Threat Intelligence Exchange 이벤트 또는 경보에 해당하는 규칙을 식별하는 방법
기술 문서 ID:
KB82925
마지막으로 수정한 날짜: 2023-02-27
마지막으로 수정한 날짜: 2023-02-27
환경
VirusScan Enterprise 1.x용 McAfee Threat Intelligence Exchange 모듈(TIEm)
McAfee Threat Intelligence Exchange(TIE) 서버 1.x
McAfee VirusScan Enterprise(VSE) 8.x
McAfee Threat Intelligence Exchange(TIE) 서버 1.x
McAfee VirusScan Enterprise(VSE) 8.x
요약
이 문서에서는 특정 VSE용 TIEm 이벤트에 대한 규칙 ID 및 이름을 식별하는 방법을 설명합니다.
해결책
VSE용 TIEm에서 이벤트를 트리거한 TIE 규칙을 식별하려면 다음을 수행합니다.
워크스테이션
이벤트가 생성된 워크스테이션에만 액세스할 수 있는 경우 다음 단계를 수행하십시오.
워크스테이션
이벤트가 생성된 워크스테이션에만 액세스할 수 있는 경우 다음 단계를 수행하십시오.
- Notepad.exe를 사용하여 TIEMDetections.log 파일을 엽니다.
참고: 이 로그 파일은 %PROGRAMDATA%\McAfee\TIEM\ 위치에서 찾을 수 있습니다.
- 로그 파일에서 탐지와 관련된 항목을 찾습니다.
- 동일한 레코드의 convictingRuleID 값에서 RuleID를 찾습니다.
예:
09/12/14 17:55:26 [I] [0xb34] "!TIEM_DETECTION":["file":"C:\USERS\USER\DESKTOP\SAMPLES\TestDetection1.EXE","user":"user1","reaction":
"repair","sha1":"ab3b93171b7c36db16bdd76e194701815ae23b92","md5":"0a43766a03339ea79393d4afe9d745e1","certSha1":"","size":"1024501",
"reputation":"1","convictingRule":"65540","convictingRuleID":"4","convictingRuleVersion":"1","detectionName":"TIEM/Suspicious.rule4",
"contentVersion":"1.0.0.268","clientVersion":"1.0.0.972","reputationSource":"tie","evaluationMode":"true","cached":"false","osVersion":"6.1.7600",
"osArchitecture":"64","agentGuid":"{868b368a-3841-11e4-307b-000c290c89e4}","timestamp":"1410540926","prompted":"false"]
참고: TestDetection1.EXE에 대한 탐지를 트리거한 RuleID는 RuleID=4입니다. 이는 다음 표에 설명된 것처럼 GTI 파일 평판을 사용한 탐지에 해당합니다.
"repair","sha1":"ab3b93171b7c36db16bdd76e194701815ae23b92","md5":"0a43766a03339ea79393d4afe9d745e1","certSha1":"","size":"1024501",
"reputation":"1","convictingRule":"65540","convictingRuleID":"4","convictingRuleVersion":"1","detectionName":"TIEM/Suspicious.rule4",
"contentVersion":"1.0.0.268","clientVersion":"1.0.0.972","reputationSource":"tie","evaluationMode":"true","cached":"false","osVersion":"6.1.7600",
"osArchitecture":"64","agentGuid":"{868b368a-3841-11e4-307b-000c290c89e4}","timestamp":"1410540926","prompted":"false"]
참고: TestDetection1.EXE에 대한 탐지를 트리거한 RuleID는 RuleID=4입니다. 이는 다음 표에 설명된 것처럼 GTI 파일 평판을 사용한 탐지에 해당합니다.
ePolicy Orchestrator(ePO)
ePO 콘솔에만 액세스할 수 있는 경우 다음 단계를 수행하십시오.
- ePO 콘솔에 로그온합니다.
- 대시보드에서 필요한 보고서를 선택하거나 메뉴, 보고를 클릭합니다.
- VSE용 TIE 모듈 이벤트를 선택하고 관련 보고서로 드릴다운합니다.
참고: 보고서에 RuleID가 표시되지 않을 경우 다음을 수행하십시오.- 액션, 열 선택을 차례로 클릭하고 VSE용 Threat Intelligence Exchange 이벤트에서 규칙 ID를 선택합니다.
- 저장을 클릭합니다.
- 보고서에 다시 액세스합니다.
규칙 ID와 해당 규칙 이름 및 설명:
다음 표는 참조용으로만 제공됩니다. McAfee가 규칙 업데이트를 릴리스함에 따라 표의 정보는 최신 상태가 아닐 수 있습니다. 최신 정보를 보려면 다음과 같이 ePO 콘솔을 참조하십시오.
참고: 다음 구성이 적용되는지 여부에 따라 각각 미리 정의된 상태 및 대상 평판을 가진 총 51개의 규칙이 있습니다.
