탐지 엔진

탐지 엔진은 파일, 이메일 및 인터넷 통신을 제어하여 악의적인 시스템 공격으로부터 보호합니다. 예를 들어 악성코드로 분류된 개체가 탐지되면 수정이 시작됩니다. 탐지 엔진은 먼저 해당 개체를 차단한 다음, 치료하거나, 삭제하거나, 검역소로 이동하여 제거할 수 있습니다.

탐지 엔진 설정을 자세히 구성하려면 고급 설정을 클릭하거나 F5 키를 누릅니다.

이 섹션의 내용:

실시간 및 머신 러닝 보호 범주

악성코드 검사

보고 설정

보호 설정

모범 사례


note

버전 7.2부터 탐지 엔진 섹션에 버전 7.1 이하에서와 같은, ON/OFF 스위치가 더 이상 제공되지 않습니다. ON/OFF 버튼은 4개의 한계인 공격적, 균형 잡힘, 조심스러움 및 끄기로 바뀌었습니다.


 

실시간 및 머신 러닝 보호 범주

모든 보호 모듈(예: 실시간 파일 시스템 보호, 웹 브라우저 보호 등)에 대한 실시간 및 머신 러닝 보호를 사용하여 다음 범주의 보고 및 보호 수준을 구성할 수 있습니다.

악성코드 – 컴퓨터 바이러스는 컴퓨터에 있는 기존 파일 앞뒤에 붙는 악성 코드의 일종입니다. 그러나 "바이러스"라는 용어는 잘못 사용되는 경우가 많습니다. "악성코드"(악의적인 소프트웨어)가 더 정확한 용어입니다. 악성코드 탐지는 머신 러닝 구성 요소와 결합된 탐지 엔진 모듈에서 수행됩니다.
이러한 애플리케이션 유형에 대한 자세한 내용은 용어집을 참조하십시오.

사용자가 원치 않는 애플리케이션 - 그레이웨어 또는 사용자가 원치 않는 애플리케이션(PUA)은 광범위한 소프트웨어 범주로, 바이러스나 트로이목마 등의 다른 악성코드 유형과 같이 명백하게 악의적이지는 않습니다. 그러나 원치 않는 추가 소프트웨어를 설치하거나, 디지털 장치의 동작을 변경하거나, 사용자가 승인 또는 예상하지 않은 활동을 수행할 수 있습니다.
이러한 애플리케이션 유형에 대한 자세한 내용은 용어집을 참조하십시오.

잠재적으로 안전하지 않은 애플리케이션 –악의적으로 잘못 사용될 수 있는 적법한 상용 소프트웨어를 나타냅니다. 잠재적으로 안전하지 않은 애플리케이션(PUA)에는 원격 접근 도구, 패스워드 크랙 애플리케이션, 키로거(사용자가 입력하는 각 키 입력을 기록하는 프로그램)등이 포함됩니다.
이러한 애플리케이션 유형에 대한 자세한 내용은 용어집을 참조하십시오.

감염 의심 응용 프로그램에는 패커 또는 보호기로 압축된 프로그램이 포함됩니다. 이러한 유형의 보호기는 맬웨어에서 검출을 회피하기 위해 악용되는 경우가 많습니다.

CONFIG_SCANNER


note

고급 머신 러닝이 이제 머신 러닝에 기반을 두고 탐지 성능을 개선하는 고급 보호 계층으로 탐지 엔진에 포함되어 있습니다. 이 보호 유형에 대한 자세한 내용은 용어집을 읽어 보십시오.


 

악성코드 검사

검사기 설정은 실시간 검사기 및 수동 검사기와는 별도로 구성할 수 있습니다. 기본적으로 실시간 보호 설정 사용은 활성화됩니다. 활성화되면 관련 수동 검사 설정이 실시간 및 머신 러닝 보호 섹션에서 상속됩니다.


 

보고 설정

탐지가 발생하면(예: 위협이 발견된 후 악성코드로 분류됨), 정보가 탐지 로그에 기록되고 바탕 화면 알림이 발생합니다(ESET Endpoint Security에서 구성된 경우).

각 범주에 대해 다음과 같은 보고 한계("범주"라고도 함)가 구성됩니다.

1.악성코드

2.사용자가 원치 않는 애플리케이션

3.잠재적으로 안전하지 않음

4.감염 의심 응용 프로그램

머신 러닝 구성 요소를 포함하여 탐지 엔진으로 수행되는 보고 작업입니다. 보호 한계를 현재 보호 한계보다 더 높게 설정할 수 있습니다. 이러한 보고 설정은 개체차단, 치료 또는 삭제에 영향을 주지 않습니다.

범주 보고의 한계(또는 수준)를 수정하기 전에 다음 내용을 읽어보십시오.

한계

설명

공격적

최대 민감도로 구성된 범주 보고입니다. 자세한 탐지 사항이 보고됩니다. 공격적 설정에서는 개체를 범주로 잘못 식별할 수 있습니다.

