# 이벤트 수집

<div class="admonition note"><p class="admonition-title">Note</p>

이벤트 수집 관리 및 예외 설정은 **정책 > 이벤트 수집 관리**에서 설정 가능합니다.
</div>

## 엔드포인트 이벤트 수집

단말의 에이전트 설치가 완료되면 엔드포인트에서 발생하는 이벤트를 EDR 서버로 전송합니다.  
Genian EDR 서버 설정에 따라 중요하다고 판단하는 이벤트(프로세스 실행,실행/문서/압축 파일 생성)를 수집하며, 더 필요한 정보는 서버 설정에서 변경할 수 있습니다.

엔드포인트에서 수집된 이벤트는 **통합검색**에서 확인 가능합니다. 기본 인덱스는 아래와 같습니다.

- **Endpoint2:** 엔드포인트에서 발생하는 이벤트(file, process, module, network, registry) 정보
- **Alert2:** Threat Detector 에 의해 위협으로 탐지되어 알람이 발생한 정보 및 이상행위탐지(XBA)엔진에서 탐지한 위협 정보를 이벤트 기반으로 표시
- **Threat2:** Threat Detector 에 의해 위협으로 탐지되어 알람이 발생한 정보 및 이상행위탐지(XBA)엔진에서 탐지한 위협 정보를 상태 기반으로 표시
- **Inflow:** 파일 유입 정보
- **Volume:** 외부 저장장치 마운트 정보
- **FileMaster:** PE, Script 관리
- **system-info:** Endpoint 목록의 상세화면-리소스 현황에 표시되는 cpu,memory, storage(agent installed drive) 정보
- **system_info:** Endpoint 목록의 상세화면-시스템 정보에 표시되는 장치정보, 운영체제,저장장치, 네트워크 인터페이스 정보
- **Filelist:** Agent에서 수집한 Endpoint의 파일 목록
- **winevt*:** Endpoint에서 발생하는 Windows Event 정보
- **artifact:** aritifact 수집 시, 수집한 파일 관련 정보
- **uploadlist:** 서버에 업로드되어 수집 관리 메뉴에 표시되는 파일 목록
- **filestatic-analyze:** 파일 상세 분석 메뉴를 통해 업로드하여 파일 정적 분석 도구를 이용한 분석 결과 저장 정보


### 윈도우 이벤트(ETW)

<div class="admonition note"><p class="admonition-title">Note</p>

**정책 > 그룹 정책 관리 > 수집**에서 수집 대상 윈도우 이벤트 설정이 가능합니다.
</div>

Genian EDR에서는 관리자가 원하는 윈도우 이벤트를 등록하면 해당 이벤트를 수집하여 검색할 수 있도록 기능을 제공합니다.  
관련 이벤트는 `winevt` 인덱스에 저장되어 **통합 검색**에서 검색 가능합니다.

- **WindowEvent:** 엔드포인트에서 발생하는 Windows Event 정보

## 이벤트 조사

**분석 > 조사 > 이벤트 조사** 페이지에서는 특정 엔드포인트가 아닌, 전체 엔드포인트에서 발생한 이벤트를 확인하고 분석할 수 있습니다.

### 이벤트 검색

- 이벤트 조사 화면에서 단일 키워드로 파일에 관련된 모든 필드를 한번에 검색할 수 있습니다. 필드명을 입력하지 않고 검색이 가능한 필드는 검색창 클릭 시 파란색 별표로 표시되어 있습니다.  
- 다른 메뉴의 검색창에서는 데이터 검색 시 `필드명:데이터` 와 같은 형태로 검색해야 하지만 이벤트 조사 화면에서는 키워드 검색이 가능합니다.
- 검색할 키위드에 공백이 포함된 경우 큰따옴표(Double Quatation)로 키워드를 감싼 후 검색합니다.
- `AuthName`, `AuthDeptName`, `HostName` 필드는 키워드 검색 시 full text로 입력해야 합니다. 예를 들어 AuthName 이 홍길동 이라면 검색시 홍길 이라는 단어만 입력한다면 검색되지 않습니다.

### 이벤트 조사

이벤트 조사 리스트는 전체 엔드포인트에서 발생한 Event 히스토리를 확인할 수 있습니다.

- 설정한 날짜(ex.Today,1d,3d 등)의 히스토리가 차트로 표시되며, 차트 내에서 마우스 클릭하여 드래그 시 이벤트 날짜 기간을 좁혀서 상세 정보를 확인할 수 있습니다.  

이벤트 목록 클릭 시 **이벤트 상세정보 화면**이 나타납니다.

- 이벤트 상세 화면에서 예외처리  아이콘 클릭 시, 해당 이벤트를 수집하지 않도록 등록할 수 있습니다.
- 오른쪽 화면에서 도킹 팝업 클릭 시, 별도의 팝업창이 발생합니다.  
이벤트 상세정보 화면에서는 클릭한 항목이 최초에 어떤 프로세스에 의해 실행되었으며, 연결 정보가 존재하는 경우 Destination IP 정보까지 파악할 수 있습니다.
- 플로팅 아이콘 클릭 시 클릭한 항목과 관련이 있는 Process, File, Module, Network, Registry 정보를 최초 발생 시간 기준으로 표시합니다.  
(정책 > 그룹 정책 > 엔드포인트가 포함된 정책의 수집 대상 이벤트 설정에 따라 수집 되지 않은 데이터는 표시되지 않습니다.)
- 이벤트 상세정보에서 선택한 이벤트에 대해 엔드포인트 정보부터 선택한 이벤트가 실행되기까지 직접적인 관련이 있는 이벤트만 보거나,  
이벤트 종류를 기준으로 연관된 이벤트를 모두 표시하도록 설정할 수 있습니다.  

### 이벤트 조사 컬럼 설정

이벤트 조사 화면에서 컬럼 설정을 통해 관리자가 확인하고 싶은 정보만 표시할 수 있습니다.

1. **분석 > 조사 > 이벤트 조사**에서 오른쪽 상단의 설정 아이콘을 클릭하여 `컬럼 설정` 선택 시 컬럼 설정 화면이 표시됩니다.
2. 표시하고 싶은 컬럼 항목을 오른쪽으로 이동 후 `저장` 버튼을 클릭 시 관리자가 설정한 컬럼으로 표시됩니다.