다음 표는 참조용으로만 제공됩니다. McAfee가 규칙 업데이트를 릴리스함에 따라 표의 정보는 최신 상태가 아닐 수 있습니다. 최신 정보를 보려면 다음과 같이 ePO 콘솔을 참조하십시오.
- ePO 콘솔에 로그온합니다.
- 메뉴, 구성, 서버 설정을 클릭합니다.
- 설정 범주에서 VSE용 Threat Intelligence Exchange 모듈을 선택합니다.
규칙 ID | 규칙 식별자 | 규칙 버전 | 규칙 평판 | 이름 | 설명 | 긴 설명 | ||||
0 | 0 | 0 | -1 | 해당 없음 | 이 평판에 영향을 주는 규칙 없음 | 이 평판에 영향을 주는 규칙 없음 | ||||
1 | 196609 | 3 | -1 | 인증서 평판을 사용하여 신뢰할 수 있는 파일 또는 악성 파일 식별 | 서명 인증서의 GTI 또는 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는지, 악의적인지 결정합니다. | 이 규칙은 서명 인증서의 GTI 또는 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는지, 악의적인지 결정합니다. 인증서 평판은 알려진 악성, 신뢰할 수 있는 것으로 알려짐, 거의 확실한 악성, 거의 확실히 신뢰할 수 있음이어야 합니다. | ||||
2 | 65538 | 1 | -1 | 엔터프라이즈 파일 평판을 사용하여 신뢰할 수 있는 파일 또는 악성 파일 식별 | 파일의 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는지, 악의적인지 결정합니다. | 이 규칙은 파일의 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는지, 악의적인지 결정합니다. 평판은 최소 알려진 악성, 신뢰할 수 있는 것으로 알려짐, 거의 확실한 악성, 거의 확실히 신뢰할 수 있음이어야 합니다. | ||||
4 | 131076 | 2 | -1 | GTI 파일 평판을 사용하여 신뢰할 수 있는 파일 또는 악성 파일 식별 | 파일의 GTI 평판에 따라 파일이 신뢰할 수 있는지, 악의적인지 결정합니다. | 이 규칙은 파일의 GTI 평판에 따라 파일이 신뢰할 수 있는지, 악의적인지 결정합니다. 평판은 최소 알려진 악성, 신뢰할 수 있는 것으로 알려짐, 거의 확실한 악성, 거의 확실히 신뢰할 수 있음이어야 합니다. | ||||
10 | 65546 | 1 | 100 | 파일의 평판을 사용하여 파일이 신뢰할 수 있는 설치 프로그램의 기본 구성요소인지 식별 | 파일 이름 및 GTI 또는 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는 설치 프로그램인지 결정합니다. | 이 규칙은 파일의 GTI 또는 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는 설치 프로그램인지 결정합니다. 또한 파일 및 회사 이름을 보고 신뢰할 수 있는 업데이트 프로그램 또는 설치 프로그램 구성요소인지 결정합니다. | ||||
11 | 131083 | 2 | 100 | 파일이 파일의 인증서 평판을 사용하여 신뢰할 수 있는 설치 프로그램의 기본 구성요소인지 식별 | 파일 이름 및 파일 서명에 사용된 GTI 또는 엔터프라이즈 인증서 평판에 따라 파일이 신뢰할 수 있는 설치 프로그램인지 결정합니다. | 이 규칙은 파일 서명에 사용된 인증서의 GTI 또는 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는 설치 프로그램인지 결정합니다. 또한 파일이 신뢰할 수 있는 업데이트 프로그램 또는 설치 프로그램 구성요소인지 결정하기 위해 파일 이름 및 회사 이름 같은 파일 특성을 고려합니다. | ||||
12 | 131084 | 2 | 100 | 해시로 식별된 특정 파일에 따라 파일이 신뢰할 수 있는 설치 프로그램의 기본 구성요소인지 식별 | 파일 해시 및 GTI 또는 엔터프라이즈 평판에 따라 파일이 신뢰할 수 있는 설치 프로그램인지 결정합니다. | 이 규칙은 신뢰할 수 있는 업데이트 프로그램 또는 설치 프로그램 구성요소인지 결정하기 위해 파일의 해시 및 GTI 또는 엔터프라이즈 파일 평판에 따라 파일이 신뢰할 수 있는 설치 프로그램인지 결정합니다. | ||||
