소개
이 문서에서는 보안 엔드포인트에서 제외를 찾아 생성하는 모범 사례에 대해 설명합니다.
기고자: Caly Hess, Mathew Huynh 및 Matthew Franks, Cisco 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- 보안 엔드포인트 포털 액세스
- 관리자 권한이 있는 계정
- 고객 환경에 대한 실무 지식
사용되는 구성 요소
이 문서의 정보는 Windows, Linux 및 MacOS 운영 체제를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
제외 항목을 이해하는 방법
제외 세트는 Secure Endpoint Connector에서 검사하거나 확인하지 않을 디렉터리, 파일 확장명 또는 위협 이름의 목록입니다. 제외는 Secure Endpoint와 같은 엔드포인트 보호가 활성화된 경우 시스템에서 성능과 보안의 균형을 유지하기 위해 필요합니다. 이 문서에서는 Secure Endpoint Cloud, TETRA, SPP 및 MAP의 제외 사항에 대해 설명합니다.
모든 환경은 고유하며, 이를 제어하는 엔티티는 엄격한 정책부터 개방형 정책에 이르기까지 다양하며, 후자는 허니팟으로 분류됩니다. 이러한 제외가 정의됨에 따라 각 상황에 고유하게 맞춰져야 합니다.
다른 제외는 명백한 제외와 불명확한 제외라는 두 가지 방법으로 분류될 수 있다.
명백한 제외
명백한 예외 사항은 일반적으로 사용되는 운영 체제, 프로그램 및 기타 보안 소프트웨어에 대한 연구 및 테스트를 기반으로 생성된 제외입니다. 이러한 제외는 콘솔의 Cisco 유지 제외 목록에서 확인할 수 있습니다.
참고: 다른 AV(Anti-Virus) 벤더에게 연락하여 권장 제외 항목을 추가하도록 요청하는 것이 좋습니다. 이렇게 하면 보안 엔드포인트와 AV가 동시에 작동하여 성능 영향을 최소화합니다.
불명확한 제외
성능 문제 지표가 있는 컴퓨터를 식별하여 이 중복 정책을 사용하려면 비즈니스 보안 문제와 중단을 방지하기 위해 중복 정책을 생성하여 그룹으로 분리하는 것이 좋습니다.
주의: 대시보드에서 컨피그레이션을 변경하려면 커넥터가 정책을 동기화할 수 있는 시간이 필요합니다. 하트비트 업데이트를 허용하거나 커넥터에서 정책을 수동으로 동기화하십시오.
정책 생성
- 보안 엔드포인트 콘솔 > 관리 탭 > 정책
- + New Policy...(새 정책...)를 클릭합니다.
- 운영 체제의 드롭다운 메뉴에서 선택합니다.
- 이 정책과 설명을 구분할 수 있도록 의미 있는 이름을 제공합니다(선택 사항).
- 요구 사항에 맞는 정책 작업을 선택합니다. 지금은 기본 제외를 사용합니다.
- 중요 Advanced Settings(고급 설정) > Administrative Features(관리 기능)에서 Connector log level(커넥터 로그 레벨)을 Debug(디버그)로 설정합니다.
- Save(저장)를 클릭하여 정책 생성을 완료합니다.
그룹 생성
- Secure Endpoint Console(보안 엔드포인트 콘솔) > Management(관리) 탭 > Groups(그룹)
- Create Group(그룹 생성)을 클릭합니다.
- 이 그룹과 설명을 구분할 수 있도록 의미 있는 이름을 제공합니다(선택 사항).
- 생성한 중복 정책을 선택합니다.
- Save(저장)를 클릭하여 그룹 생성을 완료합니다.
제외 항목을 식별하는 방법
중복 정책 및 그룹 생성 후 커넥터의 디버그 로그 레벨과 함께 정상적인 비즈니스 작업에 따라 컴퓨터를 실행합니다. 프로그램 및 프로세스에 액세스하는 동안 충분한 커넥터 로그 데이터를 확보하고 지원 진단 번들을 생성하여 제외를 검토하고 식별합니다.
