에이전트

의심 행위가 발생한 에이전트에 대한 상세 정보를 표시합니다. 의심 행위가 발생한 에이전트에서 탐지된 악성 파일 수, 의심 행위 횟수, 최근 탐지 진단명, 최근 의심 행위, 감염 시각등을 확인할 수 있습니다. 탐지된 에이전트를 클릭하여 에이전트에 대한 상세 화면으로 이동할 수 있습니다.

참고

EDR 라이선스 보유 시 확인할 수 있는 화면입니다.

에이전트에서 확인할 수 있는 주요 내용은 다음과 같습니다.

탐지 에이전트의 정보 확인

참고

기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.

탐지 에이전트 확인

에이전트 목록에서는 의심 행위가 발생한 에이전트 단말에 대한 정보를 확인할 수 있습니다. 탐지된 에이전트를 선택하고 대응하기 명령을 통해 대응 명령을 내릴 수 있고, 특정 에이전트만 검색하거나 기간을 지정하여 특정 기간내에 탐지된 에이전트를 검색할 수 있습니다. 탐지 에이전트를 확인하는 방법은 다음과 같습니다.

웹 화면 위쪽의 대 메뉴에서 탐지를 선택합니다.
메뉴에서 탐지 > 에이전트를 선택합니다.
검색이나 기간 설정을 통해 원하는 탐지 에이전트 정보를 확인할 수 있습니다. 에이전트 아이디, 진단명으로 검색할 수 있고, 에이전트를 클릭하여 에이전트에 대한 상세 화면으로 이동할 수 있습니다. 탐지 에이전트 목록에서 항목을 클릭하면 에이전트 상세 정보 화면으로 이동합니다.

검색: 탐지된 목록에서 특정 에이전트만 검색할 경우, 검색에 에이전트 정보를 입력하고 검색( ) 아이콘을 클릭합니다.
대응하기: 탐지된 에이전트 시스템을 대상으로 행위 정보를 수집하기 위한 명령을 내리거나 정보를 조회할 수 있습니다.

EDR 네트워크 차단: 탐지된 에이전트 시스템의 네트워크를 차단합니다.
EDR 네트워크 차단 해제: 차단한 에이전트 시스템의 네트워크를 차단 해제합니다.
Ahnreport 수집: 탐지된 에이전트 시스템에 대해 Ahnreport 수집 명령을 내립니다. Ahnreport 수집에서는 파일, 레지스트리, 시스템, 네트워크, 하드웨어, 설치된 프로그램 정보를 수집합니다. Ahnreport 수집 시 수집 정보 유형을 선택할 수 있고, 수집 명령 전달 후 대기 시간을 설정할 수 있습니다.
수집 정보 유형: Ahnreport 수집 정보 유형을 선택합니다. 제품 오류 선택 시, 제품의 동작상에 오류가 발생한 경우 원인 분석을 위한 시스템 정보, 제품 정보 및 로그 정보를 수집합니다. 악성코드 선택 시, 악성코드 분석을 위한 시스템 정보, 의심 파일, 제품의 엔진 정보등 다양한 정보를 수집합니다.
명령 전달 대기 시간: Ahnreport 수집 명령을 내리는 경우, 명령 전달 대기 시간을 설정할 수 있습니다. 예를 들어 명령 전달 대기 시간을 20분으로 설정한 경우, 20분이 경과하도록 에이전트에서 응답이 없는 경우 명령 전달에 실패한 것으로 판단합니다.
Artifact 수집: 탐지된 에이전트 시스템에 대해 Artifact 수집 명령을 내립니다. Artifact 수집에서는 운영체제나 어플리케이션을 사용하면서 생성되는 흔적을 주로 수집합니다. 각종 로그 정보, 히스토리 정보, Timeline, 레지스트리 정보 등을 수집합니다. Artifact에서 수집하는 상세 정보는 Artifact 수집 정보에서 확인할 수 있습니다.
기본 항목: Artifact의 기본 항목을 에이전트가 설치된 시스템에서 수집합니다. 수집하는 기본 항목에는 프로세스, 시스템, 네트워크, 하드웨어, 프로그램, Timeline 등이 있습니다.
사용자 정의 항목: 템플릿을 이용하여 Artifact 정보를 수집하거나 구문을 직접 작성하여 사용자가 원하는 Artifact만 수집할 수 있습니다. 템플릿을 이용하는 경우, 원하는 템플릿 선택 후 삽입하기를 클릭하십시오. 템플릿을 이용하여 수집할 수 있는 Artifact 정보는 시스템 공유 폴더 정보, 네트워크 어댑터 정보, 네트워크 연결(TCP/UDP) 정보, DNS Cache 정보, 서비스 정보, 로드된 모듈 정보가 있습니다.