20 | 65556 | 1 | -1 | McAfee 권한을 사용하여 신뢰할 수 있는 파일 식별 | AV DAT 파일에 배포된 인증서 또는 해시를 사용하여 신뢰할 수 있는 파일을 식별합니다. | 이 규칙은 AV DAT 파일에 배포되고 McAfee 프로세스 및 드라이버에서 상승된 권한을 가질 수 있는 인증서 또는 해시를 사용하여 신뢰할 수 있는 파일을 식별합니다. | ||||
35 | 131107 | 2 | 1 | 설치 확인 | 설치 확인에 사용할 수 있는 테스트 샘플을 식별합니다. | 이 규칙은 설치 확인에 사용할 수 있는 테스트 샘플을 식별합니다. | ||||
50 | 65586 | 1 | 85 | 신뢰할 수 있는 작성자로 신뢰할 수 있는 파일 식별 | 완전히 신뢰할 수 있는 업데이트 프로그램으로 작성한 신뢰할 수 있는 파일을 식별합니다. | 이 규칙은 완전히 신뢰할 수 있는 업데이트 프로그램으로 작성하고 수정되지 않은 신뢰할 수 있는 파일을 식별합니다. | ||||
55 | 65591 | 1 | 99 | 평판 수정이 필요한 인증서 식별 | 해당 평판 수준에 대해 수정이 필요한 계층1 공급업체에서 인증서를 식별합니다. | 이 규칙은 해당 평판 수준에 대해 수정이 필요한 계층1 공급업체에서 인증서를 식별합니다. | ||||
57 | 65593 | 1 | -1 | GTI 파일 평판을 사용하여 잠재적으로 신뢰할 수 있음 또는 잠재적 악성 파일 식별 | GTI 파일 평판에 따라 잠재적으로 신뢰할 수 있음 또는 잠재적 악성 파일을 결정합니다. | 이 규칙은 GTI 평판에서 잠재적으로 신뢰할 수 있음 및 잠재적 악성과 같이 확실하게 결정하지 못하는 파일을 식별합니다. | ||||
96 | 65632 | 1 | 0 | 지능형 프롬프트 | 인터넷 브라우저 이외의 신뢰할 수 있는 응용프로그램에 대해 라이브러리 로드를 묻는 메시지 표시를 억제합니다. | 이 규칙은 인터넷 브라우저 이외의 신뢰할 수 있는 응용프로그램에 대해 라이브러리 로드를 묻는 메시지 표시를 억제합니다. | ||||
97 | 131169 | 2 | 70 | 오프라인 상태인 경우 일반적인 시스템 보안 수준에 따라 파일 신뢰 | 시스템이 오프라인 상태인 경우(TIE 서버 및 GTI에 연결되지 않음) 의심스러운 특징이 없는 파일을 신뢰할 수 있다고 결정합니다. | 이 규칙은 시스템이 TIE 서버 및 GTI에 연결되지 않은 경우 의심스러운 특징이 없는 파일을 신뢰할 수 있다고 처리합니다. 이 규칙을 마지막으로 실행합니다. | ||||
98 | 131170 | 2 | 70 | 오프라인 상태인 경우 변경이 많은 시스템 보안 수준에 따라 파일 신뢰 | 시스템이 오프라인 상태인 경우(TIE 서버 및 GTI에 연결되지 않음) 의심스러운 특징이 없는 파일을 신뢰할 수 있다고 결정합니다. | 이 규칙은 시스템이 TIE 서버 및 GTI에 연결되지 않은 경우 의심스러운 특징이 없는 파일을 신뢰할 수 있다고 처리합니다. 이 규칙을 마지막으로 실행합니다. | ||||
99 | 131171 | 2 | 50 | 오프라인 상태인 경우 변경이 적은 시스템 보안 수준에 따라 파일 신뢰 | 시스템이 오프라인 상태인 경우(TIE 서버 및 GTI에 연결되지 않음) 의심스러운 특징이 없는 파일을 알 수 없다고 결정합니다. | 시스템이 TIE 서버 및 GTI에 연결되지 않은 경우 의심스러운 특징이 없는 파일을 알 수 없다고 처리합니다. 이 규칙을 마지막으로 실행합니다. | ||||
126 | 131198 | 2 | 85 | 신뢰할 수 있는 서명된 응용프로그램 식별 | 서명되어 있고 프로그램 설치에 일반적으로 사용되는 경로에 위치한 파일을 식별합니다. 또한 시작 메뉴 항목을 가질 수 있습니다. | 이 규칙은 서명되고 자체 서명되지 않은 유효한 인증서가 있는 파일을 식별합니다. 파일 위치는 시작 메뉴 항목과 같은 환경 특성으로 간주됩니다. | ||||