사용 가능한 여러 운영 체제에 대한 진단 번들을 생성하기 위한 설명서:
MacOS 또는 Linux
압축된 디버그 진단 번들을 추출합니다. 파일 fileops.txt 는 파일이 파일 검사를 수행하기 위해 보안 엔드포인트를 트리거한 작업을 생성, 수정 및 이름 바꾸는 경로를 나열합니다. 각 경로에는 스캔한 횟수를 나타내는 연결된 카운트가 있으며 목록은 내림차순으로 정렬됩니다. 카운트가 높다고 해서 경로를 반드시 제외해야 하는 것은 아니지만(예: 전자 메일을 저장하는 디렉토리를 자주 스캔할 수 있지만 제외해서는 안 됨), 목록은 제외 후보를 식별하기 위한 시작점을 제공합니다.
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
윈도우
Windows 운영 체제는 상위 및 하위 프로세스로 인해 더 복잡하고 더 많은 제외 옵션을 사용할 수 있습니다. 이는 액세스한 파일을 식별하려면 더 심층적인 검토가 필요하지만 파일을 생성한 프로그램도 확인해야 함을 나타냅니다. Cisco Security의 GitHub 페이지에서 이 Windows 조정 도구를 참조하여 보안 엔드포인트로 Windows 성능을 분석하고 최적화하는 방법에 대한 자세한 내용을 확인하십시오.
제외 항목 생성 방법
이 섹션에서는 사용자 환경에 대한 제외 항목을 작성하는 모범 사례를 다룹니다.
주의: 컴퓨터에 보안 취약성을 방지하려면 제외를 작성하기 전에 항상 파일과 프로세스를 이해해야 합니다.
참고: 사용 설명서에서 제공되는 추가 세부 정보는 여기 3장을 참조하십시오. 이 장에서는 보안 엔드포인트 포털의 제외, 구현 및 탐색 유형에 대해 설명합니다.
CSIDL 경로 및 프로세스
CSIDL은 제외 항목을 작성하는 데 허용되고 권장되는 방법입니다. CSIDL은 대체 드라이브 문자를 사용하는 환경에서 승인될 수 있는 프로세스 제외를 허용하며, 해당 경로가 사용자에 특정할 경우 와일드카드가 필요하지 않을 수 있습니다(프로세스 제외에서는 와일드카드를 허용하지 않기 때문). CSIDL에 대한 자세한 정보. 그러나 CSIDL을 사용할 때 고려해야 할 제한점이 있습니다. 사용자 환경에서 둘 이상의 드라이브 문자에 프로그램을 설치하는 경우 CSIDL 경로는 기본 설치 위치로 표시된 드라이브만 참조합니다. 예를 들어 OS가 C:\에 설치되었지만 Microsoft SQL의 설치 경로가 D:\으로 수동으로 변경된 경우 유지 관리 제외 목록의 CSIDL 기반 제외는 해당 경로에 적용되지 않습니다. 프로세스 제외의 경우 CSIDL을 사용해도 매핑되지 않으므로 C:\ 드라이브에 없는 모든 프로세스에 대해 하나의 제외를 입력해야 합니다.
경로 제외
이러한 제외는 가장 자주 사용되는 애플리케이션 충돌로, 일반적으로 디렉토리의 제외와 관련이 있습니다. 절대 경로 또는 CSIDL을 사용하여 경로 제외를 생성합니다.
예를 들어 Program Files 디렉토리에서 안티바이러스 애플리케이션을 제외하려면 제외 경로는 다음 중 하나가 됩니다.
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
뒤에 슬래시가 없으면 Windows 커넥터는 패스에서 부분 일치를 수행하는 반면 Mac 및 Linux는 일치하지 않습니다.
예: 다음 경로 제외 "C:\Program Files" 및 "C:\test"를 적용하는 경우
C:\Program 파일 및 C:\Program 파일(x86)은 제외됩니다.
C:\Program Files
C:\Program Files (x86)
C:\test는 제외됩니다(예: C:\test123).
C:\test
C:\test123
"C:\test"에서 "C:\test\"으로 제외를 변경할 수 있습니다. 그러면 "C:\test123"이 제외되지 않습니다.
참고: 경로 제외는 재귀적이며 모든 하위 디렉토리도 제외합니다.
파일 확장명
이러한 제외를 통해 특정 확장자의 모든 파일을 제외할 수 있습니다.
요점:
- 커넥터 쪽에 필요한 입력은 확장입니다.
- 추가된 항목이 없으면 대시보드에서 자동으로 파일 확장명에 마침표를 추가합니다.
- 내선 번호는 대/소문자를 구분하지 않습니다.
