엔드포인트 연결
보안점검 기능은 보안점검 기능 권한이 할당되어있는 관리자만 사용할 수 있습니다.
보안점검 명령어 관리 및 사용 권한 할당은 권한별 명령어 할당 방법에서 설정할 수 있습니다.
- 분석 > 엔드포인트 > 개별 엔드포인트 목록 을 클릭합니다. Live Response(보안 점검)는 현재 동작중인 엔드포인트만 연결할 수 있습니다.
- 오른쪽 상단에 Live Response(보안점검) 아이콘을 클릭합니다.
- 비밀번호 확인창이 발생하며, 현재 로그인 한 관리자의 비밀번호를 입력합니다.
- 비밀번호 확인 후 보안점검 팝업창이 발생하며, 연결 성공 시 점검 팝업창에 "Agent연결에 성공했습니다." 메시지가 표시되며, 기본 경로는 에이전트 설치 경로로 연결됩니다.
- 점검창을 닫거나 exit 명령어 전송 시 보안점검 연결이 종료됩니다.
보안 점검 명령어
엔드포인트의 프로세스 목록 확인, 지정 확장자 검색, 파일 수집을 지원하며 상세 명령어는 아래와 같습니다.
기본 명령어
| 명령어 | 설명 |
|---|---|
| sendnow | 아직 전송되지 않은 이벤트, 로그를 즉시 서버로 전송합니다. |
| help | 명령어에 관한 도움말을 제공합니다. |
| dir | 디렉터리에 있는 파일과 하위 디렉터리 목록을 표시합니다. |
| cd | 현재 디렉터리 이름을 보여주거나 변경합니다. |
| cls | 화면을 지웁니다. |
| exit | Live Response를 종료합니다. |
| quicksearch | 색인화된 DB에서 실행 파일 또는 지정된 확장자를 가진 파일 목록을 검색합니다. |
Live Response 화면에서 Tab키를 이용하여 디렉토리 명을 확인할 수 있습니다.
커서만 있는 상태에서 Tab키 입력 시 help 로 확인 가능한 명령어가 표시되고, 특정 알파벳만 입력하고 Tab키 입력 시 해당 알파벳으로 실행 가능한 명령어가 표시됩니다.
지정 확장자 검색
Note
- 확장자 검색을 위해서는 정책 > 그룹 정책 관리 의 정책 상세 설정에서 지정 파일 목록 인덱싱을 사용으로 설정하고, 지정 확장자에 검색할 확장자가 정의되어 있어야 합니다.
- 에이전트에 정책이 적용되는 시간부터 변경사항이 일어나는 확장자에 대해서만 검색이 가능합니다.
- 변경사항이 발생하지 않는 모든 파일에 대해 검색이 필요한 경우 정책 > 그룹 정책 관리 의 정책 상세 설정에서 파일 크롤링을 사용으로 설정하고 실행 파일, 문서/압축 파일, 지정 파일 설정을 On으로 변경해야 합니다.
파일 크롤링을 사용하는 경우, 전체 파일 목록을 수집하는 데 많은 시간이 소요됩니다.
quicksearch 명령어: 색인화된 DB에서 실행 파일 또는 지정된 확장자를 가진 파일 목록을 검색합니다.
지원하는 파일 확장자: |.doc|.docx|.xls|.xlsx|.ppt|.pptx|.docm|.xlsm|.pptm|.hwp|.hwpx|.dwg|
.pdf|.txt|.csv|.zip|.arj|.7z|.alz|.cab|.rar|.tar|.exe|.dll|.ocx|.scr|.sys|.com|.msi|.bat|.js|.vbs|.vbe|.ps1|.cmd|
추가 옵션은 명령 도움말을 통하여 확인할 수 있습니다.(quicksearch /?)
| 명령어 | 설명 | 사용 예 |
|---|---|---|
| quicksearch | 현재 경로의 파일 목록을 검색합니다. | quicksearch doc_test.docx 현재 경로에서 doc_test.docx 파일을 검색합니다. |
| quicksearch 파일경로 파일명 | 특정 경로의 특정 파일 목록을 검색합니다. | quicksearch c:\Temp\doc_test.docx c:\Temp\ 경로에서 doc_test.docx 파일을 검색합니다. |
| quicksearch /s 파일경로 파일명 | 특정 경로 및 그 하위 경로에서 특정 파일 목록을 검색합니다. | quicksearch /s doc_test.docx 현재 경로를 포함하는 하위 경로에서 doc_test.docx 파일을 검색합니다. |
| quicksearch /a 파일명 | 전체 경로에서 특정 파일 목록을 검색합니다. | quicksearch /a doc_test.docx 전체 경로에서 doc_test.docx 파일을 검색합니다. |
| quicksearch /c 파일경로 파일명 | 특정 경로의 특정 파일 목록 갯수를 검색합니다. | quicksearch /v c:\Temp\doc_test.docx c:\Temp\doc_test.docx 파일을 검색하여 상세 정보를 표현합니다. |
| quicksearch /v 파일경로 파일명 | 특정 경로의 특정 파일 상세 목록을 검색합니다. | quicksearch /v /s c:\Temp\ c:\Temp\를 포함하는 하위 디렉토리에 파일 상세 목록을 검색합니다. |
| quicksearch /p 프로세스명 | 현재 경로에서 특정 프로세스로 생성된 파일 목록을 검색합니다. | quicksearch /p winword.exe 현재 경로에서 winword.exe 프로세스에 의하여 생성된 파일 목록을 검색합니다. |
프로세스 확인
tasklist 명령어: 현재 실행중인(서비스 포함) 모든 작업을 표시합니다.
추가 옵션은 명령 도움말을 통하여 확인할 수 있습니다.(tasklist /?)
| 명령어 | 설명 |
|---|---|
| tasklist | 프로세스 목록을 표시합니다.(이미지 이름,PID, 세션 이름, 세션, 메모리 사용) |
| tasklist /v | 자세한 작업 정보를 표시합니다. (이미지 이름,PID, 세션 이름, 세션, 메모리 사용, 상태, 사용자 이름, CPU 시간, 창 제목) |
| tasklist /m 모듈명 | 해당 exe/dll 이름을 사용하는 모든 작업을 나열합니다. 모듈 이름을 지정하지 않으면 로드된 모든 작업을 나열합니다. (패턴 이름 미입력 시 이미지 이름, PID, 모듈 정보 표시) |
| tasklist /svc | 각 프로세스에 호스트된 서비스를 표시합니다. (이미지 이름, PID, 서비스) |