이벤트 모니터링 상위 항목

이벤트 모니터링은 무단 소프트웨어 및 악성 프로그램 공격으로부터 보호하는 보다 일반적인 접근 방법을 제공합니다. 시스템 영역에서 특정 이벤트를 모니터링하므로 관리자는 이를 통해 해당 이벤트를 트리거하는 프로그램을 조정할 수 있습니다. 악성 프로그램 동작 차단에서 제공하는 수준 이상의 특정 시스템 보호 요구 사항이 있는 경우 이벤트 모니터링을 사용합니다.
다음 표에 모니터링되는 시스템 이벤트 목록이 나와 있습니다.

모니터링되는 시스템 이벤트

이벤트
설명
중복 시스템 파일
Windows 시스템 파일에서 사용된 파일 이름을 사용하여 자체 프로그램 또는 다른 유해 프로그램의 복사본을 만드는 유해 프로그램이 많이 있습니다. 이 이벤트를 통해 일반적으로 시스템 파일을 재정의하거나 교체하거나, 탐지를 방지하거나, 사용자가 유해 프로그램 파일을 삭제하지 않도록 합니다.
호스트 파일 수정
호스트 파일은 도메인 이름을 IP 주소와 일치시킵니다. 웹 브라우저가 감염되거나 존재하지 않거나 위조된 웹 사이트로 리디렉션되도록 호스트 파일을 수정하는 유해 프로그램이 많이 있습니다.
의심스러운 동작
의심스러운 동작은 합법적인 프로그램에서 거의 수행하지 않는 특정 동작 또는 일련의 동작일 수 있습니다. 의심스러운 동작을 보이는 프로그램은 주의해서 사용해야 합니다.
새 Internet Explorer Plug-in
스파이웨어/그레이웨어 프로그램은 도구 모음 및 브라우저 도우미 개체를 포함하여 원치 않는 Internet Explorer Plug-in을 설치하는 경우가 많습니다.
Internet Explorer 설정 수정
홈 페이지, 신뢰할 수 있는 웹 사이트, 프록시 서버 설정 및 메뉴 확장을 포함하여 Internet Explorer 설정을 변경하는 바이러스/악성 프로그램이 많이 있습니다.
보안 정책 수정
Windows 보안 정책을 수정하면 원치 않는 응용 프로그램이 시스템 설정을 실행하고 변경할 수 있습니다.
프로그램 라이브러리 주입
모든 응용 프로그램이 프로그램 라이브러리(DLL)를 자동으로 로드하도록 Windows를 구성하는 유해 프로그램이 많이 있습니다. 이렇게 하면 응용 프로그램이 시작될 때마다 DLL에서 유해 루틴이 실행될 수 있습니다.
셸 수정
특정 파일 유형에 연결되도록 Windows 셸 설정을 수정하는 유해 프로그램이 많이 있습니다. 이 루틴은 Windows Explorer에서 관련된 파일을 열 경우 유해 프로그램을 자동으로 시작할 수 있습니다. 또한 Windows 셸 설정을 변경하면 유해 프로그램이 합법적인 응용 프로그램과 함께 시작되어 사용하는 프로그램을 추적할 수 있습니다.
새 서비스
Windows 서비스는 전체 관리 액세스를 통해 일반적으로 백그라운드에서 계속 실행되면서 특별한 기능을 지원하는 프로세스입니다. 유해 프로그램이 자체를 서비스로 설치하여 숨김 상태로 유지하는 경우도 있습니다.
시스템 파일 수정
특정 Windows 시스템 파일은 시작 프로그램 및 화면 보호기 설정과 같은 시스템 동작을 결정합니다. 시작할 때 자동으로 시작하여 시스템 동작을 제어하도록 시스템 파일을 수정하는 유해 프로그램이 많이 있습니다.
방화벽 정책 수정
 Windows 방화벽 정책은 네트워크, 통신용 포트 및 컴퓨터와 통신할 수 있는 IP 주소에 액세스할 수 있는 응용 프로그램을 확인합니다. 네트워크 및 인터넷에 액세스할 수 있도록 정책을 수정하는 유해 프로그램이 많이 있습니다.
시스템 파일 수정
다수의 유해 프로그램은 기본 제공되는 Windows 프로세스에서 여러 동작을 수행합니다. 이러한 동작에는 실행 중인 프로세스의 종료 또는 수정이 포함될 수 있습니다.
새 시작 프로그램
모든 응용 프로그램이 프로그램 라이브러리(DLL)를 자동으로 로드하도록 Windows를 구성하는 유해 프로그램이 많이 있습니다. 이렇게 하면 응용 프로그램이 시작될 때마다 DLL에서 유해 루틴이 실행될 수 있습니다.
이벤트 모니터링에서는 모니터링되는 시스템 이벤트를 탐지한 경우 이벤트에 대해 구성된 조치를 수행합니다.
다음 표에는 관리자가 모니터링되는 시스템 이벤트에 대해 수행할 수 있는 가능한 조치가 나와 있습니다.

모니터링되는 시스템 이벤트에 대한 조치

처리 방법
설명
점검
OfficeScan에서 이벤트와 관련된 프로그램을 항상 허용하지만 평가를 위해 로그에 이 조치를 기록합니다.
이는 모든 모니터링되는 시스템 이벤트에 대한 기본 조치입니다.
참고
참고
64비트 시스템의 프로그램 라이브러리 주입에는 이 옵션이 지원되지 않습니다.
허용
OfficeScan에서 이벤트와 관련된 프로그램을 항상 허용합니다.
필요 시 묻기
OfficeScan에서 이벤트와 관련된 프로그램을 허용할지 또는 거부할지 그리고 예외 목록에 프로그램을 추가할지를 묻는 메시지를 사용자에게 표시합니다.
사용자가 일정 기간 동안 응답하지 않으면 프로그램 실행이 자동으로 허용됩니다. 기본 기간은 30초입니다. 기간을 수정하려면 프로그램 실행이 허용되기 전에 기간 수정을 참조하십시오.
참고
참고
64비트 시스템의 프로그램 라이브러리 주입에는 이 옵션이 지원되지 않습니다.
거부
OfficeScan 에서 이벤트와 관련된 프로그램을 항상 차단하고 이 조치를 로그에 기록합니다.
알림이 사용하도록 설정된 경우 프로그램이 차단되면 OfficeScan에서 OfficeScan 클라이언트 컴퓨터에 알림을 표시합니다. 알림에 대한 자세한 내용은 OfficeScan 클라이언트 사용자에 대한 동작 모니터링 알림을 참조하십시오.