시스템 관리

Previous시스템 Next그룹 관리

Last updated 12 days ago

에이전트 설치 후 시스템 관리

에이전트가 설치되면 모든 시스템이 자동으로 표시되며, 호스트의 운영체제 종류, 버전, 패치 정보를 수집할 수 있습니다.

각 호스트에 대해 필요한 설정 및 기능 목록은 다음과 같습니다:

전체 로그 수집 On/Off
웹 로그 수집 On/Off
응용프로그램 로그 수집 On/Off
리소스 정보 수집 On/Off
[원격 제어] 전원 종료
[원격 제어] 네트워크 격리

1. 요약 (Summary)

상단의 Summary에서 등록된 호스트 상태 정보를 제공합니다.
각 Summary 메뉴를 선택하면 해당 조건에 맞는 필터된 정보가 표시됩니다.

등록/격리/종료
- 등록: 에이전트가 설치된 전체 호스트 수
- 격리: 네트워크 격리 중인 호스트 수
- 종료: 종료된 호스트 수
PLC(PLURA Log Collector)에 표시되는 정보:
- P (Parent): syslog를 이용하여 로그를 수집 중인 PLC 호스트 수
- C (Child): 부모 PLC에서 수집 중인 각 호스트 수

2. 호스트 정보

호스트의 주요 정보 목록을 확인할 수 있습니다.
- IP주소, MAC주소
- 운영체제 버전 및 업데이트 버전
- 에이전트 설치 시간
업데이트(빌드) 버전 위에 마우스를 올리면 HotFix 설치 정보가 표시됩니다. HotFix 정보는 업데이트가 없을 경우 노출되지 않습니다.

3. 설정

해당 호스트의 로그 수집 설정을 On/Off 할 수 있습니다.
- 웹 로그
- 응용프로그램 로그
- 전체 로그
- 리소스 정보 (CPU, 메모리, 디스크 용량 등)
변경 사항을 적용하려면 해당 호스트를 클릭한 후 On/Off 상태를 변경하고 수정 사항을 적용해야 합니다.

응용프로그램 원본 로그 설정은 설정 아이콘을 클릭하여 태그와 경로를 입력한 후 등록 버튼을 선택합니다.

호스트 보안 에이전트의 경우, 분석 설정(탐지/차단/전체 로그 수집)을 변경할 수 있습니다.

"H 유형" 검색 옵션을 통해 탐지 또는 차단 방식으로 검색이 가능합니다.

4. 포렌식

포렌식 정보는 다음 메뉴에서 확인할 수 있습니다.
- 호스트보안(EDR) > 포렌식

5. 원격 제어

원격 제어 기능은 다음 메뉴에서 확인할 수 있습니다.
- 호스트보안(EDR) > 원격 제어

6. 히스토리

에이전트에서 수행된 명령어 로그(히스토리) 목록을 제공합니다.

7. 채널별 로그 수

해커는 자신의 흔적을 숨기기 위해 로그를 삭제할 수 있습니다.

채널별 로그 수의 증감은 이상 징후 탐지에 중요한 요소로 사용됩니다.

특정 채널, 예를 들어 PowerShell이나 TaskScheduler의 로그 수 증감 변화를 확인할 수 있습니다.

특정 채널, 예를 들어 PowerShell이나 TaskScheduler의 로그 수 증감 변화를 확인할 수 있습니다.
- 이 메뉴는 윈도우와 리눅스 시스템에서 제공됩니다.
채널별 로그 수 아이콘을 클릭하면 팝업이 표시됩니다.

8. 그룹 등록

그룹 관리의 장점

그룹 관리자를 통해 관리 시스템의 범위를 축소하거나 제한하여 효율성을 높일 수 있습니다.
대시보드에서 특정 그룹만 선택하여 관리할 수 있습니다.
그룹을 생성한 후, 해당 그룹에 호스트를 추가하여 관리할 수 있습니다.

9. 호스트 삭제, 종료, 네트워크 격리/해제

호스트 삭제: 에이전트가 설치된 호스트에서 자동으로 삭제(uninstall)됩니다.

체크 박스를 선택한 후 다중 호스트에 대해 다음 명령을 수행할 수 있습니다:
- 호스트 삭제
- 호스트 종료
- 네트워크 격리/해제

10. 네트워크 로그 수집 등록

고객사 방화벽에서 syslog 설정을 통해 로그를 수집하는 특수 기능입니다.
사전 협의된 syslog만 수집됩니다.

IP 주소: 외부로 통신하는 IP 주소를 입력
정렬 코드: 수집되는 로그에 programname이 없는 경우, 임의로 programname을 생성하여 msg를 정렬함. 기본값은 OFF이며 필요 시 호스트 환경에 맞춰 협의하여 수정 가능합니다.