정보보호 (Security)

시만텍 백신에 의해 격리되는 파일을 수집하여 분석하기 위한 방안

날으는물고기 2024. 7. 15. 00:11

시만텍 백신 윈도우 클라이언트의 파일 격리와 관련해서 간단히 정리해 보겠습니다.

1. 격리 설정 관리

  • 바이러스 및 스파이웨어 스캔 또는 행동 분석(SONAR)이 위협을 감지하면, Symantec Endpoint Protection은 의심스러운 파일을 감염된 컴퓨터의 로컬 격리소에 보관합니다. 이후 클라이언트는 파일을 복구하거나 복원하거나 삭제합니다.
  • 클라이언트가 위험을 감지하여 파일을 격리하면 관리 서버에 알립니다. 관리 서버에서는 격리된 파일을 자동으로 요청하고 검색할 수 있습니다. 관리 서버는 위험 샘플을 데이터베이스에 업로드하고 저장하며, 이벤트 세부 정보를 표시하고 추가 분석을 위해 다운로드할 수 있습니다.

2. 격리된 파일을 관리 서버로 업로드

  • 기본적으로 관리 서버는 클라이언트에서 격리된 파일을 검색하지 않습니다. 이 설정을 활성화해야 합니다.
  • 관리 콘솔에서 '관리 > 도메인 > 도메인 속성 편집'을 클릭하고, 일반 탭에서 '클라이언트에서 격리된 파일 업로드'를 선택한 다음 확인을 클릭합니다.

3. 격리 설정 구성

  • 새로운 정의가 클라이언트에 도착했을 때 격리 항목을 다시 스캔하고 자동으로 복구 및 복원합니다.
  • 격리 항목이 저장되는 위치를 변경하고 싶다면, 다른 로컬 디렉토리를 지정할 수 있습니다. 예를 들어 %COMMON_APPDATA%와 같이 경로 확장을 사용할 수 있습니다.

4. 격리된 파일 삭제

  • 격리는 지정된 일 수 후에 복구된 파일, 백업 파일, 격리된 파일을 자동으로 삭제합니다. 파일 저장 폴더가 특정 크기에 도달하거나 특정 일 수 후에 파일을 삭제하도록 설정할 수 있습니다.

5. 샌드박스 및 멀웨어 분석

  • 파일이 오진으로 의심되는 경우 Symantec 지원팀에 문의하여 사례를 등록할 수 있습니다. 또는 내부 멀웨어 또는 보안 팀에 파일을 제출하여 역공학을 수행하거나 다른 샌드박스에서 분석할 수 있습니다.

이러한 단계를 통해 시만텍 윈도우 클라이언트의 격리 설정을 관리하고 필요에 따라 조정할 수 있습니다.

 

시만텍 엔드포인트 보호(Symantec Endpoint Protection)에서 클라이언트에 의해 격리된 파일은 일반적으로 특정 폴더에 저장되며, 이 파일들은 일반적인 파일 형식이 아닐 수 있습니다. 파일을 추출하고 활용하는 방법에 대해 설명해보겠습니다.

1. 격리된 파일이 저장되는 경로

시만텍 엔드포인트 보호에서 격리된 파일은 기본적으로 다음과 같은 경로에 저장됩니다.

%ProgramData%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine

이 경로는 Windows의 ProgramData 폴더 안에 위치해 있으며, 숨겨진 폴더일 수 있으므로 탐색기에서 '숨김 항목 보기' 옵션을 활성화해야 볼 수 있습니다.

2. 격리된 파일의 형태

격리된 파일들은 원래의 파일 형식(.exe, .doc 등)을 유지하지 않을 수 있습니다. 시만텍은 파일을 격리할 때 파일을 암호화하거나 특수 포맷으로 변환하여 안전하게 보관합니다. 이러한 형태는 일반적으로 바이러스 분석을 위해 보호하거나, 실수로 악성 코드가 실행되는 것을 방지하기 위함입니다.

3. 격리된 파일의 활용 방법

격리된 파일을 활용하기 위해서는 다음 단계를 따라야 합니다.

  1. 파일 추출
    • 관리 콘솔에서 격리된 파일을 추출할 수 있습니다. '모니터 > 로그 > 위험 로그 유형 선택'으로 이동한 다음, 원하는 파일을 선택하고 액션 드롭다운 목록에서 '격리된 파일 다운로드'를 클릭합니다.
  2. 파일 분석
    • 추출한 파일을 안전한 환경에서 분석할 수 있습니다. 이는 내부 보안 팀에 의해 역공학을 시도하거나, 샌드박스 환경에서 실행하여 동작을 관찰하는 것을 포함할 수 있습니다.
  3. 오진 여부 확인
    • 파일이 잘못 격리되었다고 의심될 경우, 시만텍 지원팀에 연락하여 파일을 검토해달라고 요청할 수 있습니다.

