사용

1. 웹방화벽

웹 서비스 보호를 위한 세부 예외 처리 및 개인정보 보호 기능을 설정합니다.

1-1. 개인정보 마스킹

• 기능: 로그 내 포함된 개인정보(계좌번호, 주민번호 등)를 별표(*)로 처리하여 관리자에게 노출되지 않도록 합니다.

• 주의: 차단된 공격 로그의 경우, 분석을 위해 마스킹되지 않은 상태로 저장됩니다.

1-2. AI 민감정보 제외(웹방화벽)

• 기능 : AI에 분석 정보를 제공할 때 IP 주소, 호스트 이름 등 민감한 정보가 포함되지 않도록 특정 항목을 전달 대상에서 제외

• Extension, Host, Method, URL(path) 등 웹 키 항목 중 제외할 대상을 선택

1-3. 탐지 예외

특정 조건의 트래픽을 탐지 대상에서 제외합니다. (전체 로그에는 기록되나, 탐지 이벤트로는 생성되지 않음)

• 예외 그룹: 여러 개의 조건을 묶어 관리할 수 있습니다.

• 조건 설정: 그룹 간에는 OR, 그룹 내 조건 간에는 AND 로직이 적용됩니다.

• 정규식 지원: 복잡한 패턴 매칭을 위해 정규식(Regex)을 지원합니다.

1-4. 크리덴셜스터핑 예외

• 기능: 로그인 시도 실패가 빈번하게 발생하는 정상적인 IP나 계정이 있을 경우, 이를 오탐으로 처리하지 않도록 예외 등록합니다.

1-5. 제로데이 예외

• 기능: 최신 취약점(Zero-day) 탐지 로직 중, 정상적인 비즈니스 로직과 충돌하여 오탐을 발생시키는 특정 시그니처를 일시적으로 제외합니다.

1-6. 브루트포스 예외

• 기능: 내부 테스트나 특정 자동화 도구로 인한 무차별 대입 탐지 알람을 방지합니다.

1-7. 제한 예외

• 기능: 웹방화벽에서 수집되는 로그 중 특정 조건에 해당하는 데이터를 선별하여 업로드하거나, 분석에서 제외하도록 설정합니다.

1-8. IP차단 예외

• 기능: 특정 IP 주소에 대해서는 웹방화벽의 차단 정책을 적용하지 않도록 설정합니다.

• 활용: 신뢰할 수 있는 사내 IP나 파트너사 IP를 등록하여 오탐으로 인한 서비스 중단을 방지합니다.

1-9. 업로드

웹 업로드 발생 시 로그 수집 및 저장 정책을 그룹별로 상세 설정합니다.

• 선별 및 예외 설정: 특정 조건에 맞는 로그만 선별하여 업로드하거나, 반대로 특정 로그를 업로드 대상에서 제외할 수 있습니다 (최대 30개까지 등록 가능).

• 그룹화 로직: * Key 간 조건: AND 연산 적용.

  • Value 간 조건: OR 연산 적용.

• 지원 필드: Extension, Host, Method, Post-body, Referer, Remote-addr, URL(path) 등 다양한 Key 값을 지원하며 정규식(Regex) 사용이 가능합니다

2. 호스트 보안

호스트의 직접적인 제어 권한과 보안 기능을 설정합니다.

2-1. AI 민감정보 제외(호스트보안)

• 기능 : 운영체제(Windows, Linux) 및 채널별로 제외할 키(Key)를 설정

2-2. 원격제어

호스트의 물리적/네트워크적 상태를 관리자가 직접 제어할 수 있는 메뉴를 활성화합니다

• 설정 방법: ON으로 설정 시, [시스템 관리 > 호스트 선택 > 원격 제어] 탭이 활성화됩니다.

• 주요 기능:

  • 호스트 종료: 원격에서 대상 시스템을 즉시 종료합니다.

  • 네트워크 격리: 침해 사고 발생 시 해당 호스트의 모든 네트워크를 차단합니다. (단, PLURA 에이전트와의 통신 및 관리자가 설정한 예외 IP와의 통신만 유지됩니다.)

