# Windows

{% hint style="info" %}
PowerShell, Task Scheduler 등 24종의 핵심 Event Tracing for Windows (ETW) 채널을 자동으로 구독(subscribe)하여 실시간 모니터링하고, 파일리스 공격이나 권한 상승 시도와 같은 고급 위협을 정밀하게 탐지합니다.
{% endhint %}

{% hint style="info" %}
에이전트 설치 시 일반 사용자 권한 제공
{% endhint %}

## 설치 안내 <a href="#id-1" id="id-1"></a>

### 1. EDR 에이전트 다운로드 <a href="#id-1-1" id="id-1-1"></a>

* PLURA 웹 UI에 로그인
* 오른쪽 상단 메뉴에서 "Install Agents" 페이지로 이동
* 에이전트 다운로드

### 2. EDR 에이전트 설치 <a href="#id-1-2" id="id-1-2"></a>

* 다운로드한 "PluraSetup.exe" 파일 실행
* 설치 지원 언어 선택

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2Fe5V6EX1MddNz0d0dcq9r%2FAgent_W_1.png?alt=media&#x26;token=77ba2578-1d0b-46da-b5d2-04448ade57b5" alt=""><figcaption><p>[PluraSetup.exe 실행 화면]</p></figcaption></figure>

### 3. 설치 경로 선택 <a href="#id-1-3" id="id-1-3"></a>

* 기본 설치 경로 유지 권장

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FUde4ZSypRGhQfHF8NhdB%2FAgent_W_2.png?alt=media&#x26;token=3d480a0c-5393-48ab-8ba0-a9d84b72d827" alt=""><figcaption><p>[PLURA 에이전트 설치 경로 설정 화면]</p></figcaption></figure>

### 4. 로그인 <a href="#id-1-4" id="id-1-4"></a>

* 웹 UI의 "Install Agents"에서 라이선스를 확인한 후 입력
  * [x] 라이선스 확인: PLURA 웹 로그인 후 상단 메뉴 > [**관리**](https://docs.plura.io/ko/function/common/management) > [**서비스**](https://docs.plura.io/ko/function/common/management/service) > 라이선스 항목
* EDR 에이전트 UI 실행하여"라이선스 키" 입력 후 로그인

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FYvtHtM9bEMKdVCaSSw3P%2FAgent_W_3.png?alt=media&#x26;token=dee0e45c-aa24-49e0-a019-dab1ca7d0e70" alt=""><figcaption><p>[라이선스 키 입력 화면]</p></figcaption></figure>

### 5. 서비스 시작 <a href="#id-1-5" id="id-1-5"></a>

* 로그인 후 EDR 에이전트가 자동으로 시작됩니다.
* 마지막 로그 업로드 시간이 표시되면 로그가 정상적으로 업로드된 것입니다.

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FHoNNOYWAE560IXm9vZHr%2FAgent_W_4.png?alt=media&#x26;token=ee39571d-3ffc-46a9-b2db-98d9a9072ff4" alt=""><figcaption><p>[에이전트 상태 화면]</p></figcaption></figure>

### 6. Sysmon 설치 <a href="#id-1-6" id="id-1-6"></a>

{% hint style="info" %}

* Sysmon은 [Microsoft Sysinternals](https://learn.microsoft.com/en-us/sysinternals/) 에서 제공하는 소프트웨어로, Windows 커널 관련 다양한 행위를 로그로 생성합니다.
* Windows 운영체제 내의 행위를 모니터링하는 필수 소프트웨어입니다.
  {% endhint %}

(1) [**Sysmon 다운로드**](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)

(2) 설치

* 관리자 권한으로 cmd 실행 후 Sysmon.exe 파일 경로로 이동
* 다음 명령어 실행

  ```bash
  sysmon.exe -accepteula -i "C:\Program Files\PLURA\sysmon-plura.xml"
  ```

(3) 설치 확인

* EDR 에이전트 UI에서 Sysmon 설치 여부를 확인합니다.