격리된 파일을 다룰 때는 항상 주의가 필요합니다. 파일을 적절히 관리하고, 분석은 반드시 격리된, 안전한 환경에서 수행해야 합니다. 또한, 시만텍의 정책과 지침을 준수하면서 작업하는 것이 중요합니다.

 

시만텍 엔드포인트 프로텍션 매니저(Symantec Endpoint Protection Manager, SEPM)에서 클라이언트의 격리된 파일을 수집하는 기능을 활성화하면, 이 파일들은 관리 서버에 저장됩니다. 여기에서 수집 과정과 파일의 저장 위치, 그리고 파일 활용 방법에 대해 설명드리겠습니다.

1. 파일 수집 활성화

  • 관리 콘솔에서 관리 > 도메인 > 도메인 속성 편집을 클릭하여 일반 탭에서 '클라이언트에서 격리된 파일 업로드' 옵션을 활성화해야 합니다. 이렇게 설정하면, 클라이언트가 격리한 파일이 자동으로 SEPM으로 전송됩니다.

2. 파일 저장 위치

  • SEPM에서 수집한 격리된 파일들은 서버의 특정 경로에 저장됩니다. 이 경로는 일반적으로 SEPM 설치 디렉토리 내의 하위 폴더에 위치하며, 보통 %SEPM_HOME%\data\inbox\quarantine 폴더 내에 위치하게 됩니다.

3. 파일 형태 및 활용

  • 수집된 격리 파일은 일반적으로 암호화되거나 특수한 포맷으로 저장되어 직접 실행 가능한 형태는 아닙니다. 이는 보안을 위해 악성 코드의 잠재적인 실행을 방지하기 위함입니다.
  • 이 파일들은 직접적으로 사용하기보다는 주로 분석 목적으로 활용됩니다. 파일을 안전하게 분석할 수 있는 도구나 환경(예: 샌드박스)에서 열어서 파일의 동작을 확인하거나, 멀웨어 분석을 위해 내부 보안 팀에 전달할 수 있습니다.
  • 파일이 오진으로 의심되면, 시만텍 지원팀에 문의하여 파일을 검토하도록 요청할 수 있습니다.

 

SEPM으로 수집된 격리 파일들은 직접적으로 사용할 수 있는 형태가 아니며, 보안 분석이나 추가적인 처리를 위한 용도로 주로 사용됩니다. 관리자는 이러한 파일들을 적절히 다루어야 하며, 항상 보안을 유지하는 것이 중요합니다.

 

시만텍 엔드포인트 프로텍션 매니저(Symantec Endpoint Protection Manager, SEPM)에서 로그를 확인하기 위한 웹 액세스는 일반적으로 특정 포트를 통해 이루어집니다. SEPM의 기본 설정에서는 로그 뷰어나 콘솔 접근을 위해 8443 포트를 사용하는 경우가 많습니다. 이 포트는 HTTPS 통신을 사용하여 보안 연결을 제공합니다.

포트 8443 사용

  • SEPM의 웹 콘솔 접근에 사용되며, 관리자가 웹 브라우저를 통해 로그를 포함한 다양한 관리 기능을 수행할 수 있게 해줍니다.
  • 웹 콘솔 URL 형식은 일반적으로 https://[서버주소]:8443/sepm 입니다.

포트 확인 및 설정

  • 실제 사용 중인 포트는 SEPM 설치 또는 구성 중에 변경될 수 있습니다. 사용 중인 포트를 확인하거나 변경하려면 SEPM의 관리 콘솔에서 네트워크 설정을 검토해야 합니다.

보안 주의사항

  • 웹 액세스 포트는 외부에서 접근 가능하므로, 적절한 보안 조치가 필요합니다. 방화벽 설정, 암호화된 연결, 접근 제어 목록(ACL) 등을 통해 보안을 강화해야 합니다.

 

Symantec Endpoint Protection Manager (SEPM)에서 별도의 로그 뷰어를 위해 사용되는 포트는 종종 포트 8444입니다. 이 포트는 SEPM의 Reporting 기능을 위해 사용되며, 관리자가 웹 인터페이스를 통해 로그와 보고서를 확인할 수 있도록 합니다.

포트 8444 사용

  • SEPM의 보고서 로그 뷰어와 관련된 기능에 사용되는 것이 일반적입니다. 이를 통해 웹 브라우저에서 보안 로그 및 기타 관련 데이터를 뷰할 수 있습니다.
  • 웹 브라우저를 통한 접근 URL 형식은 https://[서버주소]:8444/reporting 이 될 수 있습니다. 이 주소는 설치 환경에 따라 달라질 수 있으니, 구체적인 정보는 SEPM의 구성 설정을 확인해야 합니다.