2-3. 포렌식

침해 사고 분석을 위해 호스트의 상세 아티팩트(Artifact) 정보를 수집하고 변경 이력을 관리합니다.

• 기능 활성화: 'ON' 설정 시 상세 항목이 노출되며, [시스템관리 > 호스트 > 상세 > 포렌식] 탭에서 해당 메뉴를 이용할 수 있습니다.

2-4. 취약점 점검

• 호스트 보안 영역에서 취약점 점검 기능을 ON/OFF 설정하는 항목입니다.

• 활성화 시 각 호스트의 보안 구성 상태를 점검하고 취약 여부를 수집합니다.

• ON 설정 시 에이전트를 통해 점검 데이터 수집

• 점검 결과는 시스템관리 > 취약점 점검 메뉴에서 확인

2-5. 취약점 점검|버전 조회

• 서버에서 운영 중인 주요 소프트웨어의 취약 버전 여부를 점검하는 기능입니다.

• 관리자가 사용 중인 버전을 선택해야 점검이 가능합니다.

2-6. 업로드

에이전트가 설치된 호스트의 데이터를 PLURA 관리 서버로 전송하기 위한 규칙을 정의합니다.

• OS별 맞춤 설정: 운영체제(Windows, Linux 등)에 따라 수집 가능한 데이터의 구조(Depth)가 다르게 제공됩니다.

• 정밀 제어: 웹방화벽 업로드와 동일하게 선별/예외 그룹 설정이 가능하며, 설정된 값에 매칭될 경우에만 데이터 업로드가 실행됩니다.

• 편의 기능: 정규식 미체크가 기본값이며, 복잡한 문자열 패턴을 자유롭게 지정할 수 있습니다.

3. 시스템관리(시간동기화)

• NTP 서버 설정

  • ON/OFF 설정 가능

  • 기본값: time.windows.com

  • 다중 서버 입력 지원(콤마 구분)

  • 그룹별 설정 가능

4. 시스템 보안 관리

• 각 호스트의 보안 및 업데이트 관련 관리 기능을 활성화(ON/OFF)하는 설정 메뉴입니다.

• 해당 기능을 ON으로 설정하면 시스템 보안 관리 메뉴에서 업데이트 및 보안 항목을 통합 관리할 수 있습니다.

※ 업데이트 기능이 없는 항목(원격 데스크톱, RDP 저장 목록 등)은 관리 대상에 포함되지 않습니다.

5. 안전한 OS 관리

안전한 OS 관리 메뉴에서는 호스트의 보안 성능을 강화하는 WDAC, ASR, 고급 감사, Sysmon, Winget 등의 보안 기능을 통합 제어하고 정책을 적용할 수 있습니다.

5-1. 정책 적용 방식 설정

보안 정책을 적용할 대상을 선택합니다.

• 대표(전체 적용): 조직 내 모든 호스트에 공통된 보안 정책을 일괄 적용합니다.

• 그룹별 적용: 특정 그룹을 선택하여 해당 그룹에 속한 호스트에만 별도의 보안 정책을 적용합니다.

  • 다중 그룹 선택: 하나 이상의 그룹을 동시에 선택하여 정책을 부여할 수 있습니다.

5-2. WDAC (애플리케이션 제어) 단계별 설정

신뢰하지 않는 애플리케이션의 실행을 제어하기 위해 단계별 프로세스 그룹을 지원합니다. 사용자는 각 단계별로 체크박스를 통해 전체 항목을 선택하거나 개별 유틸리티를 관리할 수 있습니다.

5-3. 주요 보안 기능 활성화

각 보안 모듈의 사용 여부를 원격으로 제어합니다.

• WDAC: 애플리케이션 실행 제어 기능의 활성화 상태를 관리합니다.

• ASR (공격 표면 감소): 악성 코드 침투 경로를 차단하는 규칙 적용 여부를 설정합니다.

• Sysmon: 상세 시스템 이벤트 로그 기록 기능을 제어합니다.

• Winget: Windows 패키지 관리자의 활성화 상태를 관리합니다.