참고

YAML 구문 입력 방법은 사용자 정의 Artifact 수집을 참고하십시오.

EDR 이력 조회: 탐지된 에이전트 시스템의 EDR 이력을 확인할 수 있습니다. EDR 이력 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 EDR 이력 정보를 확인할 수 있습니다.
악성코드 감염 정보 조회: 탐지된 에이전트 시스템의 악성코드 감염 내역을 확인할 수 있습니다. 악성코드 감염 정보 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 악성코드 감염 정보를 확인할 수 있습니다.
공지 사항 보내기: 관리자가 에이전트 사용자 단말에 실시간으로 메시지를 보내는 기능입니다. 공지 사항을 보내면 에이전트 단말의 작업 표시줄에 있는 에이전트 아이콘의 공지 사항 보기를 통해 메시지 내용을 확인할 수 있습니다.
악성코드 검사: 악성코드가 탐지된 에이전트 컴퓨터의 악성코드 감염 여부를 검사합니다. 서버에서 에이전트 단말에 악성코드 검사 명령을 전달하면 에이전트 컴퓨터에 설치된 보안 제품이 검사 설정에 따라 에이전트 컴퓨터를 검사합니다. 악성코드 검사 방법과 치료 방법은 보안 제품에 설정된 검사 방법과 치료 설정에 따라 처리합니다.
수동 업데이트: 악성코드가 탐지된 에이전트 컴퓨터에 수동 업데이트를 실행합니다. 업데이트할 대상 제품이 설치되어 있는 경우 업데이트를 실행합니다.
공유 폴더 해제: 에이전트 단말에 설정된 모든 공유 폴더를 해제합니다. 공유 폴더 해제 명령을 내릴 경우, 관리 목적 공유 폴더에 대한 제외 여부를 선택할 수 있습니다. 관리 목적 공유는 Windows가 기본적으로 제공하는 공유 폴더입니다.
가상 그룹: 에이전트를 가상 그룹(감시 그룹, 예외 그룹, 패치 테스트 그룹, 사용자 정의 가상 그룹)에 추가합니다. 가상 그룹에서는 감시 에이전트로 설정하여 특별 관리하거나, 예외 에이전트로 설정하여 서버에서 전달하는 모든 명령과 정책이 적용되지 않도록 설정할 수 있습니다.

내보내기: 에이전트 목록을 csv, xlsx, pdf 형태의 파일로 내보내기하여 저장할 수 있습니다.
탐지 에이전트: 악성 행위가 탐지된 에이전트 단말의 IP 주소와 컴퓨터 이름을 표시합니다.

악성 파일 수: 악성 행위가 탐지된 에이전트 단말에서 발견된 악성 파일 수를 표시합니다.
의심 행위 횟수: 탐지 에이전트에서 발견된 의심 행위 수를 표시합니다.
최근 탐지 진단명: 가장 최근에 탐지된 진단명을 표시합니다.
최근 의심 행위: 가장 최근에 탐지된 의심 행위를 표시합니다.
탐지 시각: 의심 행위가 탐지된 시각을 표시합니다.