보안 엔드포인트: macOS 및 Linux에서 제외 처리

다운로드 옵션

  • PDF     (154.5 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (120.6 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (108.0 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2022년 2월 25일 (금)
문서 ID:214656

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    커넥터 버전 1.11.0부터 Secure Endpoint는 MacOS 및 Linux에서 프로세스 제외를 지원합니다. 과거에는 macOS 또는 Linux 애플리케이션의 활동을 무시하도록 AMP를 구성하려면 Path, File Extension 및/또는 Wildcard 제외 규칙의 조합이 필요합니다. 이러한 규칙은 파일 및 디렉터리를 대상으로 하며 프로그램이나 프로세스와 연결할 수 없으므로 각 프로그램에 여러 규칙이 필요했으며 각 규칙마다 둘 이상의 프로그램에서 불필요하게 활동을 제외할 수 있습니다. Process Exclusions(프로세스 제외)는 애플리케이션의 활동을 보다 직접적이고 정확하게 제외할 수 있는 방법을 제공합니다. 적절하게 사용할 경우 Process Exclusions는 시스템 보안에 미치는 부정적인 영향을 최소화하면서 AMP 성능을 크게 개선할 수 있습니다.

    프로세스 제외 규칙은 보안 엔드포인트 웹 콘솔에서 관리됩니다. 각 규칙은 다음과 같이 구성됩니다.

    • 프로그램 실행 파일의 전체(절대) 경로
    • 프로세스의 사용자 이름(선택 사항) 및
    • 하위 프로세스도 제외할지 여부(기본값: 아니요)

    프로세스 제외 규칙이 실행 중인 프로세스와 일치하면 해당 프로세스에서 수행하는 모든 활동 및 선택적으로 해당 하위 프로세스가 스캔에서 제외됩니다.

    커넥터 버전 1.15.2부터 프로세스 제외 경로에는 와일드카드('*')가 적용됩니다. 와일드카드는 한 파일 또는 디렉터리 수준 내의 모든 문자 집합과 일치합니다.

    중요!

    Mac 및 Linux 커넥터 1.11.0에 프로세스 제외가 추가되면서 기존 경로, 파일 확장자 및 와일드카드 규칙의 해석도 변경됩니다. 1.10.x 및 이전 커넥터의 동작은 변경되지 않습니다. 그러나 1.11.0의 동일한 규칙이 광범위하게 적용되지 않습니다. 자세한 내용은 경로 변경, 파일 확장명 및 와일드카드 제외 규칙 섹션을 참조하십시오.

    프로세스 제외 준비

    macOS 및 Linux 엔드포인트를 업그레이드하기 전에 세 가지 중요한 고려 사항이 있습니다.

    1. 1.10.x 및 이전 커넥터는 프로세스 제외 규칙을 무시합니다.
    2. 1.11.0 및 최신 커넥터는 프로세스 제외 규칙을 준수하지만 경로, 파일 확장자 및 와일드카드 규칙을 이전 커넥터와 다르게 해석합니다. 이로 인해 시스템 성능이 저하될 수 있습니다.
    3. Mac 커넥터 1.10.0 및 Linux 커넥터 1.11.0은 (2)에 설명된 새 해석의 성능 손실을 완화하는 일반적인 실행 중 스캔 최적화를 도입했습니다.

    경로, 파일 확장명 및 와일드카드 제외 규칙에 대한 변경 사항

    1.10.x 및 이전 커넥터 버전에서: 파일, 경로 및 와일드카드 규칙은 대상 파일 또는 디렉토리를 다음 파일 작업에 대한 스캔에서 제외합니다.

    • 만들기
    • 수정
    • 이름 바꾸기
    • 실행

    1.11.0 및 최신 커넥터 버전에서: 경로, 파일 확장명 및 와일드카드 규칙의 해석이 변경되어 일치에서 파일 실행이 제외되는 대신 검사를 트리거합니다. 파일 만들기, 수정 및 이름 바꾸기는 계속 제외됩니다. 이러한 변화의 동기는 다음과 같습니다.

    1. 데이터 파일 디렉터리를 제외할 때 실행 작업이 불필요한 제외되는 것을 방지합니다.
    2. 동일한 경로에서 실행 및 실행 안 함 작업을 독립적으로 제외할 수 있으므로 프로세스 제외 규칙을 더 잘 보완합니다.
    3. Windows의 AMP에 따라 이러한 규칙의 macOS 및 Linux 해석이 맞춰집니다.

    대부분의 경우 AMP의 CPU 사용량 증가는 20% 미만으로 추정됩니다. 경우에 따라 AMP의 CPU 사용량이 감소할 수 있습니다. 이는 새 커넥터 버전의 일반적인 실행 중 스캔 최적화가 사용 중인 제외 규칙보다 더 효과적일 경우 가능합니다.

    커넥터 업그레이드 지침

    제외를 사용하여 이전에 조정한 시스템의 경우, 시스템 성능이 여전히 양호한지 확인하기 위해 1.11.0 이상으로 업그레이드한 후에 주의가 필요합니다. 권장되는 업그레이드 단계는 다음과 같습니다.

