UnKnown

Unknown

Unknown 탐지 현황에서는 악성 행위로 확정되진 않았으나 랜섬웨어와 유사한 행위, 다른 프로세스에 인젝션하는 행위를 비롯하여 비정상적인 네트워크 접속 행위, 시스템 설정 변경등의 행위를 수행하는 대상과 EDR 룰에 의해 탐지된 대상을 Unknown에서 확인할 수 있습니다.

참고

EDR 라이선스 보유 시 확인할 수 있는 화면입니다.

Unknown에서 확인할 수 있는 주요 내용은 다음과 같습니다.

탐지 대상의 머신러닝 MP(Malware Probability) 확인
탐지 에이전트 확인
탐지된 행위 확인
탐지 파일에 대한 관리자 확인 상태 확인

참고

Unknown 탐지 현황에서는 기간을 지정하여 그 기간 내의 탐지 현황을 확인할 수 있습니다. 기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.

Unknown 탐지 목록

Unknown 탐지 목록에서는 탐지 대상의 주요/연관 행위를 비롯한 상세 정보를 확인할 수 있습니다. Unknown 탐지 목록을 확인하는 방법은 다음과 같습니다.

웹 화면 위쪽의 대 메뉴에서 탐지를 선택합니다.
메뉴에서 탐지 > Unknown을 선택합니다.
탐지 목록에서 검색이나 기간 설정을 통해 원하는 정보를 선택적으로 확인할 수 있습니다. Unknown 탐지 대상에 대한 상세 정보는 Unknown 상세 정보에서 확인할 수 있습니다.

시간순: Unknown 탐지 대상을 탐지된 시간 순서대로 탐지 목록에서 표시합니다. 시간순을 선택하면 목록의 오른쪽 상단에 탐지된 전체 개수가 표시됩니다.
파일별: Unknown으로 탐지된 파일별로 탐지 내용을 목록에 표시합니다. 파일별을 선택하면 목록의 오른쪽 상단에 전체 탐지 파일 수와 전체 탐지 횟수가 표시됩니다. 전체 탐지 파일 수는 탐지된 파일의 개수를 나타내며, 전체 탐지 횟수는 전체 탐지 파일이 탐지된 횟수를 나타냅니다.
관리자 확인 상태 변경: 탐지 대상에 대한 처리 방법을 선택할 수 있습니다. 관리자 확인 상태 변경에서는 미확인, 보류, 확인 완료, 예외 처리 중에서 선택할 수 있습니다.

내보내기: Unknown 탐지 목록을 csv, xlsx, pdf 형태의 파일로 내보내기하여 저장할 수 있습니다.
예외 파일: 예외 처리된 파일을 확인할 수 있습니다. 예외 처리는 관리자 확인 상태 변경을 통해 예외 처리하거나, 정책 > EDR 정책 > 탐지 예외를 통해 수동으로 예외 파일을 추가할 수 있습니다. 예외 처리된 파일을 목록에서 삭제하면, 이후 탐지된 파일은 Unknown 탐지 목록에 표시됩니다.
머신러닝 MP: 머신러닝 기술을 이용하여 탐지한 Unknown 파일이 악성일 확률을 나타냅니다. 슬라이더의 초기값은 설정 > EDR > 머신러닝 MP에서 설정한 머신러닝 MP 수준으로, 설정된 수준 이상의 파일만 탐지 목록에 표시됩니다. 머신러닝 MP 수준을 설정하지 않은 경우, 탐지된 모든 파일이 목록에 표시됩니다.
분석 중 상태 포함: Unknown 탐지 목록에 분석 중인 대상에 대한 표시 여부를 선택할 수 있습니다. 분석 중 상태 포함을 선택하면 분석이 완료되지 않은 대상도 Unknown 탐지 현황에서 확인할 수 있습니다.

관리자 확인 상태: 관리자 확인 상태에는 미확인, 보류, 확인 완료, 예외 처리등의 현재 처리 방법이 표시됩니다. 선택한 감시 대상 파일의 처리 방법을 변경하려면 항목을 선택하고, 화면 상단의 관리자 확인 상태 변경을 클릭하여 처리 방법을 변경할 수 있습니다.
위험도: Unknown 탐지 조건의 내부적인 점수에 따라 Low, Medium, High로 표시합니다.
Low: Unknown 탐지 조건의 내부적인 위험도 점수가 0~49점 사이의 위험도를 Low로 표시합니다.
Medium: Unknown 탐지 조건의 내부적인 위험도 점수가 50~79점 사이의 위험도를 Medium으로 표시합니다.
High: Unknown 탐지 조건의 내부적인 위험도 점수가 80~100점 사이의 위험도를 High로 표시합니다.
머신러닝 MP: 머신러닝 기술을 이용하여 탐지한 Unknown 파일이 악성일 확률입니다. 0에서 100%에 가까울수록 악성일 확률이 높습니다. 특정 머신러닝 MP 수준 이상의 파일만 확인하고자 하는 경우, 예외 설정에서 머신러닝 MP 수준을 설정할 수 있습니다.
파일 이름: 탐지한 파일의 이름이 표시됩니다.
해시값: 탐지된 파일의 해시값이 표시됩니다.
탐지 에이전트: Unknown에 해당하는 의심 행위가 탐지된 에이전트입니다. 탐지된 에이전트의 서버 연결 상태, IP 주소, 컴퓨터 이름 등의 정보를 확인할 수 있습니다. 에이전트가 서버에 연결된 상태이면 녹색()으로 표시됩니다. 탐지 에이전트 정보가 없는 경우, 정보 없음으로 표시됩니다.
행위 유형: 주요 감시 행위를 표시합니다. 주요 감시 행위는 랜섬웨어, 인젝션, 네트워크 접속, 정보 탈취, 시스템 설정 변경, 권한 상승, 파일리스(Fileless), 기타 등의 행위가 표시됩니다.
랜섬웨어: 랜섬웨어로 진단되진 않았으나, 랜섬웨어와 유사한 행위를 수행하는 대상을 표시합니다. 인젝션된 프로세스 혹은 특정 프로세스가 일반적으로 접근하지 않는 시스템의 기본 문서 파일에 접근하거나 연속된 문서 파일을 변경하는 행위, 랜섬웨어 유인 용도의 디코이(Decoy) 파일에 접근하여 파일을 변경하는 행위등을 랜섬웨어 유사 행위에서 표시합니다.

