정책설정
좀비제로 매니저 
EDR 정책설정
EDR 정책설정 기본설정
프로세스 모니터링 설정 실행중인 프로세스를 에이전트를 통해 업로드하여 검사한 후 결과에 따라 처리 할 수 있도록 설정합니다.
모드 :
탐지 모드
전체파일 보류 모드
신규파일 보류 모드
미적용
탐지 모드 - 실행되는 프로세스를 서버로 업로드하여 모니터링
전체파일 보류 모드 - 설치된 모든 파일을 실행중단 후 서버로 업로드하여 모니터링
신규파일 보류 모드 - 새로 설치된 파일만 실행중단 후 서버로 업로드하여 모니터링
미적용 - 업로드 / 모니터링 안함
탐지 모드 - 실행되는 프로세스를 서버로 업로드하여 모니터링전체파일 보류 모드 - 설치된 모든 파일을 실행중단 후 서버로 업로드하여 모니터링
신규파일 보류 모드 - 새로 설치된 파일만 실행중단 후 서버로 업로드하여 모니터링
미적용 - 업로드 / 모니터링 안함
업로드 제한 크기 :
MB
입력한 MB 이하의 파일만 업로드 합니다.( 기본값 : 50MB )
입력한 MB 이하의 파일만 업로드 합니다.( 기본값 : 50MB )
보류 모드 추가 정책 :
타임아웃 : 초
타임아웃 :
허용
차단
보류 유지
서명된 프로세스 허용:
서명된 프로세스 허용:
모드를 '보류 모드'로 설정했을 경우에만 작동하는 추가 정책
타임아웃 - 입력한 '초' 이상 분석결과를 받지 못할경우 타임아웃 후 처리 정책을 따름
서명된 프로세스 허용 - 서명된 프로세스는 보류/업로드 안함
사용자가 보류 취소 허용 - 보류중인 프로세스를 사용자가 임의로 실행시킬수 있음.
모드를 '보류 모드'로 설정했을 경우에만 작동하는 추가 정책 타임아웃 - 입력한 '초' 이상 분석결과를 받지 못할경우 타임아웃 후 처리 정책을 따름
서명된 프로세스 허용 - 서명된 프로세스는 보류/업로드 안함
사용자가 보류 취소 허용 - 보류중인 프로세스를 사용자가 임의로 실행시킬수 있음.
패턴 패턴별 탐지/차단 여부를 설정합니다.
악성코드 유포지 IP/URL :
탐지
차단
미적용
패턴 관리의 악성코드 유포지 IP/URL을 탐지/차단 합니다. (기본값 : 차단)
패턴 관리의 악성코드 유포지 IP/URL을 탐지/차단 합니다. (기본값 : 차단)
블랙리스트 :
탐지
차단
격리
미적용
패턴 관리의 블랙리스트를 탐지/차단 합니다. (기본값 : 차단)
패턴 관리의 블랙리스트를 탐지/차단 합니다. (기본값 : 차단)
화이트리스트 :
허용
패턴 관리의 화이트리스트를 허용 합니다. (기본값 : 허용)
패턴 관리의 화이트리스트를 허용 합니다. (기본값 : 허용)
악성 / 비정상 행위
ABNORMAL비정상 행위별 탐지/차단을 설정합니다
스푸프 공격 :
탐지
차단
미적용
Mac, IP, DNS 정보를 속여 네트워크 통신을 할 경우 탐지/차단 합니다. (기본값 : 탐지)
Mac, IP, DNS 정보를 속여 네트워크 통신을 할 경우 탐지/차단 합니다. (기본값 : 탐지)
EST 공격 :
탐지
차단
미적용
임계치:
비정상적인 세션을 지속적으로 증가시키는 행위를 탐지/차단 합니다. (기본값 : 탐지)
비정상적인 세션을 지속적으로 증가시키는 행위를 탐지/차단 합니다. (기본값 : 탐지)
FLOOD 플루딩 공격별 탐지/차단을 설정합니다.
SYN Flood :
탐지
차단
미적용
임계치:
지속시간(초):
포트:
임계치 이상의 비정상 SYN Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
기본값 :
SYN Flood - 탐지
임계치 - 500
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
임계치 이상의 비정상 SYN Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다. 기본값 :
SYN Flood - 탐지
임계치 - 500
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
UDP Flood :
탐지
차단
미적용
임계치:
지속시간(초):
포트:
임계치 이상의 비정상 UDP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
기본값 :
UDP Flood - 탐지
임계치 - 500
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
임계치 이상의 비정상 UDP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다. 기본값 :
UDP Flood - 탐지
임계치 - 500
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
ICMP Flood :
탐지
차단
미적용
임계치:
지속시간(초):
포트:
임계치 이상의 비정상 ICMP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
기본값 :
ICMP Flood - 탐지
임계치 - 100
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
임계치 이상의 비정상 ICMP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다. 기본값 :
ICMP Flood - 탐지
임계치 - 100
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
WEB Flood :
탐지
차단
미적용
임계치:
지속시간(초):
포트:
임계치 이상의 비정상 HTTP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다.
기본값 :
WEB Flood - 탐지
임계치 - 500
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
임계치 이상의 비정상 HTTP Packet을 설정한 지속시간(초) 동안 해당포트로 전송할 경우 탐지/차단 합니다. 기본값 :
WEB Flood - 탐지
임계치 - 500
지속시간(초) - 5
포트 - 0 (0:모든 포트, 특정 포트만 셋팅할 경우 1,10,80,8080)
포트 스캔포트스캔 행위에 대해 탐지/차단을 설정합니다.