    1. 제외를 변경하지 않고 커넥터를 업그레이드하십시오.
    2. 업그레이드 후 시스템 성능을 평가합니다.
    3. 업그레이드 후 시스템 성능이 만족스러우면 데이터 파일 대신 프로그램 실행 파일을 대상으로 하는 경로, 파일 확장명 및 와일드카드 제외 규칙을 제거하십시오. 이러한 규칙은 더 이상 필요하지 않습니다. 그런 다음 새로운 프로세스 제외 규칙을 추가하여 편리하게 성능을 향상시킬 수 있습니다.
    4. 업그레이드 후 시스템 성능이 만족스럽지 않으면 프로그램 실행 파일을 대상으로 하는 경로, 파일 확장명 및 와일드카드 제외 규칙을 해당 프로세스 제외 규칙으로 바꿉니다. 시스템 성능은 업그레이드 전과 같거나 더 우수한 수준으로 개선되어야 합니다.

    커넥터가 단계적으로 업그레이드되는 대규모 구축에서는 모든 커넥터가 1.11.0 이상으로 업그레이드될 때까지 경로, 파일 확장명 및 와일드카드 제외 규칙의 수정 또는 제거를 연기하는 것이 좋습니다. 이렇게 하면 기존 제외 규칙에 의존하는 이전 커넥터가 엔드포인트를 업그레이드하기 전에 부정적인 영향을 받지 않습니다.

    프로세스 제외 규칙 추가

    프로세스 제외 규칙은 보안 엔드포인트 웹 포털을 사용하여 만들 수 있습니다. 절차는 다음과 같습니다.

    1. 수정할 제외 세트를 찾습니다. '제외 추가'를 클릭하고 '프로세스: 파일 스캔.

      File Scan

    2. 제외할 프로그램의 절대 경로, 프로그램을 실행할 사용자 계정(선택 사항) 및 프로그램에서 생성한 모든 하위 프로세스에 제외를 적용할지 여부를 입력합니다.
      Exclusion path

      커넥터 버전 1.15.2부터 경로 내에서 와일드카드(*)를 사용하여 단일 디렉토리에 있는 문자 수를 나타낼 수 있습니다. 필요한 제외를 제공하는 데 필요한 최소 문자 수를 포함하려면 와일드카드를 사용하는 것이 좋습니다. 와일드카드는 디렉토리 내의 문자와 함께 사용하여 제외 범위를 더 좁힐 수도 있습니다.

      Path with wildcard
    3. 추가 규칙(1-2단계 반복)을 추가하려면 '제외 추가'를 클릭하고, 제외 세트를 저장하려면 '저장'을 클릭합니다.

      Add exclusion

    프로세스 제외 모범 사례

    • 시작 프로세스를 제외하지 마십시오. 시작 프로세스(예: macOS에서 'launchd', Linux에서 'init' 또는 'systemd')는 시스템에서 다른 모든 프로세스를 생성하는 작업을 담당하며 프로세스 계층 구조의 맨 위에 있습니다. 시작 프로세스 및 모든 하위 프로세스를 제외하면 AMP 모니터링을 효과적으로 비활성화할 수 있습니다.
    • 가능한 경우 사용자 지정: 사용자 필드를 비워 두면 지정된 프로그램을 실행하는 모든 프로세스에 제외가 적용됩니다. 모든 사용자에게 적용되는 규칙이 더 유연할 수 있지만, 이 광범위한 범위에서는 모니터링해야 하는 활동을 실수로 제외할 수 있습니다. 런타임 엔진(예: 'java') 및 스크립트 인터프리터(예: 'bash', 'python')와 같은 공유 프로그램에 적용되는 규칙에 사용자를 지정하는 것이 특히 중요합니다. User를 지정하면 범위가 제한되고 AMP가 다른 인스턴스를 모니터링하는 동안 특정 인스턴스를 무시하도록 지시합니다.
    • 프로세스 제외와 경로/파일 확장명/와일드카드 규칙 간의 겹치지 않음: 스캔에서 프로그램 실행을 제외할 경우 신뢰할 수 있는 프로그램의 수정 사항을 탐지하고 파일 스캔을 트리거하는 것이 좋습니다. Process Exclusion(프로세스 제외) 규칙에 지정된 경로가 Path/File Extension/Wildcard(경로/파일 확장명/와일드카드) 규칙에 포함되지 않도록 하면 파일 수정이 스캔에서 의도치 않게 제외되지 않습니다. 
    • 규칙 수 최소화: Mac 및 Linux 커넥터는 최대 프로세스 제외 규칙 수를 부과하지 않지만, 더 많은 규칙이 추가 평가 오버헤드를 초래할 수 있습니다. 제외할 애플리케이션을 고유하게 식별하는 최상위 레벨 상위 프로세스를 선택하고 하위 프로세스에 적용 옵션을 사용하여 규칙 수를 최소화합니다.     

    Windows 구현과 차이점

    프로세스 제외 지원을 추가하고 경로, 파일 확장명 및 와일드카드 규칙의 범위를 줄이면 Windows와 더 긴밀하게 연계하여 macOS 및 Linux 제외를 가져옵니다. 그러나 여전히 중요한 구현 차이점이 있습니다.

    1. macOS 및 Linux Process Exclusion 규칙은 선택적 사용자 이름을 사용하여 프로세스 실행 파일의 전체 경로를 따르지만 Windows에서는 선택적 SHA-256 해시 값을 허용합니다. SHA-256 해시 값으로 프로세스를 제외하는 것은 현재 macOS 및 Linux에서 지원되지 않습니다.
    2. Malicious Activity 및 System Process 엔진은 Windows 전용이므로 이러한 제외 유형은 macOS 및 Linux에서 사용할 수 없습니다.

    개정 이력

    개정 게시 날짜 의견
    2.0
    25-Feb-2022
    커넥터 리브랜드
    1.0
    19-Jul-2019
    최초 릴리스

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품