAnalyzer에서 지정한 악성코드 처리 명령(탐지/제거/복원)에 따라 에이전트를 제어하는 서버
TrusAnalyzer(줄여서 'ATA'): ZPX에서 탐지된 악성코드 및 이상 트래픽 현황을 모니터하고 악성코드 대응에 사용하는 로그 서버
TrusWatcher Agent(줄여서 '에이전트'): TWC에서 요청한 명령을 실행하는 클라이언트 프로그램

TrusWatcher의 실행 환경은 다음 그림과 같습니다.

네트워크 구성은 사용 환경에 따라 다를 수 있습니다. 설치된 제품들이 수행하는 역할은 다음과 같습니다.

ZPX는 네트워크에서 발생하는 모든 트래픽을 모니터할 수 있는 위치에 설치되어, 악성코드를 탐지하고, 탐지 내역을 TrusAnalyzer에 전달합니다.
ATA는 관리자가 선택한 대응 설정에 따라 TWC에게 탐지된 파일 대응 명령을 내리고, 명령 실행 결과를 기록합니다.
TWC는 에이전트들에게 탐지된 악성코드 대응 명령을 전달합니다.
일반 사용자의 컴퓨터에 설치된 에이전트는 명령을 실행하고, TWC를 통해 TrusAnalyzer로 명령 실행 결과를 전달합니다.

ZPX, ATA, TWC를 각각 독립된 제품으로 운영하거나, 통합형 장비(TrusWatcher APX)에서 모두 구동할 수 있습니다. 제품을 선택할 때, 네트워크 크기와 관리 대상 호스트 대수 등을 고려하시기 바랍니다.

관리자가 TrusAnalyzer에서 수행할 수 있는 악성코드 및 이상 트래픽 대응 방법은 다음과 같습니다.

악성코드 유입과 이상 트래픽 현황 정보는 대시보드에서 제공합니다. 대시보드는 전체적인 보안 수준, 네트워크에 유입되고 있는 악성코드, 악성코드에 감염된 주요 호스트와 에이전트 현황, 악성코드 대응에 실패한 에이전트 정보 등을 보여줍니다.

연결된 ZPX가 여러대일 때, 각 장비의 현황 정보는 모니터에서 제공합니다.

탐지된 악성코드와 이상 트래픽 정보는 대응 현황에서 제공합니다. 대응 현황은 악성코드, 이상 트래픽에 대해 실시간으로 탐지 현황을 보여줍니다. 대응 현황에서 다음과 같은 작업을 수행할 수 있습니다.

부가 기능으로, 감시 목록 기능이 있습니다. 감시 목록은 악성코드 대응 현황을 참고하십시오.

대응 내역은 로그에서 확인할 수 있습니다. 대응 과정 중 실행한 대응 명령 결과는 대응 현황에서 확인할 수 있습니다.