# 호스트보안

{% hint style="info" %}
**계정 탈취 공격, 원격 접속 시도, 권한 상승, 측면 이동 공격 탐지 및 대응**

* 행위 기반 자동 공격 탐지 필터를 제공합니다.
* 사용자 정의 필터를 직접 생성할 수 있습니다.
* Windows 및 Linux 에이전트를 제공합니다.
* 시스템 로그와 보안 이벤트를 통합 수집·분석하여 위협 행위를 탐지합니다.
* 실시간 탐지, 차단, 연관 로그 분석을 통해 신속한 대응을 지원합니다.
  {% endhint %}

호스트보안은 엔드포인트에서 발생하는 시스템 로그와 보안 이벤트를 통합 수집·분석하여\
침해 탐지(EDR)와 위협 행위 추적을 수행하는 기능입니다.

운영체제별 이벤트를 실시간으로 감시하여 이상 징후와 보안 침해 시도를 탐지·차단하며,\
시각화된 로그를 통해 대응에 필요한 정보를 제공합니다.

Windows 환경에서는 Audit Log, Sysmon, Event Channel 기반 로그를,\
Linux 환경에서는 Syslog, Auditd, 인증 및 프로세스 관련 로그를 수집하여 분석합니다.

이를 통해 사용자는 다음과 같은 보안 위협을 빠르게 식별할 수 있습니다.

* 비정상 로그인 및 계정 탈취 시도
* 원격 접속 도구를 이용한 침입 시도
* 관리자 권한 상승 및 정책 우회 행위
* 내부 확산 및 측면 이동 징후
* 의심 프로세스 실행 및 지속성 확보 행위

### 1. 로그 상세 내용 <a href="#id-1" id="id-1"></a>

{% hint style="success" %}
컬럼명 설명

* 분류: 탐지된 필터 종류의 분류입니다.

* 그룹: 시스템관리 > 그룹에서 설정된 호스트의 그룹 정보입니다.

* 호스트명: 로그가 발생한 호스트의 hostname 정보입니다.

* 심각도: 시스템이 분류한 해당 로그의 심각도 수준입니다.

* 채널: 해당 로그가 발생한 채널 정보입니다.

* 이벤트 타입: 시스템이 분류한 해당 로그의 이벤트 유형입니다.

* 우선순위: 시스템이 분류한 해당 로그의 우선순위(Priority) 값입니다.

* 본문: 해당 로그의 msg 또는 eventdata 내용입니다.

* 유형: 차단 또는 탐지 여부를 구분하는 PLURA 필터 분류입니다.

* 마이크로초: 해당 로그가 발생한 시각의 마이크로초 단위 정보입니다.
  {% endhint %}

* 탐지 로그를 클릭하면 하단에 상세 정보가 열리며, 로그 원문과 주요 분석 정보가 함께 표시됩니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FyEynFlINvr7nqGXsE3Pa%2F20251111_112225.png?alt=media&#x26;token=1eb2fa30-554c-4608-983a-1ad45003d51e" alt=""><figcaption></figcaption></figure>

* 자동 차단: 탐지된 위협을 실시간으로 차단하도록 설정하는 기능으로, 동일 유형의 이벤트가 재발할 경우 즉시 방어 정책이 자동 적용됩니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FHNjjfwjcn9AaehuESZDp%2F20251111_112510.png?alt=media&#x26;token=f1a4ec26-40b5-4b9c-b9b6-50c1c8f8d987" alt=""><figcaption></figcaption></figure>

### 2. 로그 원본 내용 <a href="#id-2" id="id-2"></a>

* `로그` 탭으로 이동하면 발생한 이벤트의 원본 내용을 확인할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FCrSFzZcTKNJVuLQa2lnK%2F20251111_112351.png?alt=media&#x26;token=96338cff-3b12-4712-969a-1c169cf0abd5" alt=""><figcaption></figcaption></figure>

### 3 . 전체 로그 이동 우클릭 마우스 옵션 <a href="#id-3" id="id-3"></a>

* AI: 선택한 로그를 AI가 자동 분석하여 공격 유형, 의심 행위, 연관 이벤트 등을 요약·해석합니다.
* 시스템 관리: 선택한 호스트의 시스템 관리 페이지로 이동할 수 있습니다.
* 로그 컬럼에서 마우스 오른쪽 버튼을 클릭하면 아래와 같은 전체 로그 페이지로 이동할 수 있습니다.

