보안 엔드포인트에서 오탐 파일 분석 이벤트 트러블슈팅

다운로드 옵션

PDF (904.4 KB)
다양한 디바이스에서 Adobe Reader로 보기

업데이트:2026년 3월 26일

문서 ID:215993

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco Secure Endpoint에서 오탐 파일 분석을 수집하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

Secure Endpoint Console 대시보드에 대한 지식이 있는 것이 좋습니다.

사용되는 구성 요소

이 문서의 정보는 Secure Endpoint 버전 8.x.x 이상을 기반으로 합니다.

참고: 관리자 권한이 있는 계정이 필요합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

보안 엔드포인트는 특정 파일/프로세스/스크립트/SHA(Secure Hash Algorithm) 256에 대해 과도한 알림을 생성할 수 있습니다. 네트워크에서 오탐이 의심되는 경우 Cisco TAC에 문의하면 진단 팀이 더욱 심층적인 파일 분석을 수행합니다. Cisco TAC에 문의할 경우 다음 정보를 제공해야 합니다.

· 파일 SHA 256 해시
· 파일 샘플 사본
· Secure Endpoint Console에서 알림 이벤트 캡처

· Secure Endpoint Console에서 캡처한 JSON 이벤트 세부 정보
· 파일에 대한 정보(파일의 출처 및 해당 파일이 환경에 있어야 하는 이유)
· 파일/프로세스가 오탐일 수 있다고 생각하는 이유 설명

Cisco는 Secure Endpoint 기술에 대한 위협 인텔리전스를 개선하고 확장하기 위해 항상 노력하고 있지만, Secure Endpoint 솔루션이 알림을 잘못 트리거하는 경우 환경에 더 이상의 영향을 주지 않도록 몇 가지 조치를 취할 수 있습니다. 이 문서에서는 오탐(False Positive) 문제와 관련하여 Cisco TAC에 케이스를 접수하기 위해 필요한 모든 세부 정보를 얻을 수 있는 지침을 제공합니다. 진단 팀 파일 분석에 따라 파일 속성을 변경하여 Secure Endpoint Console에서 트리거되는 알림 이벤트를 중지하거나 Cisco TAC에서 사용자 환경에서 문제 없이 파일/프로세스를 실행할 수 있도록 적절한 해결 방법을 제공할 수 있습니다.

보안 엔드포인트에서 오탐 파일 분석 트러블슈팅

이 섹션에서는 Cisco TAC에서 오탐(False Positive) 티켓을 여는 데 필요한 모든 세부 정보를 얻는 데 사용할 수 있는 정보를 제공합니다.

1. 파일 SHA 256 해시

1단계. SHA 256 해시를 가져오려면 Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동합니다.

2단계. Alert(경고)andEvent(이벤트)를 선택하고이미지에 표시된 대로 SHA256을 클릭하고 Copy(복사)를 선택합니다.

Event SHA256 Copy Value

2. 파일 샘플 사본

1단계. Secure Endpoint Console(보안 엔드포인트 콘솔)에서 파일 샘플을 가져온 다음 Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동할 수 있습니다.

2단계. Alert Event(경고 이벤트)를 선택하고 SHA256을 클릭한 다음 이미지에 표시된 대로 File Fetch(파일 가져오기) > Fetch File(파일 가져오기)로 이동합니다.

Fetch File Menu

3단계. 파일이 탐지된 디바이스를 선택하고 이미지에 표시된 대로 Fetch(가져오기)를 클릭합니다.

Fetch File Pop-up

참고: 샘플 파일을 성공적으로 가져오려면 장치를 켜야 합니다.

4단계. 이미지에 표시된 대로 알림을 수신합니다.

Request Fetch

몇 분 후에 그림과 같이 파일을 다운로드할 수 있을 때 이메일 알림을 받게 됩니다.

5단계. Secure Endpoint Console(보안 엔드포인트 콘솔) > Analysis(분석) > File Repository(파일 저장소)로 이동하고 이미지에 표시된 대로 Download(다운로드)를 선택합니다.

File Repository List

6단계. 알림 상자가 나타나고 이미지에 표시된 것처럼 Download(다운로드)를 클릭하면 파일이 ZIP 파일로 다운로드됩니다.

Download Notification

3. Secure Endpoint Console에서 경고 이벤트 캡처

1단계. Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동합니다.

2단계. Alert Event(경고 이벤트)를 선택하고 이미지에 표시된 대로 캡처를 수행합니다.

Event Details

4. Secure Endpoint Console의 JSON 이벤트 세부 정보

1단계. Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동합니다.

2단계. Alert Event(경고 이벤트)를 선택하고 이미지에 표시된 대로 JSON 옵션 옆의 View(보기)를 클릭합니다.

Event Details

이미지에 표시된 대로 JSON 세부 정보를 엽니다. 콘텐츠를 저장하려면 Download(다운로드)를 클릭합니다.

JSON Content

5. 파일 정보

파일의 출처 정보.
웹 사이트에서 가져온 파일인 경우 웹 URL을 공유합니다.
약간의 파일 설명을 공유하고 파일 기능에 대해 설명합니다.

6. 설명

파일 프로세스가 오탐일 수 있다고 믿는 이유는 무엇입니까?
파일을 신뢰하는 이유를 공유합니다.

정보 제공

모든 세부 정보를 수집했으면 요청된 모든 정보를 https://mycase.cloudapps.cisco.com/case에 업로드합니다.
SR(Service Request) 번호를 참조해야 합니다.

개정 이력

개정	게시 날짜	의견
3.0	26-Mar-2026	버전 8.x.x
1.0	02-Sep-2020	최초 릴리스

Cisco 엔지니어가 작성

Cisco 엔지니어
Cisco TAC 엔지니어