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FldoEjtVSYDrG6jljf68m%2Fsysmon_1.png?alt=media&#x26;token=509d9876-bd3e-48d6-bc83-661a5ba4f9ae" alt=""><figcaption><p>[Sysmon 설치 ON 표시 화면]</p></figcaption></figure>

### 7. 서비스 중지 <a href="#id-1-7" id="id-1-7"></a>

* 활성화 되어있는 "에이전트 상태" 버튼 선택 시, EDR 에이전트 서비스가 중지됨

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FRd586jdtscxozhhIMtHm%2FAgent_W_5.png?alt=media&#x26;token=22b1afac-ebcc-4131-92ba-b12289e82ae4" alt=""><figcaption><p>[에이전트 상태 변경, 중지 실행 화면]</p></figcaption></figure>

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FqDwxKHClAT6Zc6C7DHz4%2FAgent_W_6.png?alt=media&#x26;token=ee741075-8ab7-4a61-9d11-a4109050ca96" alt=""><figcaption><p>[에이전트 중지 상태]</p></figcaption></figure>

### 8. 웹 로그 수집 설정 <a href="#id-1-8" id="id-1-8"></a>

(1) [PLURA 웹사이트](https://www.plura.io)에 접속하여 해당 시스템의 웹 로그 수집 기능을 활성화

* 왼쪽 메뉴 하단의 시스템 > [**시스템 관리**](https://docs.plura.io/ko/function/common/system/management)로 이동
* 변경하고자 하는 항목을 목록에서 선택

(2-1) 웹 로그 수집을 ON으로 설정한 후 수정 버튼을 선택. 해제하려면 OFF로 변경

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FwhhUpNF9tDT1SQVxRmwK%2FWeb_1.png?alt=media&#x26;token=f7d6990b-eccd-4ccd-8f50-735175e9d73a" alt=""><figcaption><p>[PLURA 웹 콘솔 UI > (왼쪽 메뉴 목록) 시스템 관리 > 설정 화면]</p></figcaption></figure>

(2-2) 에이전트의 웹 로그 설정 메뉴에서 웹 로그 수집 체크. 해제하려면 OFF로 변경

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FfD9DSDpBilJKNdS6Wexy%2FAgent_W_7.png?alt=media&#x26;token=14c59c38-57f0-4a62-b773-5a02285dc2be" alt=""><figcaption><p>[웹 로그 수집 설정 화면]</p></figcaption></figure>

## 사용자 기능 및 화면 안내 <a href="#id-2" id="id-2"></a>

### 1. 에이전트 상태 탭 <a href="#id-2-1" id="id-2-1"></a>

* 에이전트 상태 ON/OFF 버튼: 에이전트 동작 설정 가능
* [Sysmon](https://docs.plura.io/ko/agents/edr/windows/sysmon), [Weblog 설정](https://docs.plura.io/ko/agents/edr/windows#id-8) 및 기타 정보를 확인할 수 있습니다.

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FPbxXstPKh9kCo4x64cm3%2F04.png?alt=media&#x26;token=c791c27b-8487-4daf-ab2f-2c5cf8ebc696" alt=""><figcaption></figcaption></figure>

### 2. 웹로그 설정 탭 <a href="#id-2-2" id="id-2-2"></a>

* 웹로그 수집 체크박스: [웹로그 수집 설정](https://docs.plura.io/ko/agents/edr/windows#id-8) 가능
* 업데이트 버튼: 최신 웹 로그 모듈(ModPlura)이 있을 경우 버튼이 활성화되어 업데이트 가능
* 웹로그 모듈 삭제 버튼 : 웹 로그 수집에 필요한 모듈(ModPlura)을 삭제할 수 있습니다.

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FzbBUax1jcLvaYLjsq7Zv%2F05.png?alt=media&#x26;token=d30afe82-7322-45b4-a6a1-7e72fb61130b" alt=""><figcaption></figcaption></figure>

### 3. 환경설정 탭 <a href="#id-2-3" id="id-2-3"></a>

* 바로가기 버튼: PLURA 에이전트가 설치된 경로로 바로 이동할 수 있습니다.
* 자동 업데이트 체크박스: 자동 업데이트 설정 가능

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2F7QaOgKVBjuoYnTZVZyvW%2F06.png?alt=media&#x26;token=f528a93a-6ce3-403e-af89-0ccc721ca84f" alt=""><figcaption></figcaption></figure>

### 4. 로그아웃 <a href="#id-2-4" id="id-2-4"></a>

* 화면 상단의 Logout 버튼을 클릭하면 로그아웃됩니다.

## 동영상 안내 <a href="#id-3" id="id-3"></a>

### 1. 에이전트 설치 <a href="#id-3-1" id="id-3-1"></a>

{% embed url="<https://www.youtube.com/embed/scdOgeH4VxY?si=LMJh-3kk35ruKDl>\_" %}

### **2. Sysmon 설치** <a href="#id-3-2" id="id-3-2"></a>

{% embed url="<https://www.youtube.com/embed/-imOmBTYJpw?si=h8-XvveIoWwZnHEJ>" %}

### **3. 웹 로그 수집 설정** <a href="#id-3-3" id="id-3-3"></a>

{% embed url="<https://youtu.be/-S9GXYO_taY>" %}
<https://youtu.be/-S9GXYO_taY>
{% endembed %}