Advanced Threat Defense에 대한 FAQ
기술 문서 ID:
KB79333
마지막으로 수정한 날짜: 2021-01-26
마지막으로 수정한 날짜: 2021-01-26
환경
McAfee Advanced Threat Defense(ATD) 3.x
요약
이 문서는 공통적인 질문과 대답을 통합해 놓은 목록으로, 주로 제품을 처음 사용하는 사용자를 위한 것이지만 모든 사용자가 사용할 수 있습니다.
ATD는 악성 프로그램으로 의심되는 파일을 샌드박스에서 실행하고, 해당 동작을 분석하고, 악성 프로그램이 엔드포인트와 네트워크에 미칠 수 있는 잠재적 영향을 평가하여 정교하고 탐지하기 어려운 위협을 식별하는 전용 어플라이언스입니다.
ATD는 악성 프로그램으로 의심되는 파일을 샌드박스에서 실행하고, 해당 동작을 분석하고, 악성 프로그램이 엔드포인트와 네트워크에 미칠 수 있는 잠재적 영향을 평가하여 정교하고 탐지하기 어려운 위협을 식별하는 전용 어플라이언스입니다.
일반 ATD에 대한 일반적인 질문 호환성 ATD와 호환되는 운영 체제, 브라우저 및 McAfee 소프트웨어에 대한 질문 ATD 및 Network Security Platform ATD의 작동 방식 및 Network Security Platform(NSP)과의 상호 작용 방식에 대한 정보 ATD 및 Email Gateway(MEG) ATD와 MEG의 통합 및 작업에 관한 정보 작업 ATD가 다른 제품과 함께 작동하여 작업을 수행하는 방식 자동 디스크 공간 정리
ATD 자동 디스크 공간 정리가 작동하는 방식
ATD 어플라이언스의 기본 사용자 이름 및 암호는 무엇입니까?
설치된 ATD, DAT 및 엔진 버전은 어떻게 확인합니까?
- 그래픽 관리 콘솔의 로그온 정보는 다음과 같습니다.
사용자 이름: admin
암호: admin
- 명령줄 콘솔의 로그온 정보는 다음과 같습니다.
사용자 이름: cliadmin
암호: atdadmin
ATD 관리 콘솔에 로그온하십시오. System Information(시스템 정보)아래에 ATD 버전이 표시됩니다. 예:
버전: 3.4.x.xDAT 및 엔진 버전도 System Information(시스템 정보) 아래에 표시됩니다. 예:McAfee AV DAT Version: 7419ATD 어플라이언스에 인증할 수 없는 이유는 무엇입니까?
McAfee AV Engine Version: 5600
McAfee GAM DAT Version: 2951
McAfee GAM Engine Version: 7001.1302.1842
올바른 사용자 이름을 사용하고 있지 않을 수 있습니다. 두 개의 기본 사용자가 있습니다. 올바른 사용자 이름을 사용하고 있는지 확인하십시오.
- 그래픽 사용자 이름은 admin입니다.
- CLI 사용자 이름은 cliadmin입니다.
VMDK를 ATD 어플라이언스로 업로드할 때 사용할 수 있는 사용자 계정은 무엇입니까?
atdadmin 사용자 계정을 사용해야 합니다.
중요: 다른 계정의 경우 FTP 액세스 역할이 선택된 경우에도 사용할 수 없습니다.
ATD 어플라이언스에서 생성할 수 있는 가상 컴퓨터(VM) 수는 어떻게 계산합니까?
ATD-3000의 경우:
최대 VM 수는 30개입니다. VM을 30개 초과하여 생성할 수 없습니다. 또한 어플라이언스에 있는 VM의 총 크기는 600GB 미만이어야 합니다. ATD 어플라이언스에 두 개의 운영 체제가 있는 경우에는 다음과 같이 계산합니다.
{(첫 번째 OS 크기) * VM 수 + (두 번째 OS 크기) * VM 수} < 600
ATD-6000의 경우:
최대 VM 수는 60개입니다.VM을 60개 초과하여 생성할 수 없습니다. 또한 어플라이언스에 있는 VM의 총 크기는 1200GB 미만이어야 합니다. ATD 어플라이언스에 두 개의 운영 체제가 있는 경우에는 다음과 같이 계산합니다.
{(첫 번째 OS 크기) * VM 수 + (두 번째 OS 크기) * VM 수} < 1200
ATD가 VM 시스템에 할당하는 코어 수는 몇 개입니까? 이 설정을 사용자 지정할 수 있습니까?
ATD는 1개의 프로세서와 1개의 코어를 할당합니다. 이 설정은 사용자 지정할 수 없습니다.
하이퍼터미널 세션을 실행하려면 어플라이언스에 어떤 케이블을 연결해야 합니까?
ATD 어플라이언스 뒷면의 콘솔 포트에 콘솔 케이블(RJ45-DB9 직렬)을 연결하십시오. 다른 쪽 끝은 어플라이언스를 구성하는 데 사용할 PC의 COM 포트에 연결하십시오.
하이퍼터미널을 구성하려면 어떤 설정을 사용해야 합니까?
- 보드: 115200
- 비트 수: 8
- 패리티: 없음
- 정지 비트: 1
- 흐름 제어: 없음
- SSH 포트: 2222
하이퍼터미널 세션을 실행할 때 어떤 로그온을 사용해야 합니까?
사용자 이름: cliadmin
암호: atdadmin
Intel Security에 반환하기 전에 ATD 평가 장치 또는 ATD 어플라이언스에 있는 데이터를 지우려면 어떻게 해야 합니까?
명령줄에서 factorydefaults를 입력하고 Enter 키를 누르십시오. 이 명령은 모든 샘플, 결과, 로그 및 가상 컴퓨터(VM) 이미지를 삭제하고, 어플라이언스를 재부팅하기 전에 IP 주소를 재설정합니다.
ATD 어플라이언스에는 어떤 NIC가 있습니까?
현재 ATD 어플라이언스에는 네 개의 NIC가 있으며 이 중 NIC 1만이 Network Security Manager(NSM) 또는 ePolicy Orchestrator(ePO) 서버와 통신하는 데 사용됩니다.
"Analyzer Profile"(분석기 프로파일)에서 "Automatically select OS"(OS 자동 선택)를 사용하도록 설정할 경우 ATD는 어떻게 VM 프로파일을 선택합니까?
