참고에이전트 상세 정보에서는 개별 에이전트에 대한 IP 주소, 사용자, 운영 체제, 가상 환경 여부 등의 상세 정보를 확인할 수 있습니다. 에이전트 PC에서 탐지된 악성 파일과 탐지된 의심 행위에 대한 정보를 확인할 수 있고 탐지 에이전트에 대해 네트워크 완전 차단, Artifact 수집 등의 명령을 내릴 수 있습니다.
에이전트 상세 정보에서 확인할 수 있는 주요 내용은 다음과 같습니다.
참고
기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.
에이전트 상세 정보 화면에서는 탐지된 악성 파일과 탐지된 의심 행위에 대한 정보를 확인할 수 있고, 탐지된 에이전트에 대해 네트워크 완전 차단, AhnReport 수집, Artifact 수집 등의 대응 명령을 내릴 수 있습니다. 또한 기간을 지정하여 특정 에이전트에 대해 탐지된 악성 파일과 탐지된 의심 행위를 확인할 수 있습니다. 에이전트를 확인하는 방법은 다음과 같습니다.
웹 화면 위쪽의 대 메뉴에서 탐지를 선택합니다.
메뉴에서 탐지 > 에이전트를 선택합니다.
검색이나 기간 설정을 통해 원하는 탐지 에이전트 정보를 확인할 수 있습니다. 에이전트 아이디, 진단명으로 검색할 수 있고, 에이전트를 클릭하여 에이전트에 대한 상세 화면으로 이동할 수 있습니다. 탐지 에이전트 목록에서 항목을 클릭하면 에이전트 상세 정보 화면으로 이동합니다.
화면 왼쪽의 에이전트 단말 상세 화면에서는 대응하기, 에이전트, 사용자, 운영체제, 가상화 시스템에 대한 정보를 확인할 수 있습니다.
탐지된 에이전트 시스템을 대상으로 행위 정보를 수집하기 위한 명령을 내리거나 정보를 조회할 수 있습니다. 명령 전달 결과는 대응 현황에서 확인할 수 있습니다.
참고
YAML 구문 입력 방법은 사용자 정의 Artifact 수집을 참고하십시오.
EDR 이력 조회: 탐지된 에이전트 시스템의 EDR 이력을 확인할 수 있습니다. EDR 이력 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 EDR 이력 정보를 확인할 수 있습니다.
악성코드 감염 정보 조회: 탐지된 에이전트 시스템의 악성코드 감염 내역을 확인할 수 있습니다. 악성코드 감염 정보 조회를 클릭하면 로그 > 에이전트로 이동하여 탐지된 에이전트의 악성코드 감염 정보를 확인할 수 있습니다.
에이전트 상세 정보 보기: 관리 > 에이전트 현황의 에이전트 상세 정보로 이동하여 탐지된 에이전트 단말의 상세 정보를 확인할 수 있습니다.
공지 사항 보내기: 관리자가 에이전트 사용자 단말에 실시간으로 메시지를 보내는 기능입니다. 공지 사항을 보내면 에이전트 단말의 작업 표시줄에 있는 에이전트 아이콘의 공지 사항 보기를 통해 메시지 내용을 확인할 수 있습니다.
악성코드 검사: 악성코드가 탐지된 에이전트 컴퓨터의 악성코드 감염 여부를 검사합니다. 서버에서 에이전트 단말에 악성코드 검사 명령을 전달하면 에이전트 컴퓨터에 설치된 보안 제품이 검사 설정에 따라 에이전트 컴퓨터를 검사합니다. 악성코드 검사 방법과 치료 방법은 보안 제품에 설정된 검사 방법과 치료 설정에 따라 처리합니다.
수동 업데이트: 악성코드가 탐지된 에이전트 컴퓨터에 수동 업데이트를 실행합니다. 업데이트할 대상 제품이 설치되어 있는 경우 업데이트를 실행합니다.
공유 폴더 해제: 에이전트 단말에 설정된 모든 공유 폴더를 해제합니다. 공유 폴더 해제 명령을 내릴 경우, 관리 목적 공유 폴더에 대한 제외 여부를 선택할 수 있습니다. 관리 목적 공유는 Windows가 기본적으로 제공하는 공유 폴더입니다.
가상 그룹: 에이전트를 가상 그룹(감시 그룹, 예외 그룹, 패치 테스트 그룹, 사용자 정의 가상 그룹)에 추가합니다. 가상 그룹에서는 감시 에이전트로 설정하여 특별 관리하거나, 예외 에이전트로 설정하여 서버에서 전달하는 모든 명령과 정책이 적용되지 않도록 설정할 수 있습니다.
탐지된 에이전트에 대한 상세 정보를 확인할 수 있습니다.
에이전트 아이디: 에이전트마다 고유하게 부여된 아이디입니다.
컴퓨터 이름: 에이전트가 설치된 단말의 컴퓨터 이름입니다.
