Symantec Endpoint Protection
에서 고급 시스템 학습을 사용하는 방법

고급 시스템 학습의 작동 방식
AML(고급 시스템 학습) 엔진은 학습 프로세스를 통해 파일이 양호한지 아닌지를 판단합니다. 시만텍 보안 연구소는 악의적인 속성을 인식하도록 엔진을 교육하고 AML 엔진이 탐지할 때 사용하는 규칙을 정의합니다. 시만텍은 랩 환경에서 다음 프로세스를 사용하여 AML 엔진을 교육하고 테스트합니다.
  • LiveUpdate가 AML 모델을 클라이언트에 다운로드하여 며칠간 실행합니다.
  • AML 엔진이 클라이언트에서 실행되는 응용 프로그램과 클라이언트의 원격 측정 데이터를 사용하여 악용되는 응용 프로그램을 학습합니다. 각 클라이언트 시스템은 모델에 대한 정보를 시만텍에 반환하는 Global Intelligence Network에 포함됩니다.
  • 시만텍이 클라이언트의 원격 측정 데이터에서 학습한 내용을 바탕으로 AML 모델을 조정합니다.
  • 시만텍이 악용 요소가 주로 공격하는 응용 프로그램을 차단하도록 AML 모델을 수정합니다.
AML은 SDS(정적 데이터 검사기) 엔진의 일부입니다. SDS 엔진에는 에뮬레이터, ITCS(Intelligent Threat Cloud Service) 및 CoreDef-3 정의 엔진이 포함됩니다.
Symantec Endpoint Protection
은(는) 고급 시스템 학습을 인사이트 조회를 통해 위협 요소를 탐지하는 다운로드 인사이트, SONAR 및 바이러스/스파이웨어 검사에 사용합니다.
AML이 클라우드에서 작동하는 방식
시만텍은 ITCS(Intelligent Threat Cloud Service)를 활용하여 AML이 클라이언트 시스템에서 탐지한 항목이 올바른지 확인합니다. 경우에 따라 AML은 ITCS를 확인한 후 판결을 바꿀 수 있습니다. AML 엔진에는 Symantec Insight가 필요하지 않지만 시만텍은 이 피드백을 통해 AML 알고리즘을 교육함으로써 오탐지를 줄이고 정탐지를 늘립니다. 시스템이 온라인일 때
Symantec Endpoint Protection
은(는) 평균적으로 위협 요소의 99%를 중지할 수 있습니다.
AML을 구성하는 방법
고급 시스템 학습은 구성할 수 없습니다. 기본적으로 LiveUpdate가 AML 정의를 다운로드합니다. 그러나 다음 기술이 실행되고 있는지 확인해야 합니다.
AML이 클라이언트 시스템을 보호하는지 확인하는 단계
태스크
설명
1단계: 클라우드 조회 가용성이 실행되고 있는지 확인
AML이 Symantec Insight에 제출하는 조회를 평판 조회, 클라우드 조회 또는 인사이트 조회라고 합니다. 인사이트 조회를 실행하는 경우 SONAR 및 바이러스/스파이웨어 검사에 대한 AML 탐지의 오탐지가 줄어듭니다.
인사이트 조회가 실행되고 있는지 확인하려면 다음을 참조하십시오.
또한 클라이언트 제출이 실행되고 있는지 확인합니다. 이 정보는 시만텍이 탐지 기술의 효과를 측정하고 개선하는 데 도움이 됩니다.
2단계: Bloodhound 탐지가 실행되고 있는지 확인
Bloodhound 탐지 수준을 자동 또는 통합으로 설정하십시오.
AML 엔진이 위험 요소가 높은 특정 파일을 발견하면 클라이언트가 자동으로 통합 검사를 수행합니다.
통합 검사 모드가 시작되면 다음 이벤트가 발생합니다.
  • 검사가 재시작됩니다.
  • 다음 통지가 클라이언트에 표시됩니다.
    인사이트 조회를 사용하는 통합 검사를 실행하여 시스템을 정리합니다.
통합 모드에서는 오탐지를 추가로 관리해야 할 수 있습니다.
3단계: LiveUpdate가 보다 집중적인 정의를 다운로드하는지 확인(14.0.1)(선택 사항)
LiveUpdate는 항상 AML 컨텐츠를 다운로드합니다.
14.0.1부터 LiveUpdate는 클라우드 기반의 낮은 대역폭 정책과 함께 사용할 수 있는 보다 종합적인 정의 세트를 다운로드합니다. LiveUpdate를 통한 AML 컨텐츠 다운로드를 실행 중지할 수 있습니다.
LiveUpdate에서
Symantec Endpoint Protection Manager
(으)로:
Symantec Endpoint Protection Manager
에서 Windows 클라이언트로:
4단계: 오탐지 처리
고급 시스템 학습 문제 해결
고급 시스템 학습 탐지에 대한 로그 및 리포트는 다른 SDS 엔진과 동일합니다. 최신 위협 요소에 대한 리포트를 보려면
네트워크에서 탐지된 새 위험 요소
에 대한 위험 요소 리포트를 실행하십시오.
14.0.1부터 AML 탐지에 대한 예약 리포트를 실행할 수 있습니다.
리포트
페이지에서
예약 리포트
>
추가
>
시스템 상태
>
고급 시스템 학습(정적) 컨텐츠 배포
를 누르십시오. 리포트가 나타나려면
Symantec Endpoint Protection Manager
도메인을 클라우드 콘솔에 등록해야 합니다.