예를 들어 다음과 같은 분석기 프로파일을 구성한다고 가정하십시오.
VM profile(VM 프로파일) : Android Automatically Select OS(OS 자동 선택) : 사용 Windows 32-bit VM Profile(Windows 32비트 VM 프로파일) : WinXPsp3 Windows 64-bit VM Profile(Windows 64비트 VM 프로파일) : Win7sp1x64
분석을 위해 APK 파일이 수신되면 Android를 사용하여 해당 파일이 분석되고, Windows 32비트 VM(WinXPsp3)으로는 32비트 PE 파일이, Windows 64비트 VM(Win7sp1x64)으로는 64비트 PE 파일이 전송됩니다.
ATD에서 전송할 OS를 결정할 수 없으면 VM 프로파일에 나열된 OS로 파일이 전송됩니다. 이 OS가 이 용도의 기본 VM으로 간주됩니다.
VM과 상호 작용하려고 하면 "Application Blocked by Security Settings" 오류 메시지가 표시되는 이유는 무엇입니까?
이는 Java 보안 설정 때문입니다. 이러한 설정을 변경하려면 Java 제어판을 열고 보안 탭을 선택하십시오. "보안 수준"을 중간으로 변경하고 변경 내용을 적용하십시오.
ATD 어플라이언스에서 VM 생성을 시작할 때 어떤 일이 발생합니까?
처음으로 새 VM 프로파일(새 OS)을 생성할 때 amas 서비스가 ATD에 의해 중지되고 VM 생성이 시작되며 생성이 끝나면 amas가 다시 시작됩니다. 기존 VM 프로파일 아래에서 최대 사용권 수만 변경할 경우에는 amas 서비스가 다시 시작되지 않습니다.
참고: amas 중지 상태와 amas 시작 상태 사이에는 기존 VM이 트래픽을 처리하지 않습니다. 대기 샘플은 대기열에 남아 있고 Network Security Platform(NSP) 또는 Next Generation Firewall(NGFW)의 새 샘플은 삭제됩니다. 하지만 Email Gateway, Web Gateway 및 RestAPI가 제출한 샘플은 대기열에 추가됩니다.
중요: 새 VM 프로파일(새 OS) 생성을 시작하기 전에 항상 ATD에 트래픽을 보내는 것을 중지하십시오.
NSM에서 파일을 ATD로 전송할 수 있는지 확인하려면 어떻게 합니까?
NSP Sensor의 status 명령은 다음과 같이 NSM의 통신 가능 여부를 보여 줍니다.
[McAfee MATD Communication]
Status : up
IP : 172.18.18.218
Port : 8505
NSP Sensor를 통해 PE 또는 Office 파일을 다운로드하고 해당 파일이 ATD에서 분석되는지 확인하십시오. ATD에서는 샘플이 숫자로 된 파일 이름을 가집니다. 이러한 제한 사항은 NSM 8.1 릴리스에서 수정되었습니다.
ATD 관리자의 "Dashboard"(대시보드), "File Counters"(파일 카운터), "Waiting"(대기 중)에 표시되는 "Waiting"(대기 중) 카운터는 무엇을 나타냅니까?
"Waiting"(대기 중) 카운터는 샌드박스에서 대기 중인 파일의 수와 기타 Down Selector(GTI, GAM, 블랙리스트 등)를 나타냅니다.
ATD 어플라이언트에 있는 저장 장치의 크기는 어떻게 됩니까?
ATD-3000:
- 2x4TB HDD, RAID 1
- 2x400GB SSD, RAID 0
ATD-6000:
- 4x4TB HDD, RAID 1
- 2x800GB SSD, RAID 0
ATD 클러스터 내에 ATD 모델 어플라이언스를 혼합하여 사용할 수 있습니까? 예를 들어 2개의 ATD-3000과 1개의 ATD-6000을 조합하여 클러스터를 만들 수 있습니까?
예. ATD 어플라이언스를 혼합하여 클러스터를 만들 수 있습니다.
ATD 서버에서 드라이브는 어떻게 사용됩니까?
SSD 드라이브에는 VM 이미지와 스냅샷이 저장되고, HDD에는 시스템 디스크와 데이터 디스크 파티션이 있습니다.
각 파티션에 저장되는 파일은 다음과 같습니다.
- 데이터 디스크: vmdk, 샘플 파일, 샘플 보고서 및 로그 파일
- 시스템 디스크: ATD 시스템 소프트웨어, 시스템 로그
ATD 어플라이언스에서는 어떤 CPU를 사용합니까?
- ATD 3000 - Xeon CPU 2개: E5-2658, 2.10GHz, 20M 캐시
- ATD 6000 - Xeon CPU 4개: E5-4640, 2.40GHz, 20M 캐시
요약 보고서의 심각도 'N/A'(해당 없음)와 'None'(없음)에는 어떤 차이점이 있습니까?
- N/A(해당 없음)는 스캐너 엔진에서 악성 프로그램이 탐지되지 않았음을 나타냅니다.
- None(없음)은 스캐너 엔진이 사용되지 않도록 설정되었거나 활성화되지 않았음을 나타냅니다.
"Troubleshooting"(문제 해결), "Diagnostic File"(진단 파일)을 선택해도 아무 파일도 생성되지 않습니다. ATD의 문제 또는 결함입니까?
아니요. 진단 파일은 ATD 어플라이언스에서 오류가 발생한 경우에만 생성됩니다. 오류가 발생하지 않았으면 진단 파일이 생성되지 않습니다.
ATD의 IP 주소를 구성한 후에 VM 생성이 실패하는 이유는 무엇입니까?IP 주소를 처음 설정한 후 또는 IP 주소를 수정한 경우에는 ATD 어플라이언스를 재부팅해야 합니다. 그러지 않으면 ATD가 올바로 작동하지 않습니다.SSH를 통해 어플라이언스에 연결할 때 ATD에서 'Password:'(암호:) 화면이 표시되기까지 지연(약 10초)이 발생하는 이유는 무엇입니까?ATD 어플라이언스에 올바른 DNS 서버 IP 주소를 할당하지 않았습니다. 올바른 DNS 서버를 설정하면 ATD에서 해당 화면이 즉시 표시됩니다.
내 ATD 어플라이언스의 연결 속도가 느린데 그 이유는 무엇입니까?