127 | 65663 | 1 | 85 | 신뢰할 수 있는 도움말 리소스 라이브러리 식별 | 신뢰할 수 있는 소프트웨어에서 사용한 서명된 리소스 라이브러리를 식별합니다. | 이 규칙은 신뢰할 수 있는 소프트웨어에서 사용한 리소스 라이브러리를 식별합니다. 파일에 서명이 있고 악의적인 인증서 평판이 없습니다. 가져오기 또는 내보내기 없음 및 소수의 PE(Portable Executable) 섹션과 같은 리소스 라이브러리라는 것을 나타내는 특징이 있습니다. | ||||
128 | 65664 | 1 | 85 | 신뢰할 수 있는 도움말 리소스 라이브러리 식별 | 신뢰할 수 있는 소프트웨어에서 사용한 서명된 리소스 라이브러리를 식별합니다. 이러한 라이브러리는 일반적으로 도움말 설명서의 일부로 사용됩니다. | 이 규칙은 신뢰할 수 있는 소프트웨어에서 사용한 서명된 리소스 라이브러리를 식별합니다. 이 라이브러리는 일반적으로 응용프로그램 도움말 설명서의 일부로 사용됩니다. 라이브러리에 서명이 있고 악의적인 인증서 평판이 없습니다. 가져오기 또는 내보내기 없음 및 소수의 PE(Portable Executable) 섹션과 같은 리소스 라이브러리라는 것을 나타내는 특징이 있습니다. 또한 응용프로그램 설치 폴더에 위치합니다. | ||||
129 | 65665 | 1 | 85 | 신뢰할 수 있는 서명된 유틸리티 응용프로그램 식별 | 서명되어 있고 인증서를 신뢰할 수 있는 유틸리티 응용프로그램을 식별합니다. 이러한 파일은 시작할 때 실행되지 않고 유틸리티 프로그램이 있다고 제안하는 특징이 있습니다. | 이 규칙은 서명되어 있고 인증서를 신뢰할 수 있는 유틸리티 응용프로그램을 식별합니다. 이러한 파일은 시작할 때 실행되지 않습니다. 도구 또는 설치된 프로그램을 나타내는 폴더(예: %programfiles%\\subfolder)에 위치해 있으며 API를 가져오고 신뢰할 수 있는 유틸리티 응용프로그램과 일관된 다른 특징들이 있습니다. | ||||
130 | 65666 | 1 | 85 | 신뢰할 수 있는 서명된 드라이버 식별 | 서명되어 있고 로컬 시스템에 설치된 장치 드라이버를 식별합니다. | 이 규칙은 서명되어 있고 로컬 시스템에 설치된 장치 드라이버를 식별합니다. 기본 하위 시스템을 사용하고 %windir%\\system32\\drivers 또는 driverstore 폴더에 위치합니다. | ||||
131 | 65667 | 1 | 85 | 신뢰할 수 있는 서명된 DRM(Digital Rights Management) 라이브러리 식별 | Windows에서 사용한 신뢰할 수 있는 서명된 DRM(Digital Rights Management) 라이브러리를 식별합니다. | 이 규칙은 해당 인증서를 신뢰할 수 있고 서명되어 있는 신뢰할 수 있는 DRM(Digital Rights Management) 라이브러리를 식별합니다. 이러한 파일은 Windows DRM 및 DRM 캐시 폴더에 있습니다. | ||||
132 | 65668 | 1 | 85 | 신뢰할 수 있는 서명된 파일 식별 | 서명되어 있고 신뢰할 수 있으며 해당 인증서 평판을 신뢰할 수 있는 파일을 식별합니다. | 이 규칙은 서명되어 있고 신뢰할 수 있으며 해당 인증서도 신뢰할 수 있는 파일을 식별합니다. | ||||
133 | 65669 | 1 | 70 | 디스크에서 신뢰할 수 있는 파일 식별 | 디스크에 있으면서 TIE 모듈을 설치하기 전에 의심스러운 점이 없는 파일을 식별합니다. | 이 규칙은 디스크에 있으면서 TIE 모듈을 설치하기 전에 의심스러운 점이 없는 파일을 식별합니다. NTFS 파일 저널링에서 식별한 대로 감염되어 있지 않습니다. | ||||
134 | 131206 | 2 | 85 | TIE 모듈을 설치하기 전에 디스크에서 엔터프라이즈에 널리 퍼져 있는 신뢰할 수 있는 파일을 식별합니다. | 디스크에 있으면서 TIE 모듈을 설치하기 전에 의심스러운 점이 없고 엔터프라이즈에 나타난 파일을 식별합니다. | 이 규칙은 디스크에 있으면서 TIE 모듈을 설치하기 전에 의심스러운 점이 없는 파일을 식별합니다. NTFS 파일 저널링에서 식별한 대로 감염되어 있지 않습니다. 또한 파일이 엔터프라이즈에 나타났어야 합니다. | ||||
