사용자 정의

사용자 정의에서는 IOC/YARA 규칙에서 정의한 탐지 규칙에 의해 탐지된 대상을 확인할 수 있습니다.

참고

EDR 라이선스 보유 시 확인할 수 있는 화면입니다.

사용자 정의에서 확인할 수 있는 주요 내용은 다음과 같습니다.

참고

사용자 정의에서는 기간을 지정하여 그 기간 내의 탐지 현황을 확인할 수 있습니다. 기간은 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일에서 선택하거나, 사용자 정의를 선택하여 기간을 설정할 수 있습니다.

사용자 정의 탐지 목록에서는 IOC/YARA 규칙에 의해 탐지된 정보를 확인할 수 있습니다. 사용자 정의 탐지 목록을 확인하는 방법은 다음과 같습니다.

웹 화면 위쪽의 대 메뉴에서 탐지를 선택합니다.
메뉴에서 탐지 > 사용자 정의를 선택합니다.
탐지 목록에서 검색이나 기간 설정을 통해 원하는 정보를 선택적으로 확인할 수 있습니다. 사용자 정의 탐지 대상에 대한 상세 정보는 사용자 정의 상세 정보에서 확인할 수 있습니다.

시간순: 사용자 정의 탐지 대상을 탐지된 시간 순서대로 탐지 목록에서 표시합니다. 시간순을 선택하면 목록의 오른쪽 상단에 탐지된 전체 개수가 표시됩니다.
탐지 규칙별: 탐지 규칙 이름별로 탐지 현황을 표시합니다. 하나의 탐지 규칙 이름에 탐지 횟수와 탐지 에이전트가 표시됩니다. 탐지 유형별을 선택하면 탐지 목록의 오른쪽 상단에 전체 탐지 규칙 수와 전체 탐지 횟수가 표시됩니다. 전체 탐지 규칙 수는 탐지된 EDR 사용자 정의 규칙 수를 표시하며, 해당 사용자 정의 규칙으로 탐지된 탐지 횟수가 전체 탐지 횟수에 표시됩니다.
관리자 확인 상태 변경: 감시 대상에 대한 처리 방법을 선택할 수 있습니다. 관리자 확인 상태에는 미확인, 보류, 확인 완료 중에서 선택할 수 있습니다.

미확인() : 탐지 대상 파일에 대한 관리자 확인 상태를 미확인으로 처리합니다. 탐지된 대상이 목록에 표시될 때, 기본값에 해당합니다. 관리자가 미확인 상태의 탐지 대상을 확인 후, 보류나 확인 완료로 처리할 수 있습니다.
보류() : 탐지 대상 파일에 대한 관리자 확인이 추가로 필요한 경우, 보류로 처리합니다.
확인 완료() : 탐지 대상 파일에 대한 관리자 확인이 완료된 경우, 확인 완료로 처리합니다.

관리자 확인 상태: 관리자 확인 상태에는 미확인, 보류, 확인 완료 등의 관리자 처리 방법이 표시됩니다. 선택한 탐지 대상 파일의 관리자 확인 상태를 변경하려면 관리자 확인 상태 변경을 클릭하여 변경할 수 있습니다.

위험도: IOC와 YARA 규칙의 위험도입니다. 위험도는 IOC와 YARA 규칙 추가 시 설정됩니다. 관리자가 위험도를 설정한 경우, Low, Medium, High 중에서 표시될 수 있고, 위험도를 설정하지 않은 경우 None으로 표시됩니다.
규칙 유형: 탐지된 사용자 정의 규칙 유형이 표시됩니다. 규칙 유형에는 IOC, YARA, 연계 규칙이 있습니다.
탐지 내용: 사용자 정의 규칙인 IOC/YARA 규칙, 연계 규칙에 의해 탐지된 내용이 표시됩니다. IOC와 YARA 규칙은 정책 > IOC/YARA 규칙에서 설정할 수 있고, 연계 규칙은 정책 > 연계 규칙의 규칙 설정에서 사용자 정의 규칙을 설정한 후 대응 설정에서 사용자 정의 탐지를 선택하여 설정할 수 있습니다. 대응 설정을 EDR의 사용자 정의 탐지로 선택한 경우, 설정한 규칙을 만족하는 경우 탐지 > 사용자 정의에서 확인할 수 있습니다.
규칙 이름: IOC/YARA 규칙, 연계 규칙에 의해 탐지된 경우, 해당 규칙 이름이 표시됩니다.
탐지 에이전트: IOC나 YARA 규칙이 탐지된 에이전트의 컴퓨터 이름과 IP 주소가 표시됩니다.
UUID: UUID는 유니크한 번호로 Syslog 로그를 통해 전송된 탐지 로그에서 해당 UUID를 이용하여 다이어그램을 검색할 수 있습니다.
탐지 시각: 사용자 정의 규칙에 의한 행위가 탐지된 시각을 표시합니다.