예를 들어, 모든 Microsoft Access 데이터베이스 파일을 제외하려면 다음 제외를 만들 수 있습니다.
.MDB
참고: 기본 목록에서 표준 제외를 사용할 수 있습니다. 이러한 제외를 삭제하지 않는 것이 좋습니다. 이렇게 하면 컴퓨터에서 성능이 변경될 수 있습니다.
와일드카드
이러한 제외는 별표(*) 문자 트리거를 와일드카드로 사용하는 것을 제외하고 경로 또는 확장 제외와 동일합니다.
주의: 와일드카드 제외는 경로 구분자에서 중지되지 않으므로 의도하지 않은 제외가 발생할 수 있습니다. 예: C:\*\test는 C:\sample\test 및 C:\1\2\3\4\5\6\test123을 제외합니다.
경고: 별표(*)로 제외를 시작하면 성능이 저하될 수 있습니다. 7.5.3 이상의 경우 Wildcard Process Exclusions가 추가되어 별표-선행 제외가 있는 성능 문제가 추가로 발생했습니다. CPU 영향을 완화하려면 이 형식의 모든 제외를 제거하거나 변경하십시오.
예를 들어 MAC의 가상 머신을 검사에서 제외하려면 다음 경로 제외를 입력합니다.
/Users/johndoe/Documents/Virtual Machines/
이 제외는 johndoe에만 적용되며, 여러 사용자 일치를 허용하려면 경로의 사용자 이름을 와일드카드 제외로 별표(*)로 바꿉니다.
/Users/*/Documents/Virtual Machines/
별도의 드라이브에 있는 경로에 대해 제외를 작성합니다.
예: C:\testpath 및 D:\testpath는 다음과 같습니다.
^[A-Za-z]\testpath
그림과 같이 Exclusion Type(제외 유형) 드롭다운에서 와일드카드를 선택한 후 "Apply to all drive letters(모든 드라이브 문자에 적용)"가 체크 박스로 표시되면 ^[A-Za-z]가 자동으로 생성됩니다.

프로세스
Process Exclusions(프로세스 제외)를 사용하면 관리자가 실행 중인 프로세스를 일반 파일 검사(Secure Endpoint Windows Connector 버전 5.1.1 이상), System Process Protection(Connector 버전 6.0.5 이상) 또는 Malicious Activity Protection(Connector 버전 6.1.5 이상)에서 제외할 수 있습니다.
프로세스 제외는 다음 중 하나를 통해 수행됩니다. 프로세스 실행 파일의 전체 경로, 프로세스 실행 파일의 SHA-256 값 또는 경로와 SHA-256 모두를 지정합니다. 경로는 직접 경로를 모두 허용하거나 CSIDL 값을 사용합니다.
주의: 제외된 프로세스에 의해 생성된 하위 프로세스는 기본적으로 제외에 포함되지 않습니다. 예: MS Word의 프로세스 제외는 기본적으로 Word.exe에서 만든 추가 프로세스를 제외하지 않으며 검사됩니다. 추가 프로세스를 포함하려면 하위 프로세스에 적용 확인란을 클릭합니다. 또한 Word.exe를 제외하면 최신 .docx 파일에서 정기적으로 숨기는 악성코드로 간주되지 않습니다.
참고: 프로세스를 제외하려면 Path 및 SHA-256을 모두 지정해야 합니다.
제한 사항:
- 프로세스의 파일 크기가 정책에 설정된 최대 스캔 파일 크기보다 큰 경우 프로세스의 SHA-256이 계산되지 않으며 제외가 작동하지 않습니다. 최대 스캔 파일 크기보다 큰 파일에 대해 경로 기반 프로세스 제외 사용
- 커넥터 버전 5.x.x~6.0.3 - 모든 프로세스 제외 유형에서 25개 프로세스 제외 제한
- 커넥터 버전 6.0.5+ - 모든 프로세스 제외 유형에 대해 100개의 프로세스 제외로 제한됩니다.
- 커넥터 버전 7.x.+ - 모든 프로세스 제외 유형에 대해 500개 프로세스 제외로 제한됩니다.
- 커넥터는 policy.xml의 process exclusions 목록의 맨 위에 있는 한도까지만 프로세스 제외를 적용합니다
- 모든 정책에는 sfc.exe에 대한 프로세스 제외가 있으며, 이는 제한에 해당합니다
-
3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|
위협
이러한 제외를 통해 특정 위협 이름을 이벤트 트리거에서 제외할 수 있습니다. 위협 제외는 스캔 결과가 오탐 탐지를 트리거하고 실제 위협이 아닌 것으로 확인된 경우에만 사용해야 합니다.
