Windows

MS Windows용 호스트 보안(EDR) 에이전트 설치 방법

PowerShell, Task Scheduler 등 24종의 핵심 Event Tracing for Windows (ETW) 채널을 자동으로 구독(subscribe)하여 실시간 모니터링하고, 파일리스 공격이나 권한 상승 시도와 같은 고급 위협을 정밀하게 탐지합니다.

에이전트 설치 시 일반 사용자 권한 제공

설치 안내

1. EDR 에이전트 다운로드

  • PLURA 웹 UI에 로그인

  • 오른쪽 상단 메뉴에서 "Install Agents" 페이지로 이동

  • 에이전트 다운로드

2. EDR 에이전트 설치

  • 다운로드한 "PluraSetup.exe" 파일 실행

  • 설치 지원 언어 선택

[PluraSetup.exe 실행 화면]

3. 설치 경로 선택

  • 기본 설치 경로 유지 권장

  • 설치 경로 변경 가능

[PLURA 에이전트 설치 경로 설정 화면]

4. 로그인

  • 웹 UI의 "Install Agents"에서 라이선스를 확인한 후 입력

  • EDR 에이전트 UI 실행하여"라이선스 키" 입력 후 로그인

[라이선스 키 입력 화면]

5. 서비스 시작

  • 로그인 후 EDR 에이전트가 자동으로 시작됩니다.

  • 마지막 로그 업로드 시간이 표시되면 로그가 정상적으로 업로드된 것입니다.

[에이전트 상태 화면]

6. Sysmon 설치

  • Sysmon은 Microsoft Sysinternals 에서 제공하는 소프트웨어로, Windows 커널 관련 다양한 행위를 로그로 생성합니다.

  • Windows 운영체제 내의 행위를 모니터링하는 필수 소프트웨어입니다.

(1) Sysmon 다운로드

(2) 설치

  • 관리자 권한으로 cmd 실행 후 Sysmon.exe 파일 경로로 이동

  • 다음 명령어 실행

    sysmon.exe -accepteula -i "C:\Program Files\PLURA\sysmon-plura.xml"

(3) 설치 확인

  • EDR 에이전트 UI에서 Sysmon 설치 여부를 확인합니다.

[Sysmon 설치 ON 표시 화면]

7. 서비스 중지

  • 활성화 되어있는 "에이전트 상태" 버튼 선택 시, EDR 에이전트 서비스가 중지됨

[에이전트 상태 변경, 중지 실행 화면]
[에이전트 중지 상태]

8. 웹 로그 수집 설정

(1) PLURA 웹사이트에 접속하여 해당 시스템의 웹 로그 수집 기능을 활성화

  • 왼쪽 메뉴 하단의 시스템 > 시스템 관리로 이동

  • 변경하고자 하는 항목을 목록에서 선택

(2-1) 웹 로그 수집을 ON으로 설정한 후 수정 버튼을 선택. 해제하려면 OFF로 변경

[PLURA 웹 콘솔 UI > (왼쪽 메뉴 목록) 시스템 관리 > 설정 화면]

(2-2) 에이전트의 웹 로그 설정 메뉴에서 웹 로그 수집 체크. 해제하려면 OFF로 변경

[웹 로그 수집 설정 화면]

사용자 기능 및 화면 안내

1. 에이전트 상태 탭

  • 에이전트 상태 ON/OFF 버튼: 에이전트 동작 설정 가능

  • Sysmon, Weblog 설정 및 기타 정보를 확인할 수 있습니다.

2. 웹로그 설정 탭

  • 웹로그 수집 체크박스: 웹로그 수집 설정 가능

  • 업데이트 버튼: 최신 웹 로그 모듈(ModPlura)이 있을 경우 버튼이 활성화되어 업데이트 가능

  • 웹로그 모듈 삭제 버튼 : 웹 로그 수집에 필요한 모듈(ModPlura)을 삭제할 수 있습니다.

3. 환경설정 탭

  • 바로가기 버튼: PLURA 에이전트가 설치된 경로로 바로 이동할 수 있습니다.

  • 자동 업데이트 체크박스: 자동 업데이트 설정 가능

4. 로그아웃

  • 화면 상단의 Logout 버튼을 클릭하면 로그아웃됩니다.

동영상 안내

1. 에이전트 설치

2. Sysmon 설치

3. 웹 로그 수집 설정

https://youtu.be/-S9GXYO_taY
Previous호스트보안(EDR)NextSysmon

Last updated