Known

Known 탐지 현황에서는 V3 제품의 ASD 엔진에서 진단한 악성 행위 및 평판 기반 진단 내용을 확인할 수 있습니다. Known 탐지 목록에서 탐지 에이전트를 클릭하면 Known 상세 정보로 이동하여 탐지된 항목에 대한 상세 정보를 확인할 수 있습니다.  

참고

EDR 라이선스 보유 시 확인할 수 있는 화면입니다.

Known 탐지 현황에서 확인할 수 있는 주요 내용은 다음과 같습니다.

• 악성 행위 및 평판 기반 탐지 확인
• 탐지 항목의 관리자 확인 상태 변경
• 탐지 현황을 파일(csv, xlsx, pdf)로 내보내기
• 탐지 현황 목록을 클릭하여 연관 관계 다이어그램 확인

참고

Known 탐지 현황에서는 기간을 지정하여 그 기간 내의 탐지 현황을 확인할 수 있습니다. 기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.  

탐지 현황

Known의 탐지 현황 목록에서는 탐지된 악성코드의 상세 정보(관리자 확인 상태, 파일 이름, 해시값, 진단명, 탐지 에이전트, UUID, 탐지 시각)를 확인할 수 있습니다. 탐지 현황을 확인하는 방법은 다음과 같습니다.

1. 웹 화면 위쪽에 있는 대 메뉴에서 탐지를 선택합니다.

2. 탭 메뉴에서 탐지 > Known을 선택합니다.

3. 검색이나 기간 설정을 통해 원하는 탐지 정보를 확인할 수 있습니다. 검색( ) 기능의 검색어에 파일 이름이나 진단명, 탐지 에이전트 IP 주소나 컴퓨터 이름, UUID 정보를 입력하여 원하는 정보만 선택하여 확인할 수 있습니다. 탐지 목록에 표시된 탐지 내용은 시간순, 파일별, 진단 유형별로 선택하여 확인할 수 있습니다.

• 시간순: 탐지된 시간 순서대로 탐지 내용을 목록에 표시합니다. 시간순을 선택하면 목록의 오른쪽 상단에 탐지된 항목의 전체 개수가 표시됩니다.

• 파일별: 탐지된 파일별로 탐지 내용을 목록에 표시합니다. 파일별을 선택하면 목록의 오른쪽 상단에 전체 탐지 파일 수와 전체 탐지 횟수가 표시됩니다. 전체 탐지 파일 수는 탐지된 파일의 개수를 나타내며, 전체 탐지 횟수는 전체 탐지 파일이 탐지된 횟수를 나타냅니다.

• 진단 유형별: 탐지된 진단명의 유형별로 탐지 현황을 표시합니다. 하나의 진단명에 탐지 횟수와 탐지 에이전트 수, 탐지 파일 개수가 표시됩니다. 진단 유형별을 선택하면 목록의 오른쪽 상단에 전체 탐지 진단명과 전체 탐지 횟수가 표시됩니다. 전체 탐지 진단명은 탐지된 진단명의 개수를 표시하며, 해당 진단명으로 탐지된 전체 탐지 횟수가 전체 탐지 횟수에 표시됩니다.

• 관리자 확인 상태 변경: 탐지 대상에 대해 관리자가 처리 방법을 선택할 수 있습니다. 관리자 확인 상태 변경은 미확인, 보류, 확인 완료 중에서 선택할 수 있습니다.

참고

Known 탐지 현황에서는 관리자 확인 상태 변경으로 예외 처리를 지원하지 않습니다.

• 미확인() : 탐지 대상 파일에 대한 관리자 확인 상태를 미확인으로 처리합니다. 탐지된 대상이 목록에 표시될 때, 기본값에 해당합니다. 관리자가 미확인 상태의 탐지 대상을 확인 후, 보류나 확인 완료로 처리할 수 있습니다.

• 보류() : 탐지 대상 파일에 대한 관리자 확인이 추가로 필요한 경우, 보류로 처리합니다.

• 확인 완료() : 탐지 대상 파일에 대한 관리자 확인이 완료된 경우, 확인 완료로 처리합니다.

• 내보내기: Known 탐지 현황 정보를 시간순, 파일별, 진단 유형별로 csv, xlsx, pdf 형태로 내보내기 할 수 있습니다.

• 관리자 확인 상태: 관리자 확인 상태에는 미확인, 보류, 확인 완료 등의 현재 처리 방법이 표시됩니다. 선택한 탐지 대상 파일의 관리자 확인 처리 방법을 변경하려면 항목을 선택하고, 화면 상단의 관리자 확인 상태 변경을 클릭하여 처리 방법을 변경할 수 있습니다.

• 파일 이름: 탐지 대상의 파일 이름이 표시됩니다. 탐지 대상이 악성으로 확정된 경우는 악성()으로, 악성으로 의심이 될 경우는 의심()으로 아이콘 색상이 다르게 표시됩니다.

• 해시값: 탐지 대상 파일의 해시값이 표시됩니다.

• 진단명: 탐지된 파일의 진단명을 표시합니다.

• 탐지 에이전트: 탐지된 에이전트의 정보를 표시합니다. 탐지된 에이전트의 서버 연결 상태, IP 주소, 컴퓨터 이름을 표시합니다. 에이전트가 서버에 연결된 상태이면 연결됨()으로, 연결되지 않은 상태이면 연결 안 됨()으로 표시됩니다. 탐지 에이전트 정보가 없는 경우, 정보 없음으로 표시됩니다.

• UUID: UUID는 유니크한 번호로 Syslog 로그를 통해 전송된 탐지 로그에서 해당 UUID를 이용하여 다이어그램을 검색할 수 있습니다.

• 탐지 시각: 악성 행위가 탐지된 시각을 표시합니다.

4. 탐지 현황 목록을 클릭하면 Known 상세 정보에서 연관 관계 다이어그램과 상세 정보를 확인할 수 있습니다.      

관련 정보

• Known 상세 정보