보안 엔드포인트 제외를 위한 모범 사례

소개

이 문서에서는 보안 엔드포인트 커넥터에서 제외를 찾아 만드는 모범 사례에 대해 설명합니다.

기고자: Caly Hess, Matthew Huynh, Matthew Franks, Cisco 엔지니어.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 보안 엔드포인트 포털에 액세스
• 관리자 권한이 있는 계정
• 고객 환경에 대한 실무 지식

사용되는 구성 요소

이 문서의 정보는 Windows, Linux 및 MacOS 운영 체제를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

제외를 이해하는 방법

제외 세트는 보안 엔드포인트 커넥터가 검사하거나 판정할 필요 없는 디렉토리, 파일 확장명 또는 위협 이름의 목록입니다. Secure Endpoint와 같은 엔드포인트 보호가 활성화된 경우 시스템에서 성능 및 보안의 균형을 유지하기 위해서는 제외가 필요합니다.이 문서에서는 보안 엔드포인트 클라우드, TETRA, SPP 및 MAP의 제외에 대해 설명합니다.  

모든 환경은 고유한 특성을 가지며, 이를 제어하는 엔티티도 매우 엄격하고 개방형 정책에 따라 다릅니다. 이 경우 후자가 허니팟으로 분류됩니다.이러한 제외가 정의되어 있으므로 각 상황에 고유한 맞춤화가 필요합니다.

  

다른 제외는 두 가지 방법으로 분류할 수 있는데, 분명한 제외와 불명확한 제외는 구분되지 않습니다.

명백한 제외

명백한 제외는 일반적으로 사용되는 운영 체제, 프로그램 및 기타 보안 소프트웨어에 대한 연구 및 테스트를 기반으로 생성된 제외입니다.  이러한 제외는 콘솔의 Cisco 유지 관리 제외 목록에서 찾을 수 있습니다.   

참고:다른 AV(Anti-Virus) 벤더에 연락하여 권장 제외를 추가하도록 요청하는 것이 좋습니다. 이렇게 하면 보안 엔드포인트 커넥터와 AV가 동시에 작동하여 성능에 미치는 영향을 최소화할 수 있습니다.

불명확한 제외

비즈니스 보안 문제 및 중단을 방지하기 위해 중복 정책을 생성하여 성능 문제 표시기가 있는 컴퓨터를 식별한 다음 이 중복 정책을 사용할 그룹으로 분리하는 것이 좋습니다.

주의:대시보드에서 컨피그레이션을 변경하려면 커넥터가 정책을 동기화하도록 허용하는 데 시간이 필요합니다.하트비트 업데이트를 허용하거나 커넥터에서 정책을 수동으로 동기화하십시오.

정책 생성

1. 보안 엔드포인트 콘솔 > 관리 탭 > 정책
2. 클릭 + 새 정책...
3. 운영 체제의 드롭다운 메뉴에서 선택합니다.
4. 이 정책 및 설명을 구분할 수 있도록 의미 있는 이름을 제공하십시오(선택).
5. 요구 사항에 대한 정책 작업을 선택하고 지금은 기본 제외를 사용합니다.
6. 중요 Advanced Settings(고급 설정) > Administrative Features(관리 기능)에서 Connector 로그 레벨을 Debug(디버그)로 설정합니다.
7. Save(저장)를 클릭하여 정책 생성을 완료합니다.

그룹 생성

1. 보안 엔드포인트 콘솔 > 관리 탭 > 그룹
2. Create Group(그룹 생성)을 클릭합니다.
3. 이 그룹 및 설명을 구분할 수 있도록 의미 있는 이름을 제공하십시오(선택).
4. 생성한 중복 정책을 선택합니다.
5. Save(저장)를 클릭하여 그룹 생성을 완료합니다.

제외를 식별하는 방법

중복 정책 및 그룹 생성 후 커넥터의 디버그 로그 레벨을 사용하여 컴퓨터를 정상 업무 운영에 따라 실행합니다.프로그램 및 프로세스에 액세스하는 동안 충분한 커넥터 로그 데이터를 얻을 수 있는 시간을 허용하고, 제외 사항을 검토하고 식별하기 위한 지원 진단 번들을 생성합니다.

사용 가능한 여러 운영 체제에 대한 진단 번들을 작성하는 가이드:

• 윈도우
• 리눅스
• MAC

MacOS 또는 Linux

압축된 디버그 진단 번들을 추출합니다.파일 fileops.txt 에는 파일 검사를 수행하기 위해 보안 엔드포인트를 트리거한 파일 생성, 수정 및 이름 바꾸기 작업이 있는 경로가 나와 있습니다.  각 경로에는 스캔된 횟수 및 목록이 내림차순으로 정렬됨을 나타내는 관련 카운트가 있습니다.  높은 개수가 반드시 경로를 제외해야 하는 것은 아니지만(예: e-메일을 저장하는 디렉토리를 자주 스캔할 수 있지만 제외해서는 안 됨), 이 목록은 제외 후보를 식별하는 시작점을 제공합니다.  