NIC 카드가 잘못 구성되었고 이로 인해 NIC 자동 협상이 실패한 것입니다.
- ATD CLI에서 show 명령을 실행하면 관리 NIC의 인터페이스 설정을 볼 수 있습니다.
- set mgmtport speed [10/100/1000] duplex full 명령을 실행하여 네트워크 구성을 수동으로 구성할 수 있습니다.
또는 set mgmtport auto를 실행하여 자동 협상을 다시 수행할 수도 있습니다.
ATD를 업그레이드할 때 "Reset Database"(데이터베이스 재설정)를 선택하면 어떤 정보가 삭제됩니까?다음 정보가 삭제됩니다.
- 분석기 프로파일
- 분석 상태
- 분석 결과
- 사용자 관리
- ePO 로그인/DXL 설정
- 날짜 및 시간 설정
다음 정보는 삭제되지 않습니다.
- "Policy"(정책), "VM Profile"(VM 프로파일) 내의 VM 프로파일 항목
- "Manage"(관리), "Proxy Settings"(프록시 설정)
- "Manage"(관리), "DNS Settings"(DNS 설정)
악성 프로그램 인터넷 액세스가 사용되도록 설정되고 ICMP 회신 메시지를 다시 어플라이언스로 전송했는데도 ICMP 패킷이 ATD 외부로 전송되지 않는 이유는 무엇입니까?이 동작은 의도된 설계입니다. ICMP 동작은 항상 시뮬레이터 모드를 따르므로 ICMP(Ping) 패킷은 ATD 어플라이언스 외부로 전송되지 않고 ICMP 회신 메시지는 어플라이언스로 다시 전송됩니다.
웹 인증서를 ATD로 가져오려고 하면 인증서가 잘못되었다는 오류가 나타나는데 그 이유는 무엇입니까? 어떻게 하면 서명된 인증서를 ATD 어플라이언스로 가져올 수 있습니까?
ATD Product Guide(ATD 제품 안내서)에 웹 서버 인증서를 업로드하는 방법이 설명되어 있습니다. 또한 인증서를 키와 함께 PEM 형식으로 업로드해야 한다고 나와 있습니다. 공용 인증서와 비공개 키를 하나의 PEM 형식 파일로 결합하고 이 파일을 ATD 어플라이언스로 가져와야 합니다.
ATD에서 웹 인증서를 허용하기 전에 어떤 유효성 검사를 수행합니까?
- 어플라이언스는 PEM 형식의 업로드된 인증서에서 인증서와 키를 모두 검사합니다.
- ATD는 정확한 키 길이를 확인하고 2048비트 이상인 경우에만 허용합니다.
- ATD는 해시/시그니처 알고리즘을 확인하고 SHA256 이상만 허용합니다.
- ATD는 만료일을 확인하여 인증서의 유효성을 검사합니다.
ATD가 허용하는 웹 인증서 파일은 어떤 형식입니까?ATD는 PEM 형식으로 된 유효한 인증서 및 암호화되지 않은 비공개 키를 허용합니다. 웹 인증서 파일은 다음 형식으로 정렬되어야 합니다.-----BEGIN RSA PRIVATE KEY-----(비공개 키 데이터)-----END RSA PRIVATE KEY----------BEGIN CERTIFICATE-----(인증서 데이터)-----END CERTIFICATE-----참고: END RSA PRIVATE KEY 줄과 BEGIN CERTIFICATE 줄 사이에 빈 줄이 없어야 합니다. 이 두 줄이 한 행에 나타나야 합니다.별도의 파일(인증서 파일 하나와 비공개 키 파일 하나)을 가지고 있는 경우 텍스트 편집기를 사용하여 두 파일을 결합한 다음 ATD로 업로드할 수 있습니다.
인증서와 비공개 키 파일을 결합하려면 어떻게 해야 합니까?
- 인증서 파일과 비공개 키 파일을 둘 다 텍스트 편집기에서 엽니다.
- 비공개 키 파일의 전체 내용을 복사하여 인증서 파일의 시작 부분에 붙여넣습니다.
- 웹 인증서 파일을 저장합니다.
- 결합된 인증서 파일을 ATD로 업로드합니다.
ATD는 웹 인증서 파일에 있는 암호화된 비공개 키를 허용합니까?아니요. 웹 인증서 파일에서는 암호화되지 않은 비공개 키를 사용해야 합니다.ATD 관리자는 CA 인증서 필드에 파일 하나만 허용합니다. 하지만 내 웹 인증서는 루트 CA가 아닌 중간 CA에 의해 서명됩니다. ATD의 내 웹 인증서에 중간 CA와 루트 CA를 둘 다 지정하려면 어떻게 해야 합니까?CA 파일은 여러 개의 CA 인증서를 포함할 수 있습니다. 따라서 루트 CA 인증서와 필요한 개수만큼의 중간 CA 인증서를 하나의 파일로 결합한 다음 ATD 관리자로 업로드할 수 있습니다.
결합된 PEM 파일은 두 개의 인증서로 시작해야 하며 다음 형식을 사용해야 합니다.-----BEGIN CERTIFICATE-----(인증서 데이터)-----END CERTIFICATE----------BEGIN CERTIFICATE-----(또 다른 인증서 데이터)-----END CERTIFICATE-----
여러 CA 인증서 파일을 결합하려면 어떻게 해야 합니까?
- 인증서 파일을 텍스트 편집기에서 엽니다.
- 한 인증서의 전체 내용을 복사하여 다른 인증서 파일의 시작 부분 또는 끝 부분에 붙여넣습니다.
- 결합된 CA 인증서 파일을 저장합니다.
- 결합된 CA 인증서 파일을 ATD로 업로드합니다.
CA 인증서만 단독으로 업로드할 수 있습니까?아니요. CA 인증서 파일은 웹 인증서와 함께 업로드해야 합니다.
LAN2 인터페이스를 ATD 서버의 통신 포트로 사용할 수 있습니까? 예. ATD 서버가 IP 주소를 사용하여 관리되는 경우 LAN1 또는 LAN2를 ATD 서버의 통신 포트로 사용할 수 있습니다.
참고: LAN2 인터페이스를 사용하는 경우 Email Gateway와 ATD 어플라이언스 사이에 전송되는 트래픽에 대해서는 고정 경로를 설정해야 합니다.