TCP 포트 스캔 :
탐지
차단
미적용
임계치:
차단시간(초):
TCP 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다.
기본값 :
TCP 포트 스캔 - 탐지
임계치 - 100
차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
TCP 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다. 기본값 :
TCP 포트 스캔 - 탐지
임계치 - 100
차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
UDP 포트 스캔 :
탐지
차단
미적용
임계치:
차단시간(초):
UDP 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다.
기본값 :
UDP 포트스캔 - 탐지
임계치 - 100
차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
UDP 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다. 기본값 :
UDP 포트스캔 - 탐지
임계치 - 100
차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
Null 포트스캔 :
탐지
차단
미적용
임계치:
차단시간(초):
Flag 값이 없는 형태로 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다.
기본값 :
Null 포트스캔 - 탐지
임계치 - 100
차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
Flag 값이 없는 형태로 포트스캔을 임계치 이상 실행 할 경우 탐지/차단 합니다. 기본값 :
Null 포트스캔 - 탐지
임계치 - 100
차단시간(초) - 5 (차단으로 설정하였을 경우 입력값(초) 동안 해당 기능을 차단합니다.)
Host 스캔 IP 스캔 행위에 대해 탐지/차단을 설정합니다.
IP 스캔/ARP 스캔 :
탐지
차단
미적용
IP 영역:
IP 차단할 영역:
차단시간(초):
네트워크상 IP를 탐색하는 행위에 대한 정책 설정이 가능합니다.
기본값 :
IP스캔 - 탐지
IP영역 - 50 (입력값 이상 스캔이 진행될 경우 탐지/차단 합니다.)
차단영역 - 50 (IP영역 값 이상 증가하였을 경우 그뒤 차단영역값만큼 IP스캔을 탐지/차단합니다.)
차단시간(초) - 5 (차단으로 설정하였을 경우 차단시간(초) 동안 해당 기능을 차단합니다.)
네트워크상 IP를 탐색하는 행위에 대한 정책 설정이 가능합니다. 기본값 :
IP스캔 - 탐지
IP영역 - 50 (입력값 이상 스캔이 진행될 경우 탐지/차단 합니다.)
차단영역 - 50 (IP영역 값 이상 증가하였을 경우 그뒤 차단영역값만큼 IP스캔을 탐지/차단합니다.)
차단시간(초) - 5 (차단으로 설정하였을 경우 차단시간(초) 동안 해당 기능을 차단합니다.)
역방향 세션 정책 외부에서 내부로 접속하려는 행위를 탐지/차단 합니다.
처리 :
탐지
차단
허용
일반 설정
사용자 보기 설정 에이젼트가 사용자PC에서 보여지는 방법을 설정합니다.
트레이 아이콘 :
보기
감추기
사용자PC에 트레이아이콘 표시 여부를 설정합니다. ( 기본값:보기 )
사용자PC에 트레이아이콘 표시 여부를 설정합니다. ( 기본값:보기 )
탐지 풍선 메시지 보기 :
보기
감추기
악성행위를 탐지했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:감추기)
악성행위를 탐지했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:감추기)
차단 풍선 메시지 보기 :
보기
감추기
악성행위를 차단했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:보기)
악성행위를 차단했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:보기)
격리/복원 풍선 메시지 보기 :
보기
감추기
악성프로세스를 좀비제로가 격리/복구했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:보기)
악성프로세스를 좀비제로가 격리/복구했을 경우 풍선도움말 표시 여부를 설정합니다. ( 기본값:보기)
기타 풍선 메시지 보기 :
보기
감추기
에이전트 업데이트, 정책 업데이트 시 풍선도움말 표시 여부를 설정합니다. (기본값: 보기)
에이전트 업데이트, 정책 업데이트 시 풍선도움말 표시 여부를 설정합니다. (기본값: 보기)
추가 메시지 설정 업데이트 시 풍선도움말 표시 여부를 설정합니다. (기본값: 보기)
기타 풍선 메시지 보기 :
사용
미사용
추가 메시지 사용여부를 설정합니다.
추가 메시지 사용여부를 설정합니다.
메시지 :
추가 메시지 내용을 작성합니다.
업데이트 / 제거 설정 에이젼트 자동업데이트와 자동언인스톨 방법을 설정합니다.
라이브 업데이트 :
사용
미사용
신규버젼이 발견되었을 경우 라이브업데이트를 진행할지 여부를 설정합니다. ( 기본값:사용 )
신규버젼이 발견되었을 경우 라이브업데이트를 진행할지 여부를 설정합니다. ( 기본값:사용 )
언인스톨 :
사용
미사용
'사용' 을 선택 할 경우 해당그룹의 모든 에이젼트가 자동으로 언인스톨 처리 됩니다. ( 기본값:미사용 )
* 언인스톨 적용 후 정책을 다시 "미사용"으로 하지 않을 경우 그룹 내 Agent 가 설치 되지 않으니 주의 부탁드립니다.
'사용' 을 선택 할 경우 해당그룹의 모든 에이젼트가 자동으로 언인스톨 처리 됩니다. ( 기본값:미사용 )
* 언인스톨 적용 후 정책을 다시 "미사용"으로 하지 않을 경우 그룹 내 Agent 가 설치 되지 않으니 주의 부탁드립니다.
