HIPS - 호스트 기반 침입 방지 시스템)
HIPS 설정은 숙련된 사용자만 변경해야 합니다. HIPS 설정을 잘못 구성하면 시스템이 불안정해질 수 있습니다. |
HIPS(호스트 기반 침입 방지 시스템)는 컴퓨터에 부정적인 영향을 주려고 시도하는 맬웨어 또는 원치 않는 활동으로부터 시스템을 보호합니다. HIPS는 네트워크 필터링의 검출 기능과 고급 동작 분석 기능을 함께 사용하여 실행 중인 프로세스, 파일 및 레지스트리 키를 모니터링합니다. HIPS는 실시간 파일 시스템 보호와는 별도로 작동하며 방화벽이 아닙니다.
고급 설정 > 탐지 엔진 > HIPS > HIPS에서 HIPS 설정을 구성할 수 있습니다. HIPS 상태(활성화됨/비활성화됨)는 ESET Endpoint Antivirus 기본 프로그램 창 > 설정 > 컴퓨터에 표시됩니다.
HIPS(호스트 침입 방지 시스템)
HIPS 활성화 – HIPS는 ESET Endpoint Antivirus에서 기본적으로 활성화되어 있습니다. HIPS를 끄면 Exploit 차단 같은 나머지 HIPS 기능이 비활성화됩니다.
자기 방어 활성화 – ESET Endpoint Antivirus에는 HIPS의 일부로 악의적인 소프트웨어가 안티바이러스 및 안티스파이웨어 보호를 손상시키거나 비활성화하지 못하게 하는 자기 방어 기술이 내장되어 있습니다. 자기 방어는 중요한 시스템과 ESET의 프로세스, 레지스트리 키 및 파일이 조작되지 않도록 보호해 줍니다. 설치하는 경우 ESET Management Agent도 보호됩니다.
보호 서비스 활성화 – ESET 서비스(ekrn.exe)에 대한 보호를 활성화합니다. 활성화하면 서비스가 악성코드의 공격을 방어하기 위한 보호 Windows 프로세스로 시작됩니다. 이 옵션은 Windows 8.1 및 Windows 10에서 사용할 수 있습니다.
고급 메모리 검사기 활성화 - Exploit 차단과 함께 작동하여 난독화 또는 암호화를 사용한 맬웨어 방지 제품의 검색을 피하도록 설계된 맬웨어로부터 보호하는 기능을 강화합니다. 고급 메모리 검사기는 기본적으로 활성화되어 있습니다. 이러한 유형의 보호에 대한 자세한 내용은 용어집을 참조하십시오.
Exploit 차단 - 웹 브라우저, PDF 리더, 이메일 클라이언트 및 MS Office 구성 요소와 같은 일반적으로 악용되는 애플리케이션 유형을 강화하도록 설계되었습니다. Exploit 차단은 기본적으로 활성화되어 있습니다. 이러한 유형의 보호에 대한 자세한 내용은 용어집을 참조하십시오.
심층 행위 검사
깊은 동작 검사 활성화 - HIPS 기능의 일부로 작동하는 추가적인 보호 기능입니다. 이 HIPS 확장 기능은 컴퓨터에서 실행 중인 모든 프로그램의 동작을 분석하고 프로세스의 동작이 악의적인 경우 경고를 표시합니다.
깊은 동작 검사에서 HIPS 제외에서는 프로세스를 분석에서 제외할 수 있습니다. 모든 프로세스에서 가능한 위협이 있는지 검사하려면 반드시 필요한 항목만 제외로 생성하는 것이 좋습니다.
랜섬웨어 쉴드
랜섬웨어 보호 활성화 – HIPS 기능의 일부로 작동하는 추가적인 보호 레이어입니다. 랜섬웨어 보호 기능이 작동하려면 ESET LiveGrid® 평판 시스템이 활성화되어 있어야 합니다. 이러한 유형의 보호에 대한 자세한 내용을 참조하십시오.
Intel® Threat Detection Technology 활성화 – 고유한 Intel CPU 원격 측정을 활용하여 탐지 효율성을 높이고, 오탐지 경고를 낮추며, 가시성을 확장하여 고급 회피 기술을 포착함으로써 랜섬웨어 공격을 탐지하는 데 도움이 됩니다. 지원되는 프로세서를 참조하십시오.
감사 모드 활성화 – 랜섬웨어 보호에서 탐지된 모든 항목이 자동으로 차단되지는 않지만, 보호 심각도를 포함하여 기록되고 "감사 모드" 플래그와 함께 관리 콘솔로 전송됩니다. 관리자는 향후 탐지되지 않도록 해당 탐지를 제외할 것인지, 아니면 활성 상태를 유지할 것인지 결정할 수 있습니다. 이는 곧 감사 모드가 종료되면 해당 항목이 차단 및 제거된다는 뜻입니다. 감사 모드를 활성화/비활성화하면 ESET Endpoint Antivirus에도 기록됩니다. 이 옵션은 ESET PROTECT 정책 구성 편집에서만 사용할 수 있습니다.
HIPS 설정
필터링 모드는 다음 모드 중 하나로 수행할 수 있습니다.
설명 |
|
---|---|
자동 모드 |
시스템을 보호하는 미리 정의된 규칙에 의해 차단된 규칙을 제외한 작업이 활성화됩니다. |
스마트 모드 |
매우 의심스러운 이벤트에 한해 사용자에게 알림을 표시합니다. |
대화 모드 |
작업을 확인하라는 메시지가 표시됩니다. |
정책 기반 모드 |
작업을 허용하는 특정 규칙에 의해 정의되지 않은 모든 작업을 차단합니다. |
학습 모드 |
작업이 활성화되고 각 작업 후 규칙이 생성됩니다. 이 모드에서 생성된 규칙은 HIPS 규칙 편집기에서 볼 수 있지만, 해당 우선 순위는 수동으로 생성한 규칙이나 자동 모드에서 생성한 규칙의 우선 순위보다 낮습니다. 필터링 모드 드롭다운 메뉴에서 학습 모드를 선택하면 학습 모드 종료 설정을 사용할 수 있게 됩니다. 학습 모드를 사용할 시간 범위를 선택합니다. 최대 기간은 14일입니다. 지정된 기간이 경과하면 HIPS에서 생성한 규칙을 편집하라는 메시지가 표시됩니다(학습 모드 상태임). 또한 다른 필터링 모드를 선택하거나, 결정을 미루고 학습 모드를 계속 사용할 수 있습니다. |
학습 모드 만료 후에 설정된 모드 - 학습 모드 만료 후에 사용할 필터링 모드를 선택합니다. 만료 후 사용자에게 요청 옵션을 사용하려면 HIPS 필터링 모드를 변경할 수 있는 관리자 권한이 필요합니다.
HIPS 시스템은 운영 체제 내의 이벤트를 모니터링하고 규칙(방화벽에서 사용된 규칙과 유사)에 따라 적절하게 반응합니다. 규칙 옆의 편집을 클릭하여 HIPS 규칙 편집을 엽니다. HIPS 규칙 창에서 규칙을 선택, 추가, 편집하거나 제거할 수 있습니다. 규칙 생성과 HIPS 작업에 대한 자세한 내용은 HIPS 규칙 편집에서 확인할 수 있습니다.