동적 분석을 위해 파일을 보내기 전에 파일 헤더뿐 아니라 파일 확장명을 기반으로 파일을 검토하기 위해 ATD를 구성하려면 어떻게 해야 합니까?
ATD 명령줄에서 filetypefilter enable을 입력하고 Enter 키를 누르십시오.
참고: 자세한 내용은 사용 중인 릴리스의 제품 안내서를 참조하십시오.
ATD 어플라이언스가 인터페이스 결합(예: eth0을 eth1에 결합)을 지원합니까?
아니요. 결합이나 링크 집합은 현재 지원되지 않습니다.
ATD에서 사용하는 타임스탬프는 어떤 것입니까?
ATD는 버전 3.4.6.63부터 RFC 3339를 사용합니다. 그 이전 버전에서는 RFC 3164를 사용합니다.
ATD에 이미 로드되어 있는 VM의 설정을 수정할 수 있습니까? 예를 들어 DNS 서버의 IP 주소를 A.B.C.D에서 W.X.Y.Z로 변경할 수 있습니까?
예. GUI, Policy(정책), VM Profile(VM 프로파일) 아래에서 VNC 연결에 대한 설정을 수정할 수 있습니다. 해당 VM을 선택한 다음 Edit(편집), Activate(활성화)를 클릭하십시오. 필요한 설정을 수정하고 VM을 종료한 다음 Validation(유효성 검사)과 Create license(사용권 만들기)를 선택하십시오. 이렇게 하면 수정된 설정을 사용하여 새 VM이 생성됩니다.
VM 프로파일 또는 VM 분석기 프로파일을 추가하거나 VM 프로파일에 할당된 사용권을 추가하거나 줄이기 전에 수행해야 할 작업이나 고려할 사항이 있습니까?
예. 사용권을 수정할 때도 vmcreator를 실행하기 전에 AMAS 서비스를 중지하는 것이 좋습니다.
AMAS 서비스를 중지하려면 어떻게 해야 합니까?
명령줄 세션에서 AMAS를 중지하려면 amas stop을 입력하고 Enter 키를 누르십시오.
"show filequeue" 명령의 출력은 무엇을 의미합니까?
- Processing Time(처리 시간): ATD가 샘플을 받은 시점부터 분석을 마치고 보고서가 준비될 때까지 걸린 시간(ATD에서 샘플에 소요된 총 시간)입니다.
- Analyzing Time(분석 시간): 샘플이 샌드박싱을 시작하고 마치는 데 걸린 시간(분석에 걸린 총 시간)입니다.
- Files in SandBox(샌드박스에 있는 파일 수): 샌드박스 분석을 위해 현재 준비된 샘플 수입니다. 샌드박스 제출 전에 샘플은 경험적 접근 분석기로 보내집니다. 경험적 접근 분석에서는 샘플이 감염되지 않았는지 여부와 그에 따라 샌드박스 분석이 필요 없는지 여부를 확인할 수 있습니다. 이런 이유로 실제 샌드박스 VM 수보다 "in analysis(분석 중)" 상태를 나타내는 샘플이 더 많을 수 있는 것입니다.
- Files in Queue(대기열에 있는 파일 수): 현재 검색 디렉터리에 있는 파일 수입니다.
- Estimated average processing time for all samples(모든 샘플의 예상 평균 처리 시간): 시스템의 현재 대기 시간 또는 ATD가 제출된 다음 샘플을 분석하는 데 걸리는 시간입니다.
Microsoft Windows XP 서비스 팩 3(SP3) 또는 XP 서비스 팩 2(SP2) VM과 함께 사용할 수 있는 Microsoft Office 버전은 무엇입니까?
ATD에서 Microsoft Office를 실행할 Microsoft Windows XP SP3 또는 XP SP2 VM을 생성할 때는 Microsoft Office 2007 이하 버전을 호환성 팩과 함께 설치해야 합니다. Microsoft Office 2010 이상은 ATD Windows XP SP3 및 Windows XP SP2 VM에서 지원되지 않습니다.
ATD가 지원하는 Web Gateway 버전은 어떤 것입니까?
ATD는 Web Gateway 7.4.x 이상을 지원합니다.
어떤 버전의 NSP가 ATD와 통합됩니까?
NSP 8.x 이상이 ATD와 통합됩니다.
ATD 3.4.2 클러스터링은 Email Gateway를 지원합니까?
아니요. ATD 3.4.2 클러스터링은 Email Gateway를 지원하지 않습니다.
ATD가 호환되며 연결된 McAfee 제품에서 검색 또는 사용하는 정보는 무엇입니까?
- ATD는 파일이 악성 프로그램일 가능성을 확인하는 과정에서 GTI로부터 얻은 평판에 관한 정보를 사용합니다.
- ePO는 적절한 가상 환경을 사용하여 파일을 분석할 수 있도록 대상 환경을 식별하는 데 사용됩니다. ATD는 ePO와 함께 작동하여 대상 장치의 특징을 식별함으로써 적절한 운영 체제에서 악성 프로그램의 동적 분석을 실행할 수 있도록 합니다.
- ATD는 NSP 또는 Web Gateway에서 파일을 받고 분석 결과를 반환하여 정책 시행 시 해당 정보를 사용할 수 있도록 합니다.
- 웹 응용프로그램(Analysis(분석), Manual Upload(수동 업로드)), FTP(파일을 제출하려면 Manage(관리), User Name(사용자 이름) 아래에서 사용자의 FTP 액세스 권한이 활성화되어 있어야 함) 및 API를 통해 파일을 수동으로 업로드할 수도 있습니다.
참고:
- ATD 3.x에서는 악성 프로그램 수동 업로드와 이러한 McAfee 장치에서의 업로드가 지원되지만 이 릴리스와의 SPAN 기능은 없습니다.
- ATD API 사용에 대한 정보는 사용 중인 릴리스의 ATD Reference Guide(ATD 참조 안내서)에 설명되어 있습니다.
McAfee 제품 문서를 보려면 Enterprise 제품 설명서 포털(https://docs.mcafee.com)로 이동하십시오.
ATD 어플라이언스는 어떤 위치에 배치할 수 있습니까?
ATD 어플라이언스는 트래픽이 발생하는 위치나 네트워크의 가장자리에 배치하지 않아도 됩니다. ATD 어플라이언스는 중앙에 배치하거나 적절한 네트워크에 배치할 수 있으며 NSP Sensor는 데이터를 해당 위치로 전달합니다.