균형 잡힘

균형 잡힘으로 구성된 범주 보고입니다. 이 설정은 성능과 탐지율의 정확도 및 잘못 보고된 개체의 수가 균형을 이루도록 하는 데 최적화되어 있습니다.

조심스러움

충분한 보호 수준을 유지하면서 잘못 식별된 개체를 최소화하도록 구성된 범주 보고입니다. 개체는 가능성이 분명히 있고 범주의 동작과 일치하는 경우에만 보고됩니다.

끄기

범주에 대한 보고가 활성화되어 있지 않으며 이 유형의 탐지를 찾거나, 보고하거나, 치료하지 않습니다. 그 결과 이 설정은 이 탐지 유형에서 보호를 비활성화합니다.
끄기는 악성코드 보고에는 사용할 수 없으며 잠재적으로 안전하지 않은 애플리케이션에 대한 기본값입니다.

hmtoggle_plus0 ESET Endpoint Security 보호 모듈의 가용성

hmtoggle_plus0 제품 버전, 프로그램 모듈 버전 및 빌드 날짜 확인

기본 방침

환경에 적절한 한계를 설정할 때의 몇 가지 기본 방침은 다음과 같습니다.

균형 잡힘 한계는 대부분의 설정에 권장됩니다.

조심스러움 한계는 이전 버전의 ESET Endpoint Security(7.1 이하)와 비슷한 수준의 보호를 나타냅니다. 이 한계는 보안 소프트웨어에서 잘못 식별된 개체를 최소화하는 것을 가장 우선시하는 환경에서 권장됩니다.

보고 한계가 높을수록 탐지율은 높지만 잘못 식별되는 개체가 많아질 수 있습니다.

실질적 관점에서 볼 때, 탐지율은 100%로 유지하면서 감염되지 않은 개체를 악성코드로 잘못 분류할 가능성을 0%로 유지할 수는 없습니다.

ESET Endpoint Security 및 해당 모듈을 최신 상태로 유지하여 성능과 탐지율의 정확도 및 잘못 보고되는 개체 수가 최대한 균형을 이루도록 하십시오.


 

보호 설정

범주로 분류된 개체가 보고될 경우 프로그램은 해당 개체를 차단한 후 치료하거나, 삭제하거나, 검역소로 이동합니다.

범주 보호의 한계(또는 수준)를 수정하기 전에 다음 내용을 읽어보십시오.

한계

설명

공격적

공격적(또는 이보다 낮은) 수준으로 보고된 탐지가 차단되고, 자동 수정(즉 치료)이 시작됩니다. 이 설정은 모든 엔드포인트를 공격적 설정으로 검사하고 잘못 보고된 개체를 탐지 제외에 추가한 경우에 권장됩니다.

균형 잡힘

균형 잡힘(또는 이보다 낮은) 수준으로 보고된 탐지가 차단되고, 자동 수정(즉 치료)이 시작됩니다.

조심스러움

조심스러움 수준으로 보고된 탐지가 차단되고, 자동 수정(즉 치료)이 시작됩니다.

끄기

잘못 보고된 개체를 식별하고 제외하는 데 유용합니다.
끄기는 악성코드 보호에는 사용할 수 없으며 잠재적으로 안전하지 않은 애플리케이션에 대한 기본값입니다.

hmtoggle_plus0 ESET Endpoint Security 7.1 이하의 ESET PROTECT 정책 변환 표


 

모범 사례

관리되지 않음(개별 클라이언트 워크스테이션)

기본 권장 값을 그대로 유지합니다.

관리되는 환경

이러한 설정은 일반적으로 정책을 통해 워크스테이션에 적용됩니다.

1. 초기 단계

이 단계는 최대 1주일이 소요될 수 있습니다.

모든 보고 한계를 균형 잡힘으로 설정합니다.
참고: 필요한 경우 공격적으로 설정합니다.

악성코드에 대한 보호균형 잡힘으로 설정하거나 유지합니다.

다른 범주에 대한 보호조심스러움으로 설정합니다.
참고:잘못 식별된 경우를 포함하여 찾은 모든 탐지가 수정되므로 이 단계에서 보호 한계를 공격적으로 설정하는 것은 권장되지 않습니다.

탐지 로그에서 잘못 식별된 개체를 식별한 후 탐지 제외 목록에 먼저 추가합니다.

2. 전환 단계

일부 워크스테이션에 대해 테스트로서 "프로덕션 단계"를 구현합니다(네트워크의 모든 워크스테이션은 아님).

3. 프로덕션 단계

모든 보호 한계를 균형 잡힘으로 설정합니다.

원격으로 관리되는 경우 ESET Endpoint Security에 대해 해당 안티바이러스 미리 정의된 정책을 사용합니다.

공격적 보호 한계는 가장 높은 탐지율이 필요하고 잘못 식별된 개체를 허용하는 경우에 설정할 수 있습니다.

누락되었을 수 있는 탐지에 대해서는 탐지 로그 또는 ESET PROTECT 보고서를 확인합니다.