포트 설정 확인 및 보안

  • SEPM의 설치 또는 네트워크 구성에 따라 다른 포트가 사용될 수 있습니다. 실제로 어떤 포트가 사용되는지 확인하려면, SEPM의 관리 콘솔에서 네트워크 설정을 검토하거나 관리자에게 문의해야 합니다.
  • 포트 8444와 같은 웹 액세스 포트는 외부의 위협으로부터 보호하기 위해 적절한 보안 조치를 취하는 것이 중요합니다. 이에는 SSL/TLS 암호화, 접근 제어 목록 설정, 방화벽 규칙 구성 등이 포함됩니다.

 

SEPM의 보고서 접근이나 로그 뷰에 사용되는 정확한 포트 번호는 설치 환경이나 구성에 따라 달라질 수 있으므로, 포트 번호와 관련된 설정은 시스템의 실제 구성 문서나 관리자의 지침을 참조하는 것이 가장 정확합니다.

 

Symantec Endpoint Protection Manager (SEPM)에서 격리된 파일 정보를 자동으로 수집하는 방안을 마련하려면, 주기적으로 로그를 확인하고 격리된 파일 정보를 추출하는 스크립트를 작성하여 사용할 수 있습니다. 이를 통해 특정 디렉토리로 파일을 수집하거나 보고서를 생성할 수 있습니다. 여기서는 PowerShell 스크립트를 사용하여 이러한 작업을 자동화하는 방법을 설명합니다.

단계 1: SEPM에서 로그 파일 접근 설정

SEPM에서 격리된 파일 정보를 포함한 로그 파일에 접근할 수 있도록 설정해야 합니다. SEPM의 보고서 및 로그 파일을 추출하기 위해 SEPM의 데이터베이스 또는 로그 파일에 접근할 수 있는 권한이 필요합니다.

단계 2: PowerShell 스크립트 작성

PowerShell을 사용하여 주기적으로 SEPM의 로그 파일을 확인하고 격리된 파일 정보를 추출하는 스크립트를 작성할 수 있습니다. 예를 들어, SEPM에서 로그 파일을 CSV 형식으로 내보내도록 설정한 후, 해당 CSV 파일을 읽어 격리된 파일 정보를 추출하는 방법입니다.

# 격리된 파일 로그 파일 경로 설정
$logFilePath = "C:\path\to\sepm\quarantine_log.csv"
# 추출된 파일 정보 저장 경로 설정
$outputFilePath = "C:\path\to\output\quarantine_summary.txt"

# 로그 파일이 존재하는지 확인
if (Test-Path $logFilePath) {
    # 로그 파일 읽기
    $logData = Import-Csv -Path $logFilePath

    # 격리된 파일 정보 추출
    $quarantineFiles = $logData | Where-Object { $_.Status -eq "Quarantined" }

    # 추출된 정보 저장
    $quarantineFiles | ForEach-Object {
        $fileInfo = "File Name: $_.FileName, Detected Date: $_.DetectedDate, Threat Name: $_.ThreatName"
        Add-Content -Path $outputFilePath -Value $fileInfo
    }

    # 결과 출력
    Write-Output "Quarantine files information has been extracted and saved to $outputFilePath"
} else {
    Write-Output "Log file not found at $logFilePath"
}

단계 3: 스크립트 자동 실행 설정

이 스크립트를 주기적으로 실행하려면 Windows의 작업 스케줄러(Task Scheduler)를 사용하여 일정한 시간 간격으로 스크립트를 실행하도록 설정할 수 있습니다.

작업 스케줄러 설정 방법

  1. 작업 스케줄러를 엽니다.
  2. '작업 만들기(Create Task)'를 선택합니다.
  3. '일반(General)' 탭에서 작업 이름과 설명을 입력합니다.
  4. '트리거(Triggers)' 탭에서 새로 만들기(New)를 클릭하고, 스크립트가 실행될 주기를 설정합니다.
  5. '동작(Actions)' 탭에서 새로 만들기(New)를 클릭하고, '프로그램/스크립트' 필드에 powershell을 입력합니다. '인수 추가(Add arguments)' 필드에 -File "C:\path\to\your\script.ps1"을 입력합니다.
  6. '확인(OK)'을 클릭하여 작업을 저장합니다.

이제 설정한 주기에 따라 PowerShell 스크립트가 실행되어 SEPM에서 격리된 파일 정보를 자동으로 추출하고 저장할 것입니다. 이 방법을 통해 자동화된 방식으로 SEPM 격리 파일 정보를 관리할 수 있습니다.

728x90