<table><thead><tr><th width="166">선택 조건</th><th>설명</th></tr></thead><tbody><tr><td>전체 로그(<code>=</code>) </td><td><code>동일</code> 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±1s</code>)</td><td><code>1초</code> 전후 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±2s</code>)</td><td><code>2초</code> 전후 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±3s</code>) </td><td><code>3초</code> 전후 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±5s</code>) </td><td><code>5초</code> 전후 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±10s</code>) </td><td><code>10초</code> 전후 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±30s</code>) </td><td><code>30초</code> 전후 시간대의 전체 로그</td></tr><tr><td>전체 로그(<code>±60s</code>) </td><td><code>60초</code> 전후 시간대의 전체 로그</td></tr></tbody></table>

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2Fxyt9d1eMqZmMvsgumQum%2F20251111_112818.png?alt=media&#x26;token=638c70b0-b00d-4ccb-b02b-1dbc81a5344e" alt=""><figcaption></figcaption></figure>

***

### 4. 날짜 정렬 <a href="#id-4" id="id-4"></a>

* 생성일 기준으로 최신순과 과거순으로 날짜 기준 정렬할 수 있습니다.
* 기본 정렬은 최신순이며, 가장 최근에 생성된 로그가 먼저 표시됩니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FUrlui34pK2wLZqunRm0W%2F20251111_122913.png?alt=media&#x26;token=b52d81d3-5403-4f84-bc5d-3de092b50033" alt=""><figcaption></figcaption></figure>

### 5. 한 페이지에서 보여 주는 로그 라인 수 <a href="#id-5" id="id-5"></a>

* 한 페이지에 표시할 로그 개수는 기본 20개며, 최대 100개까지 선택할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2F8Aq0NBciirIF4hAixanc%2F20251111_122959.png?alt=media&#x26;token=ba1e1859-ae3f-43bb-b73b-9867cda2444a" alt=""><figcaption></figcaption></figure>

### 6. 날짜/시간 선택 <a href="#id-6" id="id-6"></a>

* 기본적으로 오늘 발생한 로그를 표시하며, 날짜/시간 설정을 통해 특정 기간의 로그를 조회할 수 있습니다.
* 기간을 확대하여 최근 1주 또는 1개월 단위로 조회할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FSczjzkZH3Vhxf2b5sy3t%2F20251111_123041.png?alt=media&#x26;token=af361f3c-7dea-4aff-8597-66ca6a453e96" alt=""><figcaption></figcaption></figure>

### 7. 상세 검색  버튼 <a href="#id-7" id="id-7"></a>

* &#x20;`상세 검색` 아이콘을 클릭하면 팝업(레이어 창)이 열립니다.
* 세부 조건을 지정하여 `상세 검색`을 수행할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2F04MplHIIT1epr2MYepOo%2F20251111_123211.png?alt=media&#x26;token=9e7f6fab-feb9-42c4-beea-d71d4eb88aab" alt=""><figcaption></figcaption></figure>

### 8. 로그 보기 화면 전환  <a href="#id-8" id="id-8"></a>

* 리스트형과 피드형 화면을 선택할 수 있으며, 선택한 설정은 사용자 브라우저에 저장됩니다.
* 리스트형 화면을 선택할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FzuzQyb8MqvLIYviRvuCf%2F20251111_124150.png?alt=media&#x26;token=edd02b11-93ad-4400-9c50-1e3297332565" alt=""><figcaption></figcaption></figure>

* 피드형 화면을 선택할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FMQVi2VBgmjKaW7OUFmU1%2F20251111_124230.png?alt=media&#x26;token=980d63b5-596e-4867-b890-4f0790db29ed" alt=""><figcaption></figcaption></figure>

### 9. 검색 가이드

* 검색기능 매뉴얼 : <https://docs.plura.io/ko/v6/fn/comm/search>

### 📖 PLURA-Blog

* [PLURA를 활용한 BPFDoor 탐지](https://blog.plura.io/ko/respond/bpfdoor_with_plura/)
* [Process Hollowing: 공격 기법과 탐지 전략](https://blog.plura.io/ko/respond/process_hollowing/)
* [유지보수 업체를 통한 침투, 이렇게 막는다](https://blog.plura.io/ko/column/vendor_remote_access/)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/v6/fn/comm/edr.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.