ATD를 관리하는 데 사용할 수 있는 브라우저는 무엇입니까?
지원되는 브라우저는 다음과 같습니다.
- Microsoft Internet Explorer 10 이상
- Mozilla Firefox
- Google Chrome
ATD가 분석기 가상 컴퓨터에 지원하는 운영 체제는 어떤 것입니까?
최신 ATD 버전(2015년 8월 기준)은 ATD 3.4.8이며 이 버전은 다음 분석기 VM을 지원합니다.
- Microsoft Windows XP 32비트
- XP 서비스 팩 2
- XP 서비스 팩 3
- Microsoft Windows 7
- Windows 7 32비트 서비스 팩 1
- Windows 7 64비트 서비스 팩 1
- Microsoft Windows 8
- Windows 8.0 Pro 32비트
- Windows 8.0 Pro 64비트
- Microsoft Server:
- Server 2003 서비스 팩 1
- Server 2003 서비스 팩 2
- Server 2008 R2 서비스 팩 1
- Google Android
- Android 2.3
- Android 4.3
참고: Android 4.3은 수동 업그레이드가 필요합니다. 자세한 내용은 제품 안내서 PD26049를 참조하십시오.
분석기 VMDK 파일에 포함할 수 있는 응용프로그램은 무엇입니까?
- Microsoft Internet Explorer 6, 7, 8, 9, 10 및 11
- Mozilla Firefox 11, 12 및 13
- Microsoft Office 2003, 2007, 2010 및 2013
- Adobe Acrobat 8, 9 및 10
- Adobe Flash Player 13
- Adobe Reader 버전 9,10 및 11
- 모든 32비트 OS에 있는 jdk-7u25/jre-7u25 32비트 및 64비트
- 모든 64비트(전용) OS에 있는 jdk-7u25/jre-7u25 64비트
ATD용 VM 이미지를 만들 수 있는 방법은 무엇입니까?
ATD용 VMware Workstation 9.0, 10, 11 및 12로만 VM 이미지를 만들 수 있습니다.
VMware Workstation 1x를 사용할 경우 "Hardware Compatibility"(하드웨어 호환성)를 Workstation 9.0으로 설정해야 합니다.
중요: Workstation 12의 경우 VM의 기본 빌드 동안 하드웨어 호환성 옵션이 제공되지 않습니다.
Edit(편집), Preferences(기본 설정)를 선택한 다음 Default hardware compatibility(기본 하드웨어 호환성)에서 Workstation 9를 선택하여 이 설정을 변경해야 합니다.
참고: ESXi와 VMware Player는 지원되지 않습니다.
분석기 VM을 설치/구축하려면 어떤 구성요소가 필요합니까?
운영 체제의 ISO와 유효한 사용권 키가 필요합니다.
새 VM 프로파일을 생성한 후 해당 프로파일이 사용 준비가 된 것을 어떻게 알 수 있습니까?VM 생성 상태에 Success(성공) 상태가 표시됩니다.
ATD 로그 파일을 보려면 어떻게 합니까?
Troubleshooting(문제 해결), Log Files(로그 파일)를 선택하십시오.
Troubleshooting(문제 해결)의 Support Bundle(지원 번들) 옵션은 무엇입니까? 이 옵션은 어떤 정보를 저장합니까?
이 옵션은 ATD 어플라이언스의 포괄적인 로그 파일 및 구성 정보 세트를 저장하여 문제 해결에 도움을 줍니다.
ATD에서 통신에 사용하는 포트는 무엇입니까?
클라이언트서버 기본 포트 구성 가능 설명 모두 ATD TCP 80
TCP 443(HTTPS)아니요 웹 응용프로그램 액세스 모두 ATD TCP 21
TCP 22(SSH)아니요 VMDK 또는 ISO 이미지의 FTP NSP Sensor ATD TCP 8505 아니요 NSP Sensor 채널 SSL
(AES-128, SHA 1)NSM ATD TCP 443(HTTPS) 아니요 REST 통신 ATD ePO TCP 8443 예 ATD GTI TCP 443(HTTPS) 아니요 GTI 채널 모두 ATD TCP 2222(SSH) 아니요 CLI 액세스 VNC ATD 6000 이상* 아니요 샌드박시 보기
* 대화형 모드를 사용하는 경우, 대화형 창을 로드하는 동안 문제가 발생하면
포트 6000부터 여기에 구성된 VM 수를 더한 범위까지 여러 포트를 열어야 합니다.
예를 들어 10개의 VM(4개의 xp + 6개의 win7)이 있는 경우 열린 포트는 6000-6011이어야 합니다.
SSH를 통해 ATD 어플라이언스에 연결하려고 할 때 "Server refused to allocate pty" 오류가 나타나는 이유는 무엇입니까?
포트 2222가 열려 있지 않거나 SSH용 포트 2222를 통해 연결하고 있지 않기 때문입니다.
인터넷 연결 없이 닫힌 네트워크에서 ATD를 작동할 수 있습니까? 업데이트는 어떻게 수행됩니까?
ATD는 가상 네트워크를 포함하고 있으므로 인터넷 액세스 없이도 작동할 수 있습니다. ATD는 현재 오프라인 업데이트를 지원하지 않습니다. 업데이트는 다운로드하여 가져와야 합니다. 인터넷 시뮬레이터는 현재 다음 서비스를 에뮬레이트합니다.
HTTP SMTP FTP TELNET DNS
ATD에서 암호로 보호된 파일을 분석할 수 있습니까?
ATD는 암호로 보호된 보관 파일을 받아 샘플을 분석할 수 있지만, 단 암호를 알아야 합니다.
ATD에서 Web Gateway를 사용하여 검색하는 최대 파일 크기는 어떻게 됩니까?
Web Gateway의 파일 검색 제한은 현재 128MB입니다.
분석을 위해 제출하는 파일의 파일 이름에서 지원되지 않는 문자는 무엇입니까?
다음 문자는 지원되지 않습니다.
\ " ^ < > | ; ( ) [ ] * ? # $ & :
ATD와 통합된 경우 NSP에서 악성 파일을 차단할 수 있습니까?예. 다음 고려 사항에 주의하십시오.
- NSP의 차단 기능은 정적 탐지 모드에서만 작동합니다.