138 | 131210 | 2 | 70 | 신뢰할 수 있는 서명되지 않은 Microsoft DOTNet 어셈블리 식별 | 알려진 신뢰할 수 있는 인증서로 서명되지 않은 Microsoft DOTNet 어셈블리를 탐지합니다. 이러한 파일은 엔터프라이즈 내의 많은 시스템에 없을 수 있습니다. | 이 규칙은 CLR 코드(DOTNet)가 있고, 글로벌 어셈블리 캐시 폴더에 설치되었으며, 의심스러운 특성을 포함하지 않은 Microsoft 제공 파일을 탐지합니다. 이 파일은 엔터프라이즈 내의 여러 시스템에 있거나 또는 없을 수 있으며, 이는 Just-In-Time 컴파일된 어셈블리를 포함할 수 있습니다. | ||||
139 | 196747 | 3 | 70 | 신뢰할 수 있는 DOTNet 어셈블리 식별 | 글로벌 어셈블리 캐시에 설치되고 여러 시스템에 있는 DOTNet 어셈블리를 탐지합니다. | 이 규칙은 CLR 코드(DOTNet)가 있고 글로벌 어셈블리 캐시 폴더에 설치된 파일을 탐지합니다. 파일이 엔터프라이즈의 여러 시스템에 존재하고 이는 Just-In-Time 컴파일된 어셈블리가 아니라는 것을 나타냅니다. | ||||
140 | 131212 | 2 | 85 | 신뢰할 수 있는 널리 퍼진 파일 식별 | 오랫동안 엔터프라이즈에 존재하고 여러 시스템에 널리 퍼진 파일을 탐지합니다. | 이 규칙은 널리 퍼져 있고 잘 알려져 있기 때문에 신뢰할 수 있는 파일을 탐지합니다. 파일이 엔터프라이즈의 여러 시스템에 존재하고 3개월 넘게 알려져 있습니다. | ||||
151 | 65687 | 1 | 70 | 웹 설치 프로그램 식별 | 서명되어 있고 해당 인증서를 신뢰할 수 있는 웹 설치 프로그램을 식별합니다. 또한 회사, 제품 및 버전을 식별합니다. | 이 규칙은 서명되어 있고 해당 인증서를 신뢰할 수 있는 웹 설치 프로그램을 식별합니다. 또한 웹 설치 프로그램의 회사, 제품 및 버전을 식별합니다. | ||||
152 | 65688 | 1 | 70 | Windows 설치 프로그램으로 추출된 안전한 파일 식별 | 작업자 프로세스, 인증서 및 클라우드 평판을 기반으로 Windows 설치 프로그램으로 추출된 안전한 파일을 식별합니다. | 이 규칙은 작업자 프로세스, 인증서 및 클라우드 평판을 기반으로 Windows 설치 프로그램으로 추출된 안전한 파일을 식별합니다. 설치 프로그램이 저장한 파일에 대해 의심스러운 점이 있는 경우 이 규칙은 클린 평판을 생성하지 않습니다. | ||||
153 | 65689 | 1 | 70 | ATD가 의심스러운 것으로 보고하지 않는 파일 식별 | ATD(Advanced Threat Defense)가 의심스러운 것으로 보고하지 않는 파일을 식별합니다. | 이 규칙은 ATD(Advanced Threat Defense)에서 평가했고 의심스러운 것으로 보고하지 않는 파일을 식별합니다. | ||||
205 | 65741 | 1 | 30 | 이상한 작성 날짜가 있고 압축되지 않았을 가능성이 있는 의심스러운 파일 식별 | 압축되지 않고 이상한 작성 날짜가 있으며 임시 또는 다운로드 폴더 같은 위치에 있을 수 있는 의심스러운 파일을 식별합니다. | 이 규칙은 임시 또는 다운로드 폴더 같은 위치에서 의심스러운 파일을 식별합니다. 이러한 파일은 압축되지 않았을 가능성이 있고 날짜 속성이 변경된 증거가 있습니다. | ||||
206 | 65742 | 1 | 30 | 이상한 작성 날짜가 있고 압축되었을 가능성이 있는 의심스러운 파일 식별 | 시스템의 한 곳에서 의심스러운 파일을 식별합니다. 이 파일은 압축되었을 가능성이 있고 날짜가 변경되었다는 증거를 보여줍니다. | 이 규칙은 시스템의 한 곳에 위치한 의심스러운 파일을 식별합니다. 이러한 파일은 압축된 것으로 식별되고 날짜 속성이 변경된 증거가 있습니다. | ||||
207 | 131279 | 2 | 15 | 휴지통에서 실행된 의심스러운 파일 식별 | 휴지통에서 실행된 의심스러운 파일을 식별합니다. | 이 규칙은 휴지통에 있으면서 실행된 의심스러운 파일을 식별합니다. | ||||