인젝션: 시스템 파일에 인젝션하거나 시스템 프로세스 메모리 영역에 데이터 쓰기를 시도하는 대상을 인젝션 행위에서 표시합니다.
네트워크 접속 : DDoS와 같은 네트워크의 비정상적인 트래픽 행위나 C2 서버 접근 행위를 네트워크 접속에서 표시합니다.
정보 탈취: 사용자 계정이나 시스템 정보 등을 수집하는 행위를 정보 탈취에서 표시합니다.
취약점: 정상 프로그램의 설계적 결함을 악용하여 프로그램이 의도하지 않은 코드가 실행되는 행위를 취약점에서 표시합니다.
시스템 설정 변경: 레지스트리를 수정하여 시스템의 보안 수준 설정을 변경하거나 Windows 방화벽 설정 변경 등의 행위를 표시합니다.
권한 상승: 상위 권한으로 프로세스가 실행되거나, 권한이 변경되는 행위 등의 의심스러운 행위를 권한 상승 행위에서 표시합니다.
파일리스(Fileless)): 시스템 내 파일 생성 과정 없이, 프로세스 메모리 영역에서 동작하는 의심스러운 행위를 파일리스에서 표시합니다.
기타: 랜섬웨어, 인젝션, 네트워크 접속, 정보 탈취, 시스템 설정 변경, 권한 상승, 파일리스(Fileless), 취약점을 제외한 기타 의심스러운 행위 유형을 기타에서 표시합니다.

UUID: UUID는 유니크한 번호로 Syslog 로그를 통해 전송된 탐지 로그에서 해당 UUID를 이용하여 다이어그램을 검색할 수 있습니다.
탐지 시각: 탐지된 시각을 표시합니다.

관리자 확인 상태 변경

관리자 확인 상태를 변경합니다. 관리자 확인 상태에는 미확인, 보류, 확인 완료, 예외 처리가 있습니다. 관리자 확인 상태를 변경하는 방법은 다음과 같습니다.

웹 화면 위쪽의 대 메뉴에서 탐지를 선택합니다.
메뉴에서 탐지 > Unknown을 선택합니다.
Unknown 탐지 대상 목록에서 관리자 확인 처리 방법을 변경할 항목을 선택합니다.
관리자 확인 상태 변경을 클릭하여 처리 방법을 선택합니다. 관리자 확인 상태에는 미확인, 보류, 확인 완료, 예외 처리 중에서 선택할 수 있습니다.

미확인() : 탐지 대상 파일에 대한 관리자 확인 상태를 미확인으로 처리합니다. Unknown 탐지
보류() : 탐지 대상 파일에 대한 관리자 확인 상태를 보류로 처리합니다.
확인 완료() : 탐지 대상 파일에 대한 관리자 확인 상태를 확인 완료로 처리합니다.
예외 처리() : 탐지 대상 파일을 예외 처리합니다. 예외 처리 시, 파일 이름과 해시값이 있는 파일만 예외 처리할 수 있습니다. 예외 처리한 파일은 Unknown 탐지 대상 목록에 표시되지 않고, 예외 파일에서 확인할 수 있습니다.

참고

Unknown 상세 정보의 연관 관계 다이어그램에서 예외 처리된 파일도 표시됩니다.

<관리자 확인>에서 필요한 정보를 설정합니다. 아래 화면은 관리자 확인 처리 방법을 예외 처리로 선택한 경우의 화면입니다.

최근 7일 동안 탐지된 동일 항목을 같은 방법으로 처리: 선택한 파일의 관리자 확인 처리 방법을 최근 7일 동안(과거) 탐지된 내용도 같은 방법으로 일괄 처리합니다. 예를 들어, 관리자 확인을 미확인으로 선택한 경우, 관리자 확인을 설정하는 시점의 과거 7일동안 탐지된 동일한 내용에 대해 미확인으로 처리합니다.
선택 항목 수: 감시 대상 목록에서 선택한 항목 수를 표시합니다.
설명: 관리자 확인 시, 필요한 설명을 입력합니다.

확인을 클릭합니다.

참고

Unknown 상세 정보의 다이어그램에서도 관리자 확인 상태를 변경할 수 있습니다.

예외 파일

예외 파일에서는 관리자 확인 상태 변경을 통해 예외 처리된 파일을 확인할 수 있습니다. 예외 파일을 확인하는 방법은 다음과 같습니다.

웹 화면 위쪽의 대 메뉴에서 탐지를 선택합니다.
메뉴에서 탐지 > Unknown을 선택합니다.
예외 파일을 클릭합니다.
<예외 파일 - Unknown>에서 예외 처리된 파일을 확인합니다. 예외 파일 목록에서 삭제하면, 이후 탐지된 파일은 Unknown 탐지 목록에 표시됩니다.

파일 경로: 예외 처리된 파일의 전체 경로입니다.
해시값: 예외 처리된 파일의 해시값입니다.

<예외 설정>의 예외 파일 목록에서 필요한 정책을 설정합니다.
설정 내용을 저장하려면 확인을 클릭합니다.