- 동적 탐지는 시간이 더 오래 걸리지만, 탐지가 완료되면 NSM이 동적 검색 보고서를 가져옵니다.
- ATD는 초기 정적 검색을 수행하고 결과를 NSM에 다시 보고합니다. 파일이 일치하면 NSM에서는 해당 파일을 차단합니다.
- NSP는 파일을 6초 동안만 보관하며 동적 분석을 실행하는 데는 이보다 오랜 시간이 걸릴 수 있습니다. 하지만 동적 검색 동안 탐지된 내용이 있으면 NSM이 ATD에서 보고서를 가져옵니다.
블랙리스트에 MD5 해시를 추가할 때 OS-ID에 어떤 값을 입력해야 합니까?
OS-ID 값은 샘플을 악성으로 탐지한 운영 체제가 어느 것인지 매핑하는 데 사용됩니다. 블랙리스트에 수동으로 추가하기 때문에 다른 스캐너가 이 값을 참조하지 않으므로 OS-ID에 0을 입력하면 됩니다.
ATD에서 지원되는 파일 형식과 최소 및 최대 파일 크기(바이트)는 어떻게 됩니까?
파일 형식 기본
최소값기본
최대값구성 가능한
최소값구성 가능한
최대값Windows PE(이식 가능 실행 파일) exe, dll 또는 sys 파일 1024 10000000 100 128000000 PDF 문서 파일(확장명 .pdf) 2048 25000000 100 128000000 Java 클래스 데이터 파일(확장명 .class) 1024 5000000 100 128000000 Microsoft Office 이전 버전 파일(확장명 .doc, .ppt 또는 .xls) 5120 10000000 100 128000000 Microsoft 서식 있는 텍스트 형식 파일(확장명 .rtf) 1024 10000000 100 128000000 Zip 파일, APK 파일, 또는 최신 Microsoft Office 파일(확장명 .docx, .pptx 또는 .xlsx) 200 20000000 100 128000000 JPEG 이미지 파일 5120 1000000 100 128000000 PNG 이미지 파일 5120 1000000 100 128000000 GIF 이미지 파일 5120 1000000 100 128000000 Microsoft DOS 실행 파일(확장명 .com) 1024 5000000 100 128000000 Macromedia Flash 파일(확장명 .swf) 1024 5000000 100 128000000 7-zip 압축 보관 파일(확장명 .7z) 200 10000000 100 128000000 RAR 압축 보관 파일(확장명 .rar) 200 10000000 100 128000000 Microsoft CAB 압축 보관 파일(확장명 .cab) 200 10000000 100 128000000 기타 텍스트 또는 스크립트 파일. 예: .js, .bat, .vbs, .xml, .py, .url, .htm 100 1000000 100 128000000
ATD는 어떤 순서로 악성 프로그램 분석을 수행합니까?
- 정적 분석:
- 로컬 화이트리스트
- 로컬 블랙리스트
- Global Threat Intelligence(GTI)
- Gateway Anti-Malware
- Anti-Malware
- 동적 분석: (샌드박스)
ATD는 영어를 기반으로 하지 않는 운영 체제도 지원합니까? 예를 들어 ATD(64비트 또는 32비트)에 Microsoft Windows 8 일본어 또는 중국어 버전 샌드박싱 이미지를 설치하는 것이 지원됩니까?
예. 지원됩니다. 샌드박스 분석에 영어를 기반으로 하지 않는 운영 체제를 사용하기 위한 자세한 내용을 보려면 기술 지원에서 서비스 요청을 여십시오.
ATD가 MATD 검사(Static(정적), Dynamic(동적) 및 Static Code(정적 코드) 분석)에 더블바이트 문자를 지원합니까?
예. 예를 들어 지역화된 중국어/일본어 파일 이름 및 파일 내용 텍스트에 대해 ATD는 이를 분석한 다음 Web Gateway에서 받은 지역화된 파일 이름으로 나열합니다.
ATD는 Active Directory와의 통합을 통해 중첩 그룹을 지원할 수 있습니까?
예. 하지만 기본 DN 검색의 하위 트리 옵션을 사용해야 합니다.
ATD에서 호스트되고 실행되는 VM 이미지에 KMS 활성화가 작동합니까?
아니요. KMS 활성화는 ATD 어플라이언스에서 실행되는 VM 이미지에는 작동하지 않습니다.
목차로 돌아가기
ATD 및 NSP
ATD/NSP 채널 상태를 보려면 어떻게 합니까?
NSP Sensor 명령줄에서 status 명령을 입력하여 ATD - NSP 통신 링크를 확인할 수 있습니다.
예:
[McAfee MATD Communication]
Status : up
IP : 172.23.80.7
Port : 8505
참고: 채널이 up(작동) 상태가 아니면 down(작동 중단) 상태로 표시됩니다.
트래픽이 HTTPS를 통해 전송되고 NSP Sensor에 암호 해독을 위한 올바른 인증서가 있을 경우 NSP Sensor가 파일을 ATD 어플라이언스로 전송합니까?
예. 악성 프로그램 분석을 위해 HTTPS를 통한 파일 압축 풀기가 지원됩니다. NSP Sensor에서 SSL 기능이 사용되고 올바른 인증서를 가져온 경우 이 Sensor는 HTTPS를 통해 파일의 암호를 해독하고 악성 프로그램 분석을 위해 파일을 ATD 어플라이언스로 전송할 수 있습니다.
NSP Sensor가 ATD에 연결되어 있는지 확인하려면 어떻게 합니까?NSP Sensor에 대한 명령줄 세션을 열고 status 명령을 실행한 다음 McAfeeMATDCommunication 아래의 정보를 통해 확인하십시오.
파일이 ATD로 전송되었는지 확인하려면 어떻게 합니까?NSP Sensor에 대한 명령줄 세션을 열고 malwareenginestats 명령을 실행한 다음 출력을 확인하십시오.
예:
MALWARE STATISTICS FOR MATD ENGINE:
--------------------------------------------------
Number of files sent: 4
Number of response Received: 4
Number of files ignored: 0
NSP Sensor가 ATD 어플라이언스와 통신하는 데 사용하는 물리적 포트는 무엇입니까?NSP Sensor는 자체 관리 포트를 사용하여 ATD 어플라이언스와 통신합니다.