208 | 65744 | 1 | 15 | 로밍 폴더에서 실행된 의심스러운 파일 식별 | 사용자의 로밍 폴더에서 실행되거나 로드된 의심스러운 파일을 식별합니다. | 이 규칙은 잘못된 방식으로 사용자의 로밍 폴더(%userprofile%\\appdata\\roaming)에서 실행되거나 로드된 의심스러운 파일을 식별합니다. | ||||
209 | 131281 | 2 | 15 | 사용자에게 숨겨진 의심스러운 파일 식별 | 사용자에게 숨겨진 동안 실행되거나 로드된 의심스러운 파일을 식별합니다. | 이 규칙은 실행되거나 로드되지만 파일 속성 같은 메커니즘을 사용하여 숨겨진 의심스러운 파일을 식별합니다. 이러한 파일은 중요한 운영 체제 파일처럼 보이지만 아닙니다. | ||||
211 | 65747 | 1 | 15 | 신뢰할 수 없는 프로세스에서 만든 의심스러운 파일 식별 | 의심스럽거나 알려진 악성 평판을 가진 프로세스를 사용하여 만들어진 의심스러운 파일을 식별합니다. | 이 규칙은 파일을 만든 프로세스의 평판이 작성 시 잠재적 악성부터 알려진 악성이기 때문에 의심스러운 파일을 식별합니다. 또한 파일이 작성된 이후 수정되지 않았습니다. | ||||
213 | 65749 | 1 | 30 | 압축된 방식을 기반으로 파일을 의심스러운 것으로 식별 | 패커가 합법적인 소프트웨어에서 사용되지 않고 압축되거나 암호화된 파일을 의심스러운 것으로 식별합니다. | 이 규칙은 파일이 압축되거나 암호화된 것으로 확인되고 파일에 합법적인 소프트웨어에서 일반적으로 찾을 수 없는 특징이 있는 경우 파일을 의심스러운 것으로 식별합니다. | ||||
214 | 65750 | 1 | 30 | 의심스러운 키 로거 식별 | 합법적인 소프트웨어에서 사용되지 않는 특징이 있고 키 로거처럼 보이는 경우 파일을 의심스러운 것으로 식별합니다. | 이 규칙은 합법적인 소프트웨어에서 사용되지 않는 특징이 있는 경우 파일을 의심스러운 것으로 식별합니다. 파일에 키 입력을 모니터링하는 데 사용되는 API 가져오기 같은 의심스러운 특징이 있고 버전 정보가 누락되어 있습니다. | ||||
217 | 65753 | 1 | 15 | 의심스러운 암호 도용 프로그램 식별 | 사용자의 로밍 프로파일에 잘못 설치되고 의심스러운 특징이 있는 파일을 식별합니다. | 이 규칙은 사용자의 로밍 프로파일에 잘못 설치되고 의심스러운 특징이 있는 파일을 식별합니다. 파일이 키 입력을 모니터링하고, 스크린샷을 캡처하고, 활성 디버거를 체크하는 데 사용되는 API를 가져옵니다. | ||||
218 | 65754 | 1 | 30 | 기간을 숨기는 의심스러운 파일 식별 | 제시된 파일 기간을 수정하는 파일을 식별합니다. 파일에 의심스러운 특징이 있고 설치된 프로그램처럼 보이지 않습니다. | 이 규칙은 제시된 파일 기간을 수정하는 파일을 식별합니다. 파일에 압축되었거나, 버전 정보가 누락되었거나, 시스템 파일로 태그가 지정되었거나, 의심스러운 API를 가져오는 등의 의심스러운 특징이 있습니다. 설치된 프로그램에 일반적으로 사용되는 경로에 존재하지 않습니다. | ||||
219 | 131291 | 2 | 15 | 보안 위치에 숨은 의심스러운 파일 식별 | 시스템 드라이버에 대해 예약된 폴더 같은 보안 위치에서 파일을 식별합니다. 이러한 파일은 해당 위치의 다른 파일과 일관성이 없고 의심스러운 특징이 있습니다. | 이 규칙은 시스템 드라이버에 대해 예약된 폴더 같은 보안 위치에 있는 파일을 식별합니다. 파일이 기본 하위 시스템을 사용하지 않고 누락되거나 잘못된 버전 정보, 확장자와 일치하지 않는 파일 유형 같은 의심스러운 특징이 있습니다. | ||||
220 | 65756 | 1 | 30 | 의심스러운 새 파일 식별 | 시스템에 새롭게 나타나고 이진의 진입점에 수정된 섹션 이름 또는 수정된 코드 같은 의심스러운 특징이 있는 파일을 식별합니다. | 이 규칙은 작성 날짜가 최근 30일 내이고 의심스러운 특징이 있는 파일을 식별합니다. 이러한 파일은 이진의 진입점에 수정된 섹션 이름 또는 수정된 코드를 포함합니다. | ||||
