참고Artifact 수집에서는 운영체제나 어플리케이션을 사용하면서 생성되는 흔적을 주로 수집합니다. Artifact로 수집하는 정보는 V3 제품이 사용하는 ASD 엔진을 통해 조회된 정보입니다.
참고
Artifact는 EDR 라이선스 보유 시 수집할 수 있는 기능입니다.
Artifact는 운영체제나 어플리케이션을 사용하면서 생성되는 흔적을 주로 수집합니다. 각종 로그 정보, 히스토리 정보, 시간대별 Timeline, 레지스트리 정보등을 수집합니다. Artifact를 수집하는 주체는 EDR 에이전트이며 수집하는 Artifact 파일 크기는 약 500KB 미만입니다. 주로 개별 에이전트보다는 그룹 단위의 Artifact 수집 명령을 통해 정보를 수집합니다. Artifact에서 수집하는 데이터는 V3 제품의 ASD 엔진을 통해 데이터를 조회하고, 해당 데이터를 수집합니다. Artifact 수집 정보는 다음과 같습니다.
평판 정보: 프로세스/파일 정보와 네트워크 정보로 부터 전달받는 정보입니다.
파일 정보: 프로세스/파일 정보에서 전달받는 정보입니다. 단일 파일에 대한 정보입니다.
네트워크 정보: 네트워크 정보로 부터 전달받는 정보입니다.
행위 정보 조회: 행위 정보로 전달받는 정보입니다.
통계 정보 조회: 특정 기간 동안 파일 또는 네트워크 URL 상태 결과를 조회할 수 있습니다. 악성코드 수, 미확인 파일 수와 엔진에서 설정한 조건에 만족하는 파일 수를 확인할 수 있습니다.
사용자 차단/허용 통계 정보 조회: 특정 기간 동안 사용자가 허용 또는 차단한 파일 통계 정보를 확인할 수 있습니다.
V3 제품의 ASD 엔진에서 다음과 같은 로그 데이터를 전달받아 Artifact 정보로 수집합니다.