NSP Sensor가 ATD와 통신하는 데 사용하는 TCP 포트는 무엇입니까?
NSP Sensor는 TCP 포트 8505를 사용하여 ATD와 통신합니다.
NSP Sensor가 많은 파일을 ATD로 전송하지 않습니다. 이유가 무엇입니까?
NSP Sensor는 전체 파일을 처리해야 합니다. 일부 경우에는 비대칭 트래픽 흐름과 같은 네트워크 구성으로 인해 NSP Sensor가 전체 파일을 보지 못할 수 있습니다. 이러한 상황을 해결하려면 NSP Sensor에서 Devices(장치), Policy(정책), Advanced(고급), TCP Settings(TCP 설정)로 이동하여 NSP Sensor가 트래픽을 permit out of order(순서에 관계없이 허용)로 설정하는 대신 permit for flow control(흐름 제어 허용)로 설정하십시오.
내 시그니처 업데이트가 실패하는 이유는 무엇입니까?
이 문제는 대개 올바르지 않은 DNS 설정으로 인해 발생합니다. DNS Proxy setting(DNS 프록시 설정) 아래에서 설정이 올바른지 확인하십시오.
ATD에서 NSP를 사용하여 검색하는 최대 파일 크기는 어떻게 됩니까?NSP의 파일 검색 제한은 현재 25MB로 설정되어 있습니다.
테스트용 악성 프로그램 샘플은 어디에서 구할 수 있습니까?
악성 프로그램 샘플 웹 사이트는 다음과 같습니다.
Maltrieve 분류기를 사용하여 결과를 여러 범주로 구성할 수도 있습니다.
검색 프로파일마다 각기 다른 Sensor를 설정할 수 있습니까?아니요.
ATD 및 Email Gateway(MEG)
MEG에서 ATD가 처리할 수 있는 것보다 더 많은 샘플을 전송하여 어플라이언스가 오버로드될 경우 이러한 상황에 대한 알림을 받을 수 있습니까?
아니요. ATD가 오버로드되면 MEG가 보낸 샘플이 거부되고 ATD Analysis Status(ATD 분석 상태) 페이지에 Rejected(거부됨)로만 표시됩니다. ATD에는 이러한 거부에 대해 알려주는 이메일이나 다른 통보가 없습니다.
내 ATD 소프트웨어를 업그레이드하기 전에 MEG 또는 Web Gateway와의 통합을 중단해야 합니까?
아니요. ATD 업그레이드를 수행하기 전에 이러한 통합을 중단할 필요는 없습니다.
Email Gateway ATD 캐시란 무엇입니까?
MEG는 검색 결과에 대한 캐시를 사용하여 중복 검색을 최소화하고 ATD를 최적화합니다.
이 캐시의 사양은 어떻게 됩니까?
- MEG에 대한 ATD 캐시 항목은 메모리 내 데이터베이스에 저장됩니다.
- 캐시 항목의 최대 개수에는 제한이 없습니다.
- 각 캐시 항목의 수명은 604800초(7일)입니다.
Email Gateway ATD 캐시를 지우려면 어떻게 해야 합니까?
MEG 관리 콘솔에서 캐시를 지울 수 있습니다. Troubleshoot(문제 해결), Tools(도구), ATD를 차례로 선택한 다음 캐시를 지웁니다.
악성 코드가 첫 번째 지점에서 시스템을 감염시키는 데 이용된 취약성을 ATD가 식별합니까?
예. ATD는 손상 시 동작과 주요 표시기를 식별하기 위해 요약 및 포괄적 보고 정보를 생성합니다. 이 정보는 Web Gateway나 ePO 등의 통합된 다른 McAfee 솔루션과 공유되어 적극적인 방어와 교정 액션을 가능하게 합니다.
ATD가 자동화된 호스트 치료를 수행합니까?
아니요. ATD 3.x에서는 자동화된 호스트 치료 기능을 사용할 수 없습니다.
ATD가 IPv6의 구성을 지원합니까?
아니요. ATD는 현재 IPv6을 지원하지 않지만 이후 업데이트에 해당 기능이 포함될 예정입니다.
ATD가 Common Criteria 인증을 지원합니까?
예. Common Criteria 인증은 버전 3.4.6 이상에서 지원됩니다.
ATD가 사용하지 말아야 하거나 사용해야 하는 IP 범위가 있습니까?
ATD는 192.168.50.0/24, 192.168.55.0/24 또는 192.168.88.0/24 범위를 사용하는 네트워크에 배포하면 안 됩니다. 예를 들어 192.168.50.12는 유효성을 검사해야 하는 VM의 IP 주소입니다.
참고: VM을 이 범위로 설정하면 해당 VM이 표시되지 않거나 사용할 수 없게 됩니다.
'factorydefaults' 명령을 실행할 경우 Active(활성) 및 Backup(백업) 소프트웨어 버전이 모두 동일한 버전으로 설정되는 이유는 무엇입니까?
이는 의도된 설계입니다. factorydefaults 명령은 Active(활성) 및 Backup(백업) 설정을 둘 다 지우며, Backup 소프트웨어 버전은 Active(활성) 소프트웨어 버전에 맞춰 조정됩니다.
ATD DNS 프록시 설정은 무엇입니까?
ATD에서 수행되는 모든 DNS 쿼리는 이 DNS 설정을 사용하여 조회 및 기타 기능을 수행합니다. 이러한 설정은 DAT 업데이트와 GTI 쿼리를 비롯한 모든 DNS 기능에 적용됩니다.
ATD 어플라이언스에서 아직 처리되지 않은 항목을 정리할 수 있습니까?예. ATD 어플라이언스에서 아직 처리되지 않은 항목을 정리하려면 다음 단계를 따르십시오.
주의: 이 작업을 수행하면 기존의 모든 보고서 분석 결과가 시스템에서 제거됩니다.
- ATD 콘솔을 열고 Manage(관리), Troubleshooting(문제 해결), Reset Report Analysis Results(보고서 분석 결과 재설정)로 이동합니다.
- Remove all Report Analysis Results(모든 보고서 분석 결과 제거)를 선택합니다.
- Submit(제출)을 클릭합니다.
다음은 ATD 장치에 있는 PSU LED의 동작에 대한 설명입니다.
