악성코드 탐지 설정
악성코드 탐지 기능을 시작 또는 중지하거나 악성코드 탐지 기능 전반에 적용되는 옵션을 설정할 수 있습니다.
화면에서 설정할 수 있습니다.
악성코드 탐지 사용
악성코드 탐지 기능에 대한 사용여부와 검사 기준을 설정할 수 있습니다.
- 악성코드 탐지 사용: 악성코드 탐지 기능 시작 또는 중지
- 검사할 파일 크기: 지정된 크기 이하일 경우 악성코드 검사 수행
- 다중 압축 파일 해제: 지정된 횟수로 이하로 다중 압축되어 있을 때 악성코드 검사 수행
- 불필요한 프로그램 탐지: 악성코드가 아니지만 불필요한 프로그램으로 등록된 파일에 대한 탐지 수행
주의
악성코드 탐지 사용을 해제할 경우 ZPX의 주요 기능인 악성코드 수집 및 분석 기능이 정지됩니다. 특별한 경우를 제외하고 기능을 해제하지 않도록 권고합니다.
참고
검사 대상 파일 크기 제한을 터미널 연결에서 변경할 수 있습니다. 명령어 가이드에서 get_gathering_size, set_gathering_size 명령어를 참고하십시오.
YARA 규칙 등록
사용자가 생성한 악성코드 탐지 규칙을 적용하는 기능입니다.
- 규칙 개수: 현재 사용자가 등록한 악성코드 탐지 규칙의 갯수. 규칙 보기를 선택하면 등록된 규칙의 상세 정보를 보여줍니다.
- 파일 선택 버튼을 클릭하여 사용자 정의 규칙을 등록할 수 있습니다.
참고
YARA는 구글(google)에서 진행하는 악성코드를 식별하는 오픈소스 프로젝트입니다. 특정 String을 시그너처로 규정하여 탐지 규칙을 생성할 수 있습니다. 자세한 내용은 http://code.google.com/p/yara-project/를 참고하시기 바랍니다.
탐지 결과 기록
파일 검사 결과를 로그로 생성하거나 분석 보고서로 생성하도록 설정할 수 있습니다.
악성코드 분석 보고서 생성
ZPX는 알려진 악성코드와 알려지지 않은 악성코드를 탐지하는 방식이 다릅니다. 알려진 악성코드는 파일에 포함된 정보를 통해 악성여부를 판단하며 알려지지 않은 악성코드의 경우 가상머신에서 실행하여 실제 행동을 분석하여 악성여부를 판단하게 됩니다. 이 기능을 사용하면 알려진 악성코드로 진단한 파일을 가상 머신에서 실행하여 행동을 분석하고 이를 기록한 보고서를 생성합니다.
참고
터미널에서 악성코드 분석 보고서 생성 여부를 변경하려면 get_vm_report, set_vm_report 명령어를 사용하여 설정할 수 있습니다.
참고
악성코드 분석 보고서는 ATA에서 조회할 수 있습니다. ATA 서버의 로그 화면에서 악성코드 탐지 로그를 조회할 때, 탐지된 악성코드의 진단명을 볼 수 있습니다. 진단명을 누르면 악성코드 분석 보고서 화면이 나타납니다.
정책 적용 로그
ZPX는 미러링된 트래픽에서 수집된 파일의 검사 결과를 로그 파일에 기록합니다.
- 일반 파일 검사 내역: 검사를 수행하여 일반 파일로 판단된 경우 검사 내역을 로그로 기록
- 악성코드 탐지 내역: 검사를 수행하여 악성코드로 판단된 경우 검사 내역을 로그로 기록
주의
정책 적용 로그를 모두 해제하지 마십시오. 정책 적용 로그 옵션을 모두 해제하면 악성코드 탐지 내역을 ATA의 "대응 현황" 및 "로그" 화면에서 확인할 수 없습니다. 이 옵션은 모두 사용하도록 권고합니다.
악성코드 경고
웹 또는 메일 서비스 연결에서 악성코드가 탐지되면 ZPX는 사용자가 다시 웹 또는 메일 서비스를 이용할 때 사용자에게 악성코드가 다운로드되었음을 경고할 수 있습니다.
- 악성코드 경고: 웹 또는 메일을 통한 악성코드 탐지 시 경고 기능 시작 또는 종료
- 경고: 웹 페이지 또는 메일 본문에 탐지된 악성코드 정보와 경고 메시지 출력
- 리디렉션: 웹 페이지를 리디렉션 URL로 연결 또는 메일 본문에 리디렉션 URL 표시
- 경고 메시지: 사용자에게 악성코드 경고 시 출력될 메시지
- 대상 네트워크: 악성코드 탐지 시 악성코드를 경고할 대상 네트워크 지정
악성코드 경고를 적용할 대상 네트워크를 설정할 수 있습니다. 대상 네트워크 목록의 IP 주소를 입력한 후 추가를 누르면
등록되고 
를
누르면 삭제됩니다.
변경할 옵션을 모두 설정하고 을 누릅니다. 우측 상단의 을 눌러 시스템에 적용합니다.
관련 예제
관련 항목