# Windows

{% hint style="info" %}
PowerShell, Task Scheduler 등 24종의 핵심 Event Tracing for Windows (ETW) 채널을 자동으로 구독(subscribe)하여 실시간 모니터링하고, 파일리스 공격이나 권한 상승 시도와 같은 고급 위협을 정밀하게 탐지합니다.
{% endhint %}

{% hint style="info" %}
에이전트 설치 시 일반 사용자 권한 제공
{% endhint %}

## 설치 안내 <a href="#id-1" id="id-1"></a>

### 1. EDR 에이전트 다운로드 <a href="#id-1-1" id="id-1-1"></a>

* PLURA 웹 UI에 로그인
* 오른쪽 상단 메뉴에서 "Install Agents" 페이지로 이동
* 에이전트 다운로드

### 2. EDR 에이전트 설치 <a href="#id-1-2" id="id-1-2"></a>

* 다운로드한 "PluraSetup.exe" 파일 실행
* 설치 지원 언어 선택

<figure><img src="/files/MD4l3akZkehiLwH0AzkX" alt=""><figcaption><p>[PluraSetup.exe 실행 화면]</p></figcaption></figure>

### 3. 설치 경로 선택 <a href="#id-1-3" id="id-1-3"></a>

* 기본 설치 경로 유지 권장

<figure><img src="/files/NoH9ZF0inm1W27r83mBB" alt=""><figcaption><p>[PLURA 에이전트 설치 경로 설정 화면]</p></figcaption></figure>

### 4. 로그인 <a href="#id-1-4" id="id-1-4"></a>

* 웹 UI의 "Install Agents"에서 라이선스를 확인한 후 입력
  * [x] 라이선스 확인: PLURA 웹 로그인 후 상단 메뉴 > [**관리**](https://docs.plura.io/ko/function/common/management) > [**서비스**](https://docs.plura.io/ko/function/common/management/service) > 라이선스 항목
* EDR 에이전트 UI 실행하여"라이선스 키" 입력 후 로그인

<figure><img src="/files/2vP399ixPyW8ZyMmQpsc" alt=""><figcaption><p>[라이선스 키 입력 화면]</p></figcaption></figure>

### 5. 서비스 시작 <a href="#id-1-5" id="id-1-5"></a>

* 로그인 후 EDR 에이전트가 자동으로 시작됩니다.
* 마지막 로그 업로드 시간이 표시되면 로그가 정상적으로 업로드된 것입니다.

<figure><img src="/files/aXKVTXcZaifUulPuP5bW" alt=""><figcaption><p>[에이전트 상태 화면]</p></figcaption></figure>

### 6. Sysmon 설치 <a href="#id-1-6" id="id-1-6"></a>

{% hint style="info" %}

* Sysmon은 [Microsoft Sysinternals](https://learn.microsoft.com/en-us/sysinternals/) 에서 제공하는 소프트웨어로, Windows 커널 관련 다양한 행위를 로그로 생성합니다.
* Windows 운영체제 내의 행위를 모니터링하는 필수 소프트웨어입니다.
  {% endhint %}

(1) [**Sysmon 다운로드**](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)

(2) 설치

* 관리자 권한으로 cmd 실행 후 Sysmon.exe 파일 경로로 이동
* 다음 명령어 실행

  ```bash
  sysmon.exe -accepteula -i "C:\Program Files\PLURA\sysmon-plura.xml"
  ```

(3) 설치 확인

* EDR 에이전트 UI에서 Sysmon 설치 여부를 확인합니다.