ATD 3000 및 ATD 6000
전원 공급 상태 LED 상태 출력이 켜져 있고 양호함 녹색 모든 전원 공급 장치로 AC 전원이 공급되지 않음 꺼짐 AC 있음 / 12VSB만 켜짐(PS 꺼짐). 또는 PS가 Cold Redunnant 상태임 1Hz 녹색 점멸 AC 코드가 연결되어 있지 않거나 AC 전원이 끊어짐. 병렬 보조 전원 공급 장치에서는 AC 입력 전원 있음 황색 전원 공급 장치가 고온, 고전력, 고전류, 저속 팬 상태로 계속 작동한다는 전원 공급 장치 경고 이벤트 1Hz 황색 점멸 종료를 유발하는 전원 공급 장치의 중요 이벤트(장애 OCP, OVP, 팬 장애) 황색 전원 공급 장치 FW 업데이트 중 2Hz 녹색 점멸
ATD 관리자(관리 GUI)에 대한 세션 시간 초과 설정은 어떻게 구성합니까?
CLI에서 set ui-timeout 명령을 실행합니다. 예: set ui-timeout 300은 시간 초과를 300초로 설정합니다.
ATD가 악성으로 간주하는 최소 위협 점수는 몇 점입니까?3(중간)입니다.
ATD가 NIC 결합, 팀 또는 네트워크 집합을 지원합니까?
아니요. ATD는 이러한 기술을 지원하지 않습니다.
샘플에 인터넷으로 액세스하려면 기본 네트워크를 사용해야 합니까? 아니면 별도의 네트워크/회선을 구축해야 합니까?
기본 IP 주소의 평판을 위협하지 않는 선에서 네트워크를 분할하는 것이 좋습니다. 완전히 분리된 네트워크를 구현할 수도 있고 이 기능 전용으로 사용할 특정 IP를 구현할 수도 있습니다. 특정 IP 구현은 평판이 나빠지더라도 다른 비즈니스에 영향을 주지 않도록 하기 위한 것입니다.
ATD 클러스터를 설정할 경우 파일에 대한 부하 분산이 지원되고 파일 및 결과가 각 어플라이언스 간에 공유됩니까?클러스터에서는 부하 분산이 지원됩니다. 블랙리스트에 있는 파일이 클러스터 구성원 간에 동기화되며 이 기능은 3.4.8에서 개선되었습니다.
자세한 내용은 ATD Product Guide(ATD 제품 안내서)와 해당 제품 릴리스의 릴리스 정보에 나와 있습니다.
기본 어플라이언스와 보조 어플라이언스가 서로 다른 DC 또는 네트워크에 있는 클러스터를 지원합니까?아니요. 두 어플라이언스가 모두 동일한 네트워크에 있는 클러스터만 지원됩니다.ATD는 mwg-update.mcafee.com에서 안티바이러스 및 GAM 업데이트를 검색합니다.
ATD가 mwg-update.mcafee.com에 연결되는 이유는 무엇입니까?
클라이언트 서버 기본 포트 구성 가능 설명 Advanced Threat Defense tunnel.message.trustedsource.org TCP 443(HTTPS) 아니요 파일 평판 쿼리. Advanced Threat Defense list.smartfilter.com TCP 80(HTTP) 아니요 URL 업데이트. 임의(SSH 클라이언트) Advanced Threat Defense TCP 2222(SSH) 아니요 CLI 액세스. Advanced Threat Defense mwg-update.mcafee.com TCP 443(HTTPS) 아니요 McAfee Gateway Anti-Malware Engine 및 McAfee Anti-Malware Engine에 대한 업데이트.
악성 프로그램 인터페이스가 구성된 경우 URL 다운로드 트래픽을 전달하는 데 어떤 포트가 사용됩니까?
URL 다운로드 트래픽은 악성 프로그램 인터페이스가 구성된 경우에만 악성 프로그램 인터페이스를 통과하게 됩니다. 악성 프로그램 인터페이스가 구성되지 않은 경우 URL 다운로드 트래픽은 관리 포트를 통해 통과합니다.
'Null domain still present or couldn't be killed(Null 도메인이 여전히 존재하거나 이를 강제 종료할 수 없습니다)'라는 시스템 메시지가 로깅되는 이유는 무엇입니까?
이러한 메시지는 유효성 검사/확인 프로세스의 일부로 표시되며 ATD 어플라이언스가 null VM을 제거한 후에 표시됩니다. 이 메시지는 문제가 있음을 나타내는 것이 아니며 ATD의 일반적인 작업의 일부로 로깅되므로 무시해도 됩니다.
목차로 돌아가기
자동 디스크 공간 정리
ATD 디스크 정리 프로세스 동안 제거되는 파일은 무엇입니까?
디스크 정리 프로세스는 언제 실행됩니까?
ATD가 얼마 동안 원본 샘플 데이터와 검색 결과에 대한 복사본을 유지합니까?
ATD는 자동 디스크 정리 프로세스에 의해 삭제될 때까지 오래된 샘플과 검색 결과를 유지합니다.
ATD 디스크 정리 프로세스 동안 제거되는 파일은 무엇입니까?
이 프로세스는 오래된 파일, 코어 파일 및 파일 검색 결과를 삭제합니다.
디스크 정리 프로세스는 언제 실행됩니까?
어플라이언스 디스크 공간 사용량이 임계값인 75%를 초과하면 디스크 정리 프로세스가 시작됩니다.
보유 시간이나 제한을 구성할 수 있습니까?
아니요. 보유 제한을 구성할 수 있는 설정이 없습니다. ATD는 데이터 디스크 사용률이 75%를 초과하면 정리 작업을 실행하고 원본 샘플을 비롯하여 오래된 결과 중 일부를 삭제합니다.
사용량이 어떤 수준이 될 때까지 디스크 정리 프로세스가 실행됩니까?
보유 시간이나 제한을 구성할 수 있습니까?
아니요. 보유 제한을 구성할 수 있는 설정이 없습니다. ATD는 데이터 디스크 사용률이 75%를 초과하면 정리 작업을 실행하고 원본 샘플을 비롯하여 오래된 결과 중 일부를 삭제합니다.
사용량이 어떤 수준이 될 때까지 디스크 정리 프로세스가 실행됩니까?
관련 정보
KB83839 - End of Life for Advanced Threat Defense versions 3.2.x and earlier(Advanced Threat Defense 3.2.x 이하 버전의 사용 종료)
고지 사항
이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.