 31 /Users/eugene/Library/Cookies/Cookies.binarycookies
 24 /Users/eugene/.zhistory
 9 /Users/eugene/.vim/.temp/viminfo
 9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
 5 /Users/eugene/Library/Cookies/HSTS.plist
 5 /Users/eugene/.vim/.temp/viminfo.tmp
 4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
 3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
 3 /Library/Logs/Cisco/supporttool.log
 2 /private/var/db/locationd/clients.plist
 2 /Users/eugene/Desktop/.DS_Store
 2 /Users/eugene/.dropbox/instance1/config.dbx
 2 /Users/eugene/.DS_Store
 2 /Library/Catacomb/DD94912/biolockout.cat
 2 /.fseventsd/000000000029d66b
 1 /private/var/db/locationd/.dat.nosync0063.arg4tq

윈도우

Windows 운영 체제가 더 복잡하므로 상위 및 하위 프로세스로 인해 더 많은 제외 옵션을 사용할 수 있습니다.이는 액세스된 파일은 물론 파일을 생성한 프로그램을 식별하기 위해 심층적인 검토가 필요하다는 것을 나타냅니다.Cisco 보안의 GitHub 페이지에서 이 Windows 튜닝 도구를 참조하여 보안 엔드포인트로 Windows 성능을 분석하고 최적화하는 방법에 대한 자세한 내용을 확인하십시오.

제외 생성 방법

이 섹션에서는 환경에 대한 제외 사항을 작성하는 모범 사례를 다룹니다. 

주의: 컴퓨터에 대한 보안 취약성을 피하기 위해 제외를 쓰기 전에 항상 파일과 프로세스를 이해해야 합니다.

참고: 자세한 내용은 사용 설명서, 3장 여기를 참조하십시오.이 장에서는 보안 엔드포인트 포털의 제외, 구현 및 탐색 유형에 대해 설명합니다. 

CSIDL 경로 및 프로세스

CSIDL은 제외를 작성할 수 있도록 수락되고 장려되는 방법입니다.  CSIDL은 대체 드라이브 문자를 사용하는 환경에서 확인 가능한 프로세스 제외를 허용하며, 해당 경로가 사용자별 경로인 경우 와일드카드의 필요성을 무시할 수 있습니다(프로세스 제외는 와일드카드에 대해 허용되지 않음).  CSIDL에 대한 자세한 정보.  그러나 CSIDL을 사용할 때 고려해야 할 제한 사항이 있습니다.  환경이 둘 이상의 드라이브 문자에 프로그램을 설치할 경우 CSIDL 경로는 기본 설치 위치로 표시된 드라이브만 참조합니다. 예를 들어 OS가 C:\ but the installation path for Microsoft SQL was manually changed to D:\(에 설치된 경우 유지 관리 제외 목록의 CSIDL 기반 제외는 해당 경로에 적용되지 않습니다.  프로세스 제외의 경우 C:\ drive as the use of CSIDL does not map it디렉토리에 없는 모든 프로세스에 대해 하나의 제외를 입력해야 합니다.  

경로 제외

이러한 제외는 가장 자주 사용되며, 애플리케이션 충돌은 일반적으로 디렉토리의 제외와 관련이 있습니다.절대 경로 또는 CSIDL을 사용하여 경로 제외를 생성합니다.

예를 들어, Program Files 디렉토리에서 안티바이러스 애플리케이션을 제외하려면 제외 경로는 다음과 같습니다.

C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory

후행 슬래시가 없으면 Windows 커넥터는 경로에서 부분 일치를 수행하지만 Mac과 Linux는 일치하지 않습니다.

다음 Path exclusions(경로 제외)를 "C:\Program Files" 및 "C:\test"으로 적용하는 경우 예:

C:\Program Files 및 C:\Program Files (x86)은 제외됩니다.

C:\Program Files
C:\Program Files (x86)

C:\test는 C:\test123과 같이 제외됩니다.

C:\test
C:\test123

"C:\test"에서 "C:\test\"로 제외를 변경할 수 있습니다. 이렇게 하면 "C:\test123"이 제외되지 않습니다.

참고: 경로 제외는 재귀적이며 모든 하위 디렉토리도 제외합니다.

파일 확장명

이러한 제외를 사용하면 특정 확장명을 가진 모든 파일을 제외할 수 있습니다.

핵심 사항:

• 커넥터 쪽에 필요한 입력은 .extension입니다.
• 추가된 항목이 없는 경우 대시보드는 파일 확장명에 마침표를 자동으로 추가합니다.
• 확장명은 대소문자를 구분하지 않습니다.

예를 들어 모든 Microsoft Access 데이터베이스 파일을 제외하려면 다음 제외를 만들 수 있습니다.