221 | 262365 | 4 | 30 | 소수의 시스템에서 보이는 의심스러운 새 파일 식별 | 외부 응용프로그램(파일을 다운로드하는 네트워크 인식 응용프로그램)에서 시작된 파일을 탐지합니다. 환경에서 새로 탐색된 파일이며 의심스럽다고 나타나는 특징 및 가져오기 기능이 있습니다. | 이 규칙은 외부 응용프로그램(파일을 다운로드하는 네트워크 인식 응용프로그램)에서 시작된 파일을 탐지합니다. 파일이 환경에 10일 미만 동안 있었고 1% 미만의 시스템에서 보입니다. 파일이 널리 퍼지거나 신뢰할 수 있는 인증서로 서명되지 않고, 압축되었거나, 리소스가 없거나, 버전 정보가 누락된 것 같은 일부 의심스러운 특징이 있습니다. 또한 기본 API 사용, 원격 스레드 작성, 디버거 체크, 계층화된 서비스 공급자 설치 같은 의심스러운 것으로 보이는 가져오기 기능이 있습니다. | ||||
222 | 65758 | 1 | 15 | 설치된 프로그램으로 숨는 의심스러운 키 로거 식별 | 키 로깅 API를 가져오고 설치된 프로그램에서 사용하는 위치에 숨는 파일을 탐지합니다. 소수의 가져오기 및 시스템에 새로 나타난 것 같은 의심스러운 특징이 있으며 합법적인 응용프로그램으로 보이지 않습니다. | 이 규칙은 키 로깅 API를 가져오고 프로그램 파일 폴더 또는 하위 폴더에 숨는 파일을 탐지합니다. 파일이 서비스로 또는 프로그램 추가/제거에서 등록되지 않았습니다. 시작할 때 실행되는 레지스트리 키가 있고 소수의 가져오기 또는 PE(Portable Executable) 섹션 같은 의심스러운 특징이 있습니다. | ||||
233 | 65769 | 1 | 30 | 인터넷에서 의심스러운 파일 식별 | 신뢰할 수 없는 URL에서 제공된 파일을 식별합니다. 압축되었거나 기간 또는 확산이 낮은 의심스러운 특징이 있습니다. | 이 규칙은 신뢰할 수 없는 URL에서 제공된 파일을 식별합니다. 악의적이면서 압축되었거나, 기간이 15일 미만이거나, 10개 미만의 시스템 또는 1% 미만의 엔터프라이즈에서 보이는 등의 의심스러운 특징이 있습니다. | ||||
234 | 65770 | 1 | 15 | ATD가 의심스러운 것으로 보고하는 파일 식별 | ATD(Advanced Threat Defense)가 의심스러운 것으로 보고하는 파일을 식별합니다. | 이 규칙은 ATD(Advanced Threat Defense)가 의심스러운 것으로 보고하는 파일을 식별합니다. | ||||
237 | 131309 | 2 | 15 | 취소된 인증서를 사용하여 서명된 의심스러운 파일 찾기 | 포함된 취소된 인증서가 있는 파일을 탐지합니다. 새로 탐색된 파일이며 소수의 시스템에 나타납니다. | 이 규칙은 취소된 포함된 인증서가 포함된 파일을 탐지합니다. 파일이 환경에 5일 미만 동안 있었고 1% 미만의 시스템에서 보입니다. | ||||
240 | 65776 | 1 | 30 | 대부분 랜섬웨어에서 발견된 특징이 있는 의심스러운 파일 식별 | 대부분 랜섬웨어에서 발견된 특징이 있고 일반적으로 사용되는 위치에 없는 의심스러운 파일을 식별합니다. | 대부분 랜섬웨어에서 발견된 특징이 있고 일반적으로 사용되는 위치에 없는 의심스러운 파일을 식별합니다. | ||||
241 | 131313 | 2 | 30 | 소수의 시스템에서 보이는 의심스러운 새 파일 식별(v2) | 여러 특징이 있는 일부 시스템에서 보이는 새 파일 및 의심스러운 동작이 나타나지 않는 시스템 위치를 탐지합니다. | 외부 응용프로그램(파일을 다운로드하는 네트워크 인식 응용프로그램)에서 시작된 파일을 탐지합니다. 환경에서 새로 탐색된 파일이며 의심스럽다고 나타나는 특징 및 가져오기 기능이 있습니다. | ||||
246 | 65782 | 1 | 30 | 소수의 시스템에서 보이는 의심스러운 새 파일 식별(v3) | 여러 특징이 있는 일부 시스템에서 보이는 새 파일 및 의심스러운 동작이 나타나지 않는 시스템 위치를 탐지합니다. | 외부 응용프로그램(파일을 다운로드하는 네트워크 인식 응용프로그램)에서 시작된 파일을 탐지합니다. 환경에서 새로 탐색된 파일이며 의심스럽다고 나타나는 특징 및 가져오기 기능이 있습니다. |
참고: 다음 구성이 적용되는지 여부에 따라 각각 미리 정의된 상태 및 대상 평판을 가진 총 51개의 규칙이 있습니다.
