문제
- ESET 검사 또는 ESET 검사 온프레미스에 제외 추가
- 트리거 이벤트 추가
- 신뢰할 수 있는 프로세스/시스템 프로세스에 주입
- 신뢰할 수 있는 프로세스에서 의심스러운 DLL 로드
- 상위 프로세스 추가
세부 정보
확장하려면 여기를 클릭하십시오
프로세스가 시스템/신뢰하는 프로세스에 자신을 주입하면 ESET 검사 또는 ESET 검사 온프레미스에서 탐지를 반환합니다. 이로 인해 여러 오탐지가 발생할 수 있습니다. 오탐지를 해결하려면 시스템/신뢰된 프로세스에 자신을 주입하려는 프로세스를 포함하는 제외를 생성합니다.
XML 구문 및 규칙에 대한 자세한 내용은 ESET 검사 규칙 가이드를 참조하세요. ESET은 ESET Inspect를 위한 보안 서비스를 제공합니다. 자세한 내용은 현지 영업 담당자에게 문의하십시오.
솔루션
#@#플레이스홀더 id='1586' 언어='1'#@#
트리거 이벤트 추가
- ESET Inspect에 로그인합니다. ESET Inspect 온프레미스 사용자의 경우, 웹 브라우저에서 ESET Inspect 웹 콘솔을 열고 로그인합니다.
- 탐지를 클릭하고 탐지 옆의 드롭다운 메뉴를 클릭한 다음 규칙을 선택합니다. 보호 버튼 아래의 톱니바퀴 아이콘을 클릭합니다.
그림 1-1 - 열 선택을 선택합니다.
그림 1-2 - 빠른 검색 패턴 입력 필드에 트리거를 입력하고 트리거 이벤트 옆의 확인란을 선택합니다.
그림 1-3
신뢰할 수 있는 프로세스/시스템 프로세스에 주입
- ESET Inspect에 로그인합니다. ESET Inspect 온프레미스 사용자의 경우, 웹 브라우저에서 ESET Inspect 웹 콘솔을 열고 로그인합니다.
- 탐지를 클릭하고 탐지 옆의 드롭다운 메뉴를 클릭한 다음 규칙을 선택합니다. 규칙을 확장하여 규칙과 관련된 모든 탐지를 봅니다.
그림 2-1 - 실행 파일 필터 유형에 실행 파일 이름을 입력하고 Enter 키를 누릅니다. 오른쪽으로 스크롤하여 전체 트리거 이벤트 이름을 확인합니다.
- 탐지 옆의 확인란을 선택합니다.
그림 2-3 - 제외 생성을 클릭합니다.
- 제외의 이름을 입력하고 기준을 클릭합니다.
그림 2-4 - 이 기준 필드와 일치하는 프로세스 제외가 선택되어 있는지 확인하고 고급 편집기를 클릭합니다
- 현재 프로세스가 선택되어 있습니다
- 프로세스 이름이 올바른 실행 유형중 하나입니다
- 서명자 이름이 올바른 서명자 중 하나임이 선택됨
- 서명자 유형이 신뢰할 수 있음 또는 유효함을 선택했습니다
- 제외 표현식에 작업 코드를 추가합니다. 제외 만들기를 클릭합니다
- 새 <운영> 태그는 기존 </process> 및 </definition> 닫는 태그 사이에 배치해야 합니다.
- 작업의 조건과 값은 트리거 이벤트 이름에 따라 달라집니다. 예를 들어, 트리거 이벤트 이름이 각 탐색에 대해 동일한 경우 조건은
is와같고 값은 트리거 이벤트 이름과 같을 수 있습니다. 트리거 이벤트 이름에 고유한 정보가 있는 경우, 조건은시작으로설정하고 별도의 줄을끝으로설정할 수 있습니다. 그림 2-6에서는시작과종료로설정된 조건을 보여줍니다.
<운영> <운영 유형="Codeinjection"> <운영자 유형="and"> <조건 구성 요소="FileItem" 속성="FullPath" 조건="is" 값=""/> </운영자> </운영> </운영>
- XML 구문 및 규칙에 대한 자세한 내용은 ESET 검사 규칙 가이드를 참조하십시오. ESET은 ESET Inspect용 보안 서비스를 제공합니다. 자세한 내용은 현지 영업 담당자에게 문의하십시오.
신뢰할 수 있는 프로세스에서 로드된 의심스러운 DLL
- 신뢰할 수 있는 프로세스/시스템 프로세스에 주입 섹션의 1~6단계를 완료합니다.
- 이 기준 필드와 일치하는 프로세스 제외가 선택되어 있는지 확인합니다. 고급 편집기를 클릭합니다.
- 현재 프로세스가 선택됩니다
- 프로세스 이름이 올바른 실행 파일 유형중 하나입니다
- 프로세스 경로 시작이 완료되었습니다
- 명령줄에 파일 경로가 포함되어 있습니다
- 서명자이름이 올바른 서명자중 하나임 올바른 서명자가 선택됨
- 서명자 유형이 신뢰됨 또는 유효함을 선택했습니다
- 제외 표현식에 작업 코드를 추가합니다. 제외 만들기를 클릭합니다.
-
- 새 <운영> 태그는 기존 </process> 및 </definition> 닫는 태그 사이에 배치해야 합니다.
- 작업의 조건과 값은 트리거 이벤트 이름에 따라 달라집니다. 예를 들어, 트리거 이벤트 이름이 각 탐색에 대해 동일한 경우 조건은
is와같고 값은 트리거 이벤트 이름과 같을 수 있습니다. 트리거 이벤트 이름에 고유한 정보가 있는 경우, 조건은시작으로설정하고 별도의 줄을끝으로설정할 수 있습니다. 그림 3-2는시작과끝으로설정된 조건을 보여주는 예제입니다.
<운영> <운영 유형="LoadDLL"> <운영자 유형="and"> <조건 구성 요소="FileItem" 속성="FullPath" 조건="is" 값=""/> </운영자> </운영> </운영>
- XML 구문 및 규칙에 대한 자세한 내용은 ESET 검사 규칙 가이드를 참조하십시오. ESET은 ESET Inspect용 보안 서비스를 제공합니다. 자세한 내용은 현지 영업 담당자에게 문의하십시오.
상위 프로세스 추가
제외 표현식에 상위 프로세스를 추가하면 더 엄격한 제외가 만들어집니다.
- 초기 제외를 생성합니다.
- ESET 검사 또는 ESET 검사 온프레미스의 새 인스턴스를 엽니다. ESET 검사 사용자는 ESET PROTECT 허브 또는 ESET 비즈니스 계정에 로그인하고 검사 열기를 클릭합니다. ESET Inspect On-Prem 사용자는 웹 브라우저에서 ESET Inspect 웹 콘솔을 열고 로그인합니다.
- 기준 창에서 상위 프로세스를 선택합니다. 프로세스 이름은 다음 중 하나, 프로세스 경로는 다음으로 시작, 서명자 이름은 다음 중 하나, 서명 유형은 다음 중 하나에 대해 올바른 옵션을 선택합니다. 고급 편집기를 클릭합니다.
<부모 프로세스>로시작하고</parentprocess>로끝나는 전체 표현식을 복사합니다.
- 원래 제외로 돌아가서 부모 프로세스를 현재
<프로세스>위의 제외 표현식에 붙여넣습니다.
- ESET 검사/ESET 검사 온프레미스의 새 인스턴스에서 취소를 클릭하여 상위 프로세스 제외를 취소합니다.
#@#플레이스홀더 id='1586' 언어='1'#@#