위협 제외를 추가하는 텍스트 상자는 대/소문자를 구분하지 않습니다. 예: W32.Zombies.NotAVirus 또는 w32.zombies.notavirus 모두 동일한 위협 이름과 일치합니다.
경고: 위협 이름에 대한 조사 및 확인이 오탐으로 간주되지 않는 한 위협을 제외하지 마십시오. 제외된 위협은 더 이상 검토 및 감사를 위해 이벤트 탭에 입력되지 않습니다.
프로세스 와일드카드
윈도우
엔드포인트 7.5.3+에서는 프로세스 제외 내에서 와일드카드 기능을 사용하여 추가 제외를 허용합니다. 이것은 더 적은 제외로 더 넓은 범위를 허용하지만 너무 많은 것이 정의되지 않은 채로 남아있는 경우 위험할 수 있다. 와일드카드는 필요한 제외를 제공하는 데 필요한 최소 문자 수만 포함해야 합니다.
Windows용 프로세스 와일드카드에 (*) 사용:
- (*) 단일 문자 또는 전체 디렉터리 대신 사용할 수 있습니다. 경로의 시작 부분에 배치할 수 없으므로 무효로 판정됩니다. 와일드카드는 두 개의 정의된 문자(슬래시 또는 영숫자) 사이에서 작동합니다. 경로의 끝에 배치하면 해당 디렉토리의 프로세스는 제외되지만 하위 디렉토리는 제외되지 않습니다.
- (**) 경로의 끝에서 해당 디렉터리의 모든 프로세스와 하위 디렉터리의 프로세스를 제외하는 데 사용할 수 있습니다. 이렇게 하면 최소한의 입력으로 훨씬 더 큰 제외 세트를 사용할 수 있지만, 가시성을 위해 매우 큰 보안 구멍을 남깁니다. 이 기능은 매우 신중하게 사용하십시오.
예:
C:\Windows\*\Tiworker.exe - Excludes all Tiworker.exe found in the subfolders of 'Windows'
C:\Windows\P*t.exe - Excludes Pot.exe, Pat.exe, P1t.exe Etc.
C:\Windows\*chickens.exe - Excludes all Processes in 'Windows' folder ending in chickens.exe
C:\* - Excludes all Processes in the C: drive in the top layer of folders but not the subfolders.
C:\** - Excludes every Process on the C: drive.
MacOS 및 Linux
엔드포인트 1.15.2+에서는 프로세스 제외 내에서 와일드카드 기능을 사용하여 추가 제외를 허용합니다. 이것은 더 적은 제외로 더 넓은 범위를 허용하지만 너무 많은 것이 정의되지 않은 채로 남아있는 경우 위험할 수 있다. 와일드카드는 필요한 제외를 제공하는 데 필요한 최소 문자 수만 포함해야 합니다.
Mac용 프로세스 와일드카드에 (*) 사용:
- (*) 단일 문자 또는 전체 디렉터리 대신 사용할 수 있습니다. 경로의 시작 부분에 배치할 수 없으므로 무효로 판정됩니다. 와일드카드는 두 개의 정의된 문자(슬래시 또는 영숫자) 사이에서 작동합니다.
예:
/Library/Java/JavaVirtualMachines/*/java - Excludes Java within all subfolders of JavaVirtualMachines
/Library/Jibber/j*bber - Excludes the Process for jabber, jibber, jobber, etc.
익스플로잇 방지 제외(애플리케이션)
윈도우
Secure Endpoint 7.5.1+는 Exploit Prevention Engine의 V5를 사용하며, 이제 콘솔에서 현재 제외 목록 기능 내에서 애플리케이션 제외를 구성할 수 있습니다. 이 작업은 현재 응용 프로그램으로만 제한되어 있으며 DLL과 관련된 모든 제외 작업은 지원 케이스를 열어 수행해야 합니다.
익스플로잇 방지에 대한 올바른 제외 항목을 찾는 것은 다른 제외 유형보다 훨씬 더 집중적인 프로세스이며, 보안 문제를 최소화하기 위해 광범위한 테스트가 필요합니다.
관련 정보