.MDB

참고: 기본 목록에서 표준 제외를 사용할 수 있습니다. 이 제외를 삭제하지 않는 것이 좋습니다. 이렇게 하면 컴퓨터의 성능이 변경될 수 있습니다.

와일드카드

이러한 제외는 별표(*) 문자 트리거를 와일드카드로 사용하는 경우를 제외하고 경로 또는 확장 제외와 동일합니다.

주의:경로 구분 기호에서 와일드카드 제외가 중지되지 않으므로 의도하지 않은 제외가 발생할 수 있습니다.예: C:*\test는 C:\sample\test 및 C:\1\2\3\4\5\6\test123을 제외합니다.

경고: 별표(*)로 제외를 시작하면 주요 성능 문제가 발생할 수 있으므로 권장하지 않습니다.

예를 들어, MAC의 가상 머신을 스캔할 수 없도록 다음 경로 제외를 입력합니다.

/Users/johndoe/Documents/Virtual Machines/ 

이 제외는 johndoe에서만 작동하며, 여러 사용자 일치를 허용하려면 경로의 사용자 이름을 별표(*)로 대체하여 와일드카드 제외를 지정합니다.

/Users/*/Documents/Virtual Machines/

별도의 드라이브에 있는 경로에 대한 제외를 작성합니다.  

예:C:\testpath 및 D:\testpath은 다음과 같습니다.

^[A-Za-z]\testpath

다음 이미지에 표시된 대로 제외 유형 드롭다운에서 와일드카드를 선택한 후 "모든 드라이브 문자에 적용"이 상자에 선택되면 시스템에서 자동으로 ^A-Za-z]를 생성합니다.

프로세스

Process Exclusions(프로세스 제외)를 사용하면 관리자는 일반 파일 스캔(Secure Endpoint Windows Connector 버전 5.1.1 이상), System Process Protection(Connector 버전 6.0.5 이상) 또는 Malicious Activity Protection(Connector 버전 6.1.5 이상)에서 실행 중인 프로세스를 제외할 수 있습니다.

프로세스 제외는 다음 중 하나에 의해 수행됩니다.프로세스 실행 파일의 전체 경로, 프로세스 실행 파일의 SHA-256 값 또는 경로와 SHA-256 모두 지정합니다. 경로는 직접 경로를 모두 허용하거나 CSIDL 값을 사용합니다.

주의: 제외된 프로세스에 의해 생성된 하위 프로세스는 기본적으로 제외에 포함되지 않습니다.예:MS Word에 대한 프로세스 제외는 기본적으로 Word.exe에서 만든 추가 프로세스를 제외하지 않으며 검사됩니다.추가 프로세스를 포함하려면 하위 프로세스에 적용 확인란을 클릭합니다.  또한 최신 .docx 파일에서 악성코드가 정기적으로 숨겨지므로 Word.exe를 제외하는 것은 바람직하지 않습니다.  

참고: 프로세스를 제외하려면 경로 및 SHA-256을 모두 지정해야 합니다.

제한 사항:

• 프로세스의 파일 크기가 정책에 설정된 최대 스캔 파일 크기보다 큰 경우 프로세스의 SHA-256이 계산되지 않고 제외가 작동하지 않습니다.최대 스캔 파일 크기보다 큰 파일에 대해 경로 기반 프로세스 제외 사용
• 5.x.x 이전 커넥터 버전 - 프로세스 제외를 지원하지 않음
• 커넥터 버전 5.x.x~6.0.3 - 모든 프로세스 제외 유형에 대해 25개 프로세스 제외 제한
• 커넥터 버전 6.0.5+ - 모든 프로세스 제외 유형에 대해 100개 프로세스 제외 제한
• 커넥터는 policy.xml의 프로세스 제외 목록 맨 위에서 제한 범위까지 프로세스 제외만 적용합니다.
• 모든 정책에는 sfc.exe에 대한 프로세스 제외가 있으며, 이는 제한에 따라 계산됩니다

     
     
       3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48| 
     

위협

이러한 제외를 사용하면 특정 위협 이름을 이벤트 트리거에서 제외할 수 있습니다.위협 제외는 스캔 결과가 오탐 탐지를 트리거하고 실제 위협이 아님을 확인한 경우에만 사용해야 합니다. 

위협 제외를 추가하는 텍스트 상자는 대/소문자를 구분하지 않습니다. 예:W32.Zombies.NotAVirus 또는 w32.zombies.notavirus 둘 다 동일한 위협 이름과 일치합니다.

경고: 위협 이름에 대한 조사 및 확인이 오탐으로 간주되지 않는 한 위협을 제외하지 마십시오.제외된 위협은 더 이상 검토 및 감사를 위해 이벤트 탭에 채워지지 않습니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems
• Cisco Secure Endpoint - TechNotes
• Cisco Secure Endpoint - 사용 설명서