- 변경이 많은 시스템
- 일반적인 시스템
- 변경이 적은 시스템
규칙 ID | 필수 | 상태 |
1 | TRUE | 활성화 |
2 | TRUE | 활성화 |
4 | TRUE | 활성화 |
10 | TRUE | 활성화 |
11 | TRUE | 활성화 |
12 | TRUE | 활성화 |
20 | TRUE | 활성화 |
35 | TRUE | 활성화 |
50 | TRUE | 활성화 |
55 | TRUE | 활성화 |
57 | FALSE | 평가됨 |
96 | TRUE | 활성화 |
97 | FALSE | 활성화 |
98 | FALSE | 활성화 |
99 | FALSE | 활성화 |
126 | TRUE | 활성화 |
127 | TRUE | 활성화 |
128 | TRUE | 활성화 |
129 | TRUE | 활성화 |
130 | TRUE | 활성화 |
131 | TRUE | 활성화 |
132 | TRUE | 활성화 |
133 | TRUE | 활성화 |
134 | TRUE | 활성화 |
138 | FALSE | 활성화 |
139 | TRUE | 활성화 |
140 | TRUE | 활성화 |
151 | TRUE | 활성화 |
152 | FALSE | 평가됨 |
153 | FALSE | 평가됨 |
205 | FALSE | 평가됨 |
206 | FALSE | 평가됨 |
207 | FALSE | 활성화 |
208 | FALSE | 활성화 |
209 | FALSE | 활성화 |
211 | FALSE | 평가됨 |
213 | FALSE | 평가됨 |
214 | FALSE | 활성화 |
217 | FALSE | 활성화 |
218 | FALSE | 평가됨 |
219 | FALSE | 활성화 |
220 | FALSE | 평가됨 |
221 | FALSE | 평가됨 |
222 | FALSE | 활성화 |
233 | FALSE | 평가됨 |
234 | FALSE | 활성화 |
237 | FALSE | 평가됨 |
240 | FALSE | 평가됨 |
241 | FALSE | 평가됨 |
246 | FALSE | 평가됨 |
규칙 ID | 필수 | 상태 |
1 | TRUE | 활성화 |
2 | TRUE | 활성화 |
4 | TRUE | 활성화 |
10 | TRUE | 활성화 |
11 | TRUE | 활성화 |
12 | TRUE | 활성화 |
20 | TRUE | 활성화 |
35 | TRUE | 활성화 |
50 | TRUE | 활성화 |
55 | TRUE | 활성화 |
57 | FALSE | 평가됨 |
96 | TRUE | 활성화 |
97 | FALSE | 활성화 |
98 | FALSE | 활성화 |
99 | FALSE | 활성화 |
126 | TRUE | 활성화 |
127 | TRUE | 활성화 |
128 | TRUE | 활성화 |
129 | TRUE | 활성화 |
130 | TRUE | 활성화 |
131 | TRUE | 활성화 |
132 | TRUE | 활성화 |
133 | TRUE | 활성화 |
134 | TRUE | 활성화 |
138 | FALSE | 활성화 |
139 | TRUE | 활성화 |
140 | TRUE | 활성화 |
151 | TRUE | 활성화 |
152 | FALSE | 평가됨 |
153 | FALSE | 평가됨 |
205 | FALSE | 평가됨 |
206 | FALSE | 평가됨 |
207 | FALSE | 활성화 |
208 | FALSE | 활성화 |
209 | FALSE | 활성화 |
211 | FALSE | 평가됨 |
213 | FALSE | 평가됨 |
214 | FALSE | 활성화 |
217 | FALSE | 활성화 |
218 | FALSE | 평가됨 |
219 | FALSE | 활성화 |
220 | FALSE | 평가됨 |
221 | FALSE | 평가됨 |
222 | FALSE | 활성화 |
233 | FALSE | 평가됨 |
234 | FALSE | 활성화 |
237 | FALSE | 평가됨 |
240 | FALSE | 평가됨 |
241 | FALSE | 평가됨 |
246 | FALSE | 평가됨 |
규칙 ID | 필수 | 상태 |
1 | TRUE | 활성화 |
2 | TRUE | 활성화 |
4 | TRUE | 활성화 |
10 | TRUE | 활성화 |
11 | TRUE | 활성화 |
12 | TRUE | 활성화 |
20 | TRUE | 활성화 |
35 | TRUE | 활성화 |
50 | TRUE | 활성화 |
55 | TRUE | 활성화 |
57 | FALSE | 평가됨 |
96 | TRUE | 활성화 |
97 | FALSE | 활성화 |
98 | FALSE | 활성화 |
99 | FALSE | 활성화 |
126 | TRUE | 활성화 |
127 | TRUE | 활성화 |
128 | TRUE | 활성화 |
129 | TRUE | 활성화 |
130 | TRUE | 활성화 |
131 | TRUE | 활성화 |
132 | TRUE | 활성화 |
133 | TRUE | 활성화 |
134 | TRUE | 활성화 |
138 | FALSE | 활성화 |
139 | TRUE | 활성화 |
140 | TRUE | 활성화 |
151 | TRUE | 활성화 |
152 | FALSE | 평가됨 |
153 | FALSE | 평가됨 |
205 | FALSE | 평가됨 |
206 | FALSE | 평가됨 |
207 | FALSE | 활성화 |
208 | FALSE | 활성화 |
209 | FALSE | 활성화 |
211 | FALSE | 평가됨 |
213 | FALSE | 평가됨 |
214 | FALSE | 활성화 |
217 | FALSE | 평가됨 |
218 | FALSE | 평가됨 |
219 | FALSE | 활성화 |
220 | FALSE | 평가됨 |
221 | FALSE | 평가됨 |
222 | FALSE | 활성화 |
233 | FALSE | 평가됨 |
234 | FALSE | 활성화 |
237 | FALSE | 평가됨 |
240 | FALSE | 평가됨 |
241 | FALSE | 평가됨 |
246 | FALSE | 평가됨 |
고지 사항
이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.