<figure><img src="/files/WdDNTmx1yC1JzGB9S3Hs" alt=""><figcaption><p>[Sysmon 설치 ON 표시 화면]</p></figcaption></figure>

### 7. 서비스 중지 <a href="#id-1-7" id="id-1-7"></a>

* 활성화 되어있는 "에이전트 상태" 버튼 선택 시, EDR 에이전트 서비스가 중지됨

<figure><img src="/files/mdTuzBZbIRYScSCZbAEe" alt=""><figcaption><p>[에이전트 상태 변경, 중지 실행 화면]</p></figcaption></figure>

<figure><img src="/files/NEQi8nV9F5O0Kann13P3" alt=""><figcaption><p>[에이전트 중지 상태]</p></figcaption></figure>

### 8. 웹 로그 수집 설정 <a href="#id-1-8" id="id-1-8"></a>

(1) [PLURA 웹사이트](https://www.plura.io)에 접속하여 해당 시스템의 웹 로그 수집 기능을 활성화

* 왼쪽 메뉴 하단의 시스템 > [**시스템 관리**](https://docs.plura.io/ko/function/common/system/management)로 이동
* 변경하고자 하는 항목을 목록에서 선택

(2-1) 웹 로그 수집을 ON으로 설정한 후 수정 버튼을 선택. 해제하려면 OFF로 변경

<figure><img src="/files/6KnLifYMMBewyaXmQEx1" alt=""><figcaption><p>[PLURA 웹 콘솔 UI > (왼쪽 메뉴 목록) 시스템 관리 > 설정 화면]</p></figcaption></figure>

(2-2) 에이전트의 웹 로그 설정 메뉴에서 웹 로그 수집 체크. 해제하려면 OFF로 변경

<figure><img src="/files/gNY58hvWBSC7YPjr1x7Y" alt=""><figcaption><p>[웹 로그 수집 설정 화면]</p></figcaption></figure>

## 사용자 기능 및 화면 안내 <a href="#id-2" id="id-2"></a>

### 1. 에이전트 상태 탭 <a href="#id-2-1" id="id-2-1"></a>

* 에이전트 상태 ON/OFF 버튼: 에이전트 동작 설정 가능
* [Sysmon](https://docs.plura.io/ko/agents/edr/windows/sysmon), [Weblog 설정](https://docs.plura.io/ko/agents/edr/windows#id-8) 및 기타 정보를 확인할 수 있습니다.

<figure><img src="/files/9b3lrJtrBcSbXe26ZECe" alt=""><figcaption></figcaption></figure>

### 2. 웹로그 설정 탭 <a href="#id-2-2" id="id-2-2"></a>

* 웹로그 수집 체크박스: [웹로그 수집 설정](https://docs.plura.io/ko/agents/edr/windows#id-8) 가능
* 업데이트 버튼: 최신 웹 로그 모듈(ModPlura)이 있을 경우 버튼이 활성화되어 업데이트 가능
* 웹로그 모듈 삭제 버튼 : 웹 로그 수집에 필요한 모듈(ModPlura)을 삭제할 수 있습니다.

<figure><img src="/files/kcOb2Ofp92TbMijw3EEt" alt=""><figcaption></figcaption></figure>

### 3. 환경설정 탭 <a href="#id-2-3" id="id-2-3"></a>

* 바로가기 버튼: PLURA 에이전트가 설치된 경로로 바로 이동할 수 있습니다.
* 자동 업데이트 체크박스: 자동 업데이트 설정 가능

<figure><img src="/files/CADit03Tx4pbvE94IikG" alt=""><figcaption></figcaption></figure>

### 4. 로그아웃 <a href="#id-2-4" id="id-2-4"></a>

* 화면 상단의 Logout 버튼을 클릭하면 로그아웃됩니다.

## 동영상 안내 <a href="#id-3" id="id-3"></a>

### 1. 에이전트 설치 <a href="#id-3-1" id="id-3-1"></a>

{% embed url="<https://www.youtube.com/embed/scdOgeH4VxY?si=LMJh-3kk35ruKDl>\_" %}

### **2. Sysmon 설치** <a href="#id-3-2" id="id-3-2"></a>

{% embed url="<https://www.youtube.com/embed/-imOmBTYJpw?si=h8-XvveIoWwZnHEJ>" %}

### **3. 웹 로그 수집 설정** <a href="#id-3-3" id="id-3-3"></a>

{% embed url="<https://youtu.be/-S9GXYO_taY>" %}
<https://youtu.be/-S9GXYO_taY>
{% endembed %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/agents/edr/windows.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.