에이전트 IP 주소: 서버에 연결된 에이전트의 IP 주소입니다. 에이전트의 IP 주소가 2개 이상인 경우 실제 서버에 연결된 IP 주소를 표시합니다.
Windows 작업 그룹: 에이전트가 설치된 단말의 Windows 시스템 정보에 설정되어 있는 작업 그룹입니다.
마지막 접속시간: 에이전트가 서버에 마지막으로 접속한 시간입니다.
마지막 로그인한 사용자: 에이전트가 설치된 단말의 시스템에 마지막으로 로그인한 사용자입니다.
Security Agent 버전: 단말에 설치된 Security 에이전트의 프로그램 버전입니다.
Security Agent 설치 날짜: 단말에 Security 에이전트 프로그램을 설치한 날짜입니다.
에이전트가 설치된 시스템의 사용자 정보를 나타냅니다.
사용자 이름: 에이전트가 설치된 단말의 사용자의 이름입니다.
소속 부서: 에이전트가 설치된 단말 사용자의 소속 부서입니다.
전화 번호: 에이전트가 설치된 단말 사용자의 전화 번호입니다.
메일 주소: 에이전트가 설치된 단말 사용자의 메일 주소입니다.
사원 번호: 에이전트가 설치된 단말 사용자의 사원 번호입니다.
관리자 수정: 에이전트 사용자 정보에 대한 관리자의 수정 여부를 나타냅니다. 관리자가 사용자 정보를 수정한 경우 수정됨으로 표시되고, 수정하지 않는 경우는 수정 안 됨으로 표시됩니다.
에이전트가 설치된 단말의 운영체제 정보를 표시합니다.
이름: 에이전트가 설치된 단말의 운영체제 정보를 표시합니다. 예) Microsoft Windows 7 Enterprise K
종류: 에이전트가 설치된 단말의 운영체제 종류와 서비스 팩 정보를 표시합니다. 예) Microsoft Windows 7 Enterprise K Service Pack 1 64-bit
플랫폼: 에이전트가 설치된 단말의 운영체제 플랫폼을 표시합니다. 예) Windows NT
제품 아이디: 에이전트가 설치된 단말의 운영체제 제품 아이디(ID)를 표시합니다. 제품 아이디는 운영체제의 제어판에서 확인할 수 있습니다.
참고
제품 아이디는 Windows 7의 경우 제어판 > 시스템 및 보안 > 시스템으로 이동하여 <시스템>에서 화면 하단의 Windows 정품 인증에 제품 ID 부분의 정보입니다.
버전: 에이전트가 설치된 단말의 운영체제 버전을 표시합니다. Windows 7의 경우 시작 메뉴에서 winver 명령어를 입력하여 현재 운영체제 버전을 확인할 수 있습니다. 예) 6.1
설치한 날짜: 에이전트가 설치된 단말에 운영체제를 설치한 날짜를 표시합니다.
에이전트가 설치된 단말 시스템에 설치된 가상화 시스템의 정보를 표시합니다.
가상 환경 여부: 에이전트가 설치된 시스템의 가상 환경 사용 여부를 표시합니다. 가상 환경을 사용하는 경우 사용, 사용하지 않는 경우 사용 안 함으로 표시합니다.
Host OS ID: 가상화 시스템 관리 서버에서 수집한 Host OS의 구분자를 나타내며, 표시되는 데이터의 형식은 가상화 시스템에 따라 달라질 수 있습니다.
탐지된 악성 파일에 대한 상세 정보를 확인할 수 있습니다. 탐지된 악성 파일 목록에서는 파일 이름, 해시값, 진단명, 탐지 시각이 표시됩니다.
파일 이름: 탐지된 파일의 이름입니다. 악성(
)으로 판별이 된 것과 악성으로 의심(
)이 되는 파일 이름이 색상으로 구분되어 표시됩니다.
해시값: 탐지된 파일의 해시값 정보입니다. 탐지 파일에 따라 해시값 정보가 비어있을 수 있습니다.
진단명: 탐지된 파일의 진단명입니다. (예: Program Execution Notification)
탐지 시각: 악성 파일이 탐지된 시각을 나타냅니다.
탐지된 의심 행위에 대한 정보를 확인할 수 있습니다. 탐지된 의심 행위에는 각 행위 주체별 의심 행위와 행위 발생 시각이 표시됩니다.
구분: 의심 행위의 주체를 나타내며 구분에는 파일, 네트워크, 프로세스, 레지스트리, 시스템이 있습니다.
의심 행위: 주요 의심 행위를 나타냅니다. 예) 악성 프로세스 생성, 레지스트리에 특정 정보 값 생성 등.
행위 발생 시각: 탐지된 의심 행위가 발생된 시각을 나타냅니다.
참고
의심 행위에 대한 상세 내용은 탐지 행위 내용을 참고하십시오.