본문 바로가기

EndPoint4

Carbon Black EDR 서버 설치 및 구성 매니저가 SaaS 형태로 제공되는 Carbon Black Cloud 제품과 달리 Carbon Black EDR 은 온-프레미스에 직접 구축이 필요하다. 따라서 이번 포스팅에서는 EDR 서버를 설치하고 관리하는 방법에 대해 다룰 것이다. 1. 설치 고려사항 1-1. OS 및 네트워크 OS와 네트워크 통신 설정이 필요하다. 지원되는 OS와 네트워크 설정은 지난 포스팅을 참조하여 확인 가능하다. https://seungminblog.tistory.com/entry/Carbon-Black-EDR-%EA%B5%AC%EC%B6%95-%ED%99%95%EC%9D%B8-%EC%82%AC%ED%95%AD Carbon Black EDR 구축 확인 사항 Carbon Black Cloud 구축 확인 사항에 이어 On-prem.. 2023. 9. 7.

Carbon Black EDR 구축 확인 사항 Carbon Black Cloud 구축 확인 사항에 이어 On-prem 버전인 Carbon Black EDR 의 구축 확인 사항에 대해 작성하고자 한다. SaaS 형식으로 제공하는 Carbon Black Cloud 와 달리 Carbon Black EDR 은 On-prem 에 구축되어 사용된다. 따라서 엔드포인트의 외부 통신을 허용하지 않는 환경에서 선호하고 있는 제품이다. 1. 구축 정보 Carbon Black EDR 의 필요 정보는 아래와 같다. 사용자는 웹 사용자 인터페이스를 제공하는 EDR Server 구축과 엔드포인트에 설치될 Sensor 배포를 진행하고, 위협 인텔리전스를 제공하는 Feeds 와의 연동을 진행한다. 1-1. Carbon Black EDR 사용자는 먼저 내부 워크로드에 Carbon.. 2023. 9. 6.

Carbon Black Cloud Sensor Agent 관리 Carbon Black Cloud 은 엔드포인트 및 워크로드에 센서 에이전트를 설치하여 관리한다. 센서가 엔드포인트에서 동작하기 때문에 사용자의 활동과 직접적으로 연관이 있다. 이러한 센서 에이전트가 비정상적으로 동작하거나 설치가 누락되었다면 사내 보안에 홀이 생길 수 있다. 먼저 센서를 배포하기 위해 정책과 센서 그룹 정의가 필요하다. 먼저 정책부터 살펴보자. 모든 센서는 하나의 정책에 할당되고 있으며, 정책을 통해서 센서의 어떠한 기능이 활성화될 지의 여부를 결정한다. 이러한 정책은 여러가지 방법으로 할당이 가능한데, 수동/자동(센서 그룹) 등의 방법으로 할당한다. 센서 기능 정의 차단 및 격리 규칙 정의 바이너리 공유 여부 정의 USB 엑세스 제어 정의 센서 그룹화 가능 정책은 Enforce > P.. 2023. 8. 11.

Carbon Black Cloud 구축 확인 사항 관리자들은 환경에 솔루션을 구축을 진행하기 전에 확인해야 할 사항들이 있다. 이번 포스팅에서는 Carbon Black Cloud 구축 전에 확인이 필요한 사항들에 대해서 작성하고자 한다. (내 피셜로 작성된 포스팅이므로 실 프로젝트를 구축할 때에 사용할 자료로는 적합하지 않으니 참고만 하시길...) 1. 제공 기능 검토 및 라이선스 선정 Carbon Black Cloud 는 단일 콘솔 및 단일 에이전트를 사용하여 NGAV, EDR, Threat Hunting, 취약성 관리 등의 기능을 제공하고 있다. 먼저 적합한 기능 및 라이선스를 고려하여 도입을 진행하게 된다. Standard EDR 전통적인 안티바이러스 백신 솔루션의 확장 실시간 공격 조사 Enterprise EDR 위협 사냥 및 사고 대응(Inci.. 2023. 8. 1.

이전 1 다음

티스토리툴바