안전한OS관리

1. 개요

각 호스트의 보안 설정 상태를 한눈에 파악하고, 필요한 정책을 즉시 활성화하거나 업데이트할 수 있습니다.

• WDAC (Windows Defender Application Control): 신뢰하지 않는 애플리케이션의 실행을 단계별로 제어합니다.

• ASR (Attack Surface Reduction) 관리: 공격 표면 감소 규칙을 통해 악성 코드 침투 경로를 차단합니다.

• Sysmon: 시스템 서비스 및 네트워크 연결 등 상세한 시스템 이벤트를 기록합니다.

• Winget: Windows 패키지 관리 도구를 통해 소프트웨어의 최신 보안 상태를 관리합니다.

2. 안전한 OS 관리 항목

2-1. WDAC (애플리케이션 제어)

애플리케이션 실행 권한을 5단계로 구분하여 관리합니다.

• 제어 단계: 필수(1단계)부터 사고대응(5단계)까지 중요도에 따라 프로세스를 분류합니다.

• 주요 대상: mshta.exe, powershell.exe, rundll32.exe 등 공격에 악용되기 쉬운 시스템 유틸리티를 포함합니다.

• 적용 방식: '전체 적용(대표)' 또는 '그룹별 적용'을 선택할 수 있으며, 다중 그룹 선택을 지원합니다.

2-2. ASR 관리

특정 위협 시나리오에 대한 방어 규칙을 설정합니다.

• 설정 모드: 비활성화(Disabled), 활성화(Block), 감사(Audit), 경고(Warn) 모드를 지원합니다.

• 보호 항목: 취약한 서명 드라이버 악용 차단, Office/Adobe Reader 자식 프로세스 차단, LSASS 자격 증명 도용 차단 등을 포함합니다.

2-3. Sysmon

• Sysmon 관리: 에이전트별로 Sysmon 설치, 삭제 및 설정 파일 업데이트를 원격으로 수행합니다. 특정 버전(27번 전용)에 대한 다운로드 및 업데이트 기능을 별도로 제공합니다.

2-4. Winget (Windows 패키지 관리자)

Windows용 표준 패키지 관리 도구인 Winget의 활성화 상태를 관리하고, 소프트웨어 설치 및 업데이트를 안전하게 제어합니다.

• 상태 관리: 각 호스트 에이전트별로 Winget의 활성화(ON) 또는 비활성화(OFF) 상태를 실시간으로 모니터링하고 제어합니다.

• 원격 업데이트: '업데이트(Update)' 기능을 통해 개별 호스트의 Winget 패키지 매니저 상태를 최신화할 수 있습니다.

3. 운영 상태 표기 (Summary)

각 보안 항목의 활성화 여부를 직관적인 상태 정보로 제공합니다.

• ON: 해당 항목 내 설정이 하나라도 활성화되어 있는 상태입니다.

• OFF: 모든 항목이 선택되지 않았거나 비활성화된 상태입니다.

• 상태 요약: 대시보드 상단에서 전체 호스트 대비 활성화/비활성화 호스트 수(예: 3/34)를 실시간으로 확인할 수 있습니다.

4. 참고사항

• 업데이트 기능: 정책 변경 후에는 반드시 '업데이트(RELOAD)'를 수행해야 에이전트에 최신 설정이 반영됩니다.

• 설치 조건: Sysmon 등 일부 기능은 에이전트의 현재 사용 상태(ON/OFF)에 따라 설치 또는 삭제 가능 여부가 결정되므로 실행 전 상태 값을 확인하시기 바랍니다

• 상세 점검 기준: 운영체제별 안전한 OS 관리 상세 검증 스크립트 및 기준은 아래 깃헙 링크에서 확인할 수 있습니다.

  • Windows (GitHub)

  • RedHat (GitHub)

  • Ubuntu (GitHub)