정책설정
좀비제로 매니저 arrow EDR arrow 정책설정

기본설정

프로세스 모니터링 설정 실행중인 프로세스를 에이전트를 통해 업로드하여 검사한 후 결과에 따라 처리 할 수 있도록 설정합니다.

모드 :
탐지 모드 전체파일 보류 모드 신규파일 보류 모드 미적용
SMTP탐지 모드 - 실행되는 프로세스를 서버로 업로드하여 모니터링
      전체파일 보류 모드 - 설치된 모든 파일을 실행중단 후 서버로 업로드하여 모니터링
      신규파일 보류 모드 - 새로 설치된 파일만 실행중단 후 서버로 업로드하여 모니터링
      미적용 - 업로드 / 모니터링 안함
업로드 제한 크기 :
MB
SMTP입력한 MB 이하의 파일만 업로드 합니다.( 기본값 : 50MB )
보류 모드 추가 정책 :
타임아웃 :
타임아웃 : 허용 차단 보류 유지
서명된 프로세스 허용:
서명된 프로세스 허용:
SMTP모드를 '보류 모드'로 설정했을 경우에만 작동하는 추가 정책
      타임아웃 - 입력한 '초' 이상 분석결과를 받지 못할경우 타임아웃 후 처리 정책을 따름
      서명된 프로세스 허용 - 서명된 프로세스는 보류/업로드 안함
      사용자가 보류 취소 허용 - 보류중인 프로세스를 사용자가 임의로 실행시킬수 있음.



패턴 패턴별 탐지/차단 여부를 설정합니다.

악성코드 유포지 IP/URL :
탐지 차단 미적용
SMTP패턴 관리의 악성코드 유포지 IP/URL을 탐지/차단 합니다. (기본값 : 차단)
블랙리스트 :
탐지 차단 격리 미적용
SMTP패턴 관리의 블랙리스트를 탐지/차단 합니다. (기본값 : 차단)
화이트리스트 :
허용
SMTP패턴 관리의 화이트리스트를 허용 합니다. (기본값 : 허용)

악성 / 비정상 행위

ABNORMAL비정상 행위별 탐지/차단을 설정합니다

스푸프 공격 :
탐지 차단 미적용

SMTPMac, IP, DNS 정보를 속여 네트워크 통신을 할 경우 탐지/차단 합니다. (기본값 : 탐지)
EST 공격 :
탐지 차단 미적용 임계치:
SMTP비정상적인 세션을 지속적으로 증가시키는 행위를 탐지/차단 합니다. (기본값 : 탐지)




FLOOD 플루딩 공격별 탐지/차단을 설정합니다.

SYN Flood :
탐지 차단 미적용 임계치:    지속시간(초):    포트:

SMTP임계치 이상의 비정상 SYN Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
      기본값 :
      SYN Flood - 탐지
      임계치 - 500
      지속시간(초) - 5
      포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
UDP Flood :
탐지 차단 미적용 임계치:    지속시간(초):    포트:
SMTP임계치 이상의 비정상 UDP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
      기본값 :
      UDP Flood - 탐지
      임계치 - 500
      지속시간(초) - 5
      포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
ICMP Flood :
탐지 차단 미적용 임계치:    지속시간(초):    포트:
SMTP임계치 이상의 비정상 ICMP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
      기본값 :
      ICMP Flood - 탐지
      임계치 - 100
      지속시간(초) - 5
      포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
WEB Flood :
탐지 차단 미적용 임계치:    지속시간(초):    포트:
SMTP임계치 이상의 비정상 HTTP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
      기본값 :
      WEB Flood - 탐지
      임계치 - 500
      지속시간(초) - 5
      포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)



포트 스캔포트스캔 행위에 대해 탐지/차단을 설정합니다.

TCP 포트 스캔 :
탐지 차단 미적용 임계치:    차단시간(초):
SMTPTCP 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다.
      기본값 :
      TCP 포트 스캔 - 탐지
      임계치 - 100
      차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
UDP 포트 스캔 :
탐지 차단 미적용 임계치:    차단시간(초):
SMTPUDP 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다.
      기본값 :
      UDP 포트스캔 - 탐지
      임계치 - 100
      차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
Null 포트스캔 :
탐지 차단 미적용 임계치:    차단시간(초):
SMTPFlag 값이 없는 형태로 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다.
      기본값 :
      Null 포트스캔 - 탐지
      임계치 - 100
      차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)



Host 스캔 IP 스캔 행위에 대해 탐지/차단을 설정합니다.

IP 스캔/ARP 스캔 :
탐지 차단 미적용 IP 영역:    IP 차단할 영역:    차단시간(초):
SMTP네트워크상 IP를 탐색하는 행위에 대한 정책 설정이 가능합니다.
      기본값 :
      IP스캔 - 탐지
      IP영역 - 50 (입력값 이상 스캔이 진행될 경우 탐지/차단 합니다.)
      차단영역 - 50 (IP영역 값 이상 증가하였을 경우 그뒤 차단영역값만큼 IP스캔을 탐지/차단합니다.)
      차단시간(초) - 5 (차단으로 설정하였을 경우 차단시간(초) 동안 해당 기능을 차단합니다.)



역방향 세션 정책 외부에서 내부로 접속하려는 행위를 탐지/차단 합니다.

처리 :
탐지 차단 허용

일반 설정

사용자 보기 설정 에이젼트가 사용자PC에서 보여지는 방법을 설정합니다.

트레이 아이콘 :
보기 감추기

SMTP사용자PC에 트레이아이콘 표시 여부를 설정합니다. ( 기본값:보기 )
탐지 풍선 메시지 보기 :
보기 감추기

SMTP악성행위를 탐지했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:감추기)
차단 풍선 메시지 보기 :
보기 감추기

SMTP악성행위를 차단했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:보기)
격리/복원 풍선 메시지 보기 :
보기 감추기

SMTP악성프로세스를 좀비제로가 격리/복구했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:보기)
기타 풍선 메시지 보기 :
보기 감추기

SMTP에이전트 업데이트, 정책 업데이트 시 풍선도움말 표시 여부를 설정합니다. (기본값: 보기)



추가 메시지 설정 업데이트 시 풍선도움말 표시 여부를 설정합니다. (기본값: 보기)

기타 풍선 메시지 보기 :
사용 미사용

SMTP추가 메시지 사용여부를 설정합니다.
메시지 :


SMTP추가 메시지 내용을 작성합니다.



업데이트 / 제거 설정 에이젼트 자동업데이트와 자동언인스톨 방법을 설정합니다.

라이브 업데이트 :
사용 미사용

SMTP신규버젼이 발견되었을 경우 라이브업데이트를 진행할지 여부를 설정합니다. ( 기본값:사용 )
언인스톨 :
사용 미사용

SMTP'사용' 을 선택 할 경우 해당그룹의 모든 에이젼트가 자동으로 언인스톨 처리 됩니다. ( 기본값:미사용 )

* 언인스톨 적용 후 정책을 다시 "미사용"으로 하지 않을 경우 그룹 내 Agent 가 설치 되지 않으니 주의 부탁드립니다.