Windows 이벤트 로그 연동
이 가이드는 Windows 엔드포인트에 KYRA EDR 에이전트를 설치하여 Windows Security, System 및 Sysmon 이벤트 로그를 KYRA MDR로 수집하고 전달하는 방법을 설명합니다.
지원 버전: Windows 10/11, Windows Server 2016, 2019, 2022, 2025
사전 준비
- KYRA MDR Collector 설치 및 실행 중 (설치 가이드)
- Windows 관리자 접근
- Collector 또는 KYRA 플랫폼으로의 네트워크 연결
1단계: KYRA EDR 에이전트 설치
PowerShell (권장)
관리자 권한으로 PowerShell을 실행합니다:
# KYRA EDR 에이전트 다운로드 및 설치Invoke-WebRequest -Uri "https://install.kyra.ai/edr/windows" -OutFile "$env:TEMP\kyra-edr-setup.msi"Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\kyra-edr-setup.msi TENANT_ID=your-tenant-id API_KEY=your-api-key /quiet" -Wait에이전트가 수행하는 작업:
- Windows 서비스(
KYRA EDR Agent)로 설치 - Security, System, Application 이벤트 채널 구독
- KYRA Collector 또는 플랫폼으로 이벤트 전달 시작
그룹 정책 배포
Active Directory GPO를 통해 여러 엔드포인트에 배포하려면:
- 콘솔 > 설정 > 다운로드에서 MSI를 다운로드
- Tenant ID와 API Key가 포함된
transform.mst파일 생성 - 컴퓨터 구성 > 정책 > 소프트웨어 설정 > 소프트웨어 설치를 통해 배포
2단계: Windows 감사 정책 설정
Windows는 기본적으로 많은 중요한 이벤트를 기록하지 않습니다. 의미 있는 보안 텔레메트리를 얻으려면 권장 감사 정책을 활성화하세요.
그룹 정책 (GPO) 사용
컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 정책 구성으로 이동:
| 카테고리 | 하위 카테고리 | 설정 |
|---|---|---|
| 계정 로그온 | 자격 증명 유효성 검사 | 성공, 실패 |
| 계정 로그온 | Kerberos 인증 서비스 | 성공, 실패 |
| 계정 관리 | 사용자 계정 관리 | 성공, 실패 |
| 계정 관리 | 보안 그룹 관리 | 성공, 실패 |
| 로그온/로그오프 | 로그온 | 성공, 실패 |
| 로그온/로그오프 | 특수 로그온 | 성공 |
| 개체 접근 | 파일 시스템 | 실패 |
| 정책 변경 | 감사 정책 변경 | 성공 |
| 권한 사용 | 중요한 권한 사용 | 성공, 실패 |
| 프로세스 생성 | 프로세스 생성 | 성공 |
| 시스템 | 보안 상태 변경 | 성공 |
PowerShell 사용
# 중요 감사 정책 활성화auditpol /set /subcategory:"Logon" /success:enable /failure:enableauditpol /set /subcategory:"Credential Validation" /success:enable /failure:enableauditpol /set /subcategory:"User Account Management" /success:enable /failure:enableauditpol /set /subcategory:"Security Group Management" /success:enable /failure:enableauditpol /set /subcategory:"Special Logon" /success:enableauditpol /set /subcategory:"Process Creation" /success:enableauditpol /set /subcategory:"Audit Policy Change" /success:enable
# 프로세스 생성 이벤트에 명령줄 로깅 활성화reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1 /f중요: 명령줄 프로세스 감사를 활성화하세요 — 이것이 없으면 이벤트 ID 4688에 프로세스 이름만 표시되고 전체 명령어가 표시되지 않습니다. 이는 파일리스 악성코드와 LOLBins(Living Off the Land Binaries)를 탐지하는 데 필수적입니다.
3단계: Sysmon 설치 (권장)
Microsoft Sysmon은 기본 Windows 이벤트를 훨씬 넘어서는 상세한 프로세스, 네트워크 및 파일 활동 로깅을 제공합니다.
# Sysmon 다운로드Invoke-WebRequest -Uri "https://live.sysinternals.com/Sysmon64.exe" -OutFile "$env:TEMP\Sysmon64.exe"
# KYRA의 권장 Sysmon 설정 다운로드Invoke-WebRequest -Uri "https://install.kyra.ai/sysmon/config.xml" -OutFile "$env:TEMP\sysmonconfig.xml"
# 설정과 함께 Sysmon 설치& "$env:TEMP\Sysmon64.exe" -accepteula -i "$env:TEMP\sysmonconfig.xml"KYRA EDR 에이전트는 Microsoft-Windows-Sysmon/Operational 채널에서 Sysmon 이벤트를 자동으로 수집합니다.
주요 모니터링 이벤트 ID
Windows 보안 이벤트
| 이벤트 ID | 카테고리 | 설명 | 탐지 용도 |
|---|---|---|---|
| 4624 | 로그온 | 성공적 로그온 | 내부 이동, 비정상 접근 |
| 4625 | 로그온 | 로그온 실패 | 무차별 대입, 패스워드 스프레잉 |
| 4648 | 로그온 | 명시적 자격증명 로그온 | Pass-the-Hash, 자격증명 탈취 |
| 4672 | 로그온 | 특수 권한 할당 | 권한 상승 |
| 4688 | 프로세스 | 새 프로세스 생성 | 악성코드 실행, LOLBins |
| 4697 | 시스템 | 서비스 설치 | 지속성, 백도어 설치 |
| 4720 | 계정 | 사용자 계정 생성 | 비인가 계정 생성 |
| 4722 | 계정 | 사용자 계정 활성화 | 휴면 계정 활성화 |
| 4728 | 계정 | 보안 그룹에 구성원 추가 | 권한 상승 |
| 4732 | 계정 | 로컬 그룹에 구성원 추가 | 로컬 관리자 권한 상승 |
| 4768 | Kerberos | Kerberos TGT 요청 | Pass-the-Ticket, Golden Ticket |
| 4769 | Kerberos | Kerberos 서비스 티켓 요청 | Kerberoasting |
| 4776 | 자격증명 | 자격증명 유효성 검사 | NTLM 인증 모니터링 |
| 5156 | 방화벽 | Windows 방화벽 허용 연결 | 네트워크 활동 기준선 |
| 7045 | 시스템 | 새 서비스 설치 | 지속성 메커니즘 |
Sysmon 이벤트
| 이벤트 ID | 설명 | 탐지 용도 |
|---|---|---|
| 1 | 프로세스 생성 (해시 포함) | 악성코드 탐지, LOLBin 악용 |
| 3 | 네트워크 연결 | C2 통신, 데이터 유출 |
| 7 | 이미지 로드 (DLL) | DLL 인젝션, 사이드 로딩 |
| 8 | CreateRemoteThread | 프로세스 인젝션 |
| 10 | 프로세스 접근 | 자격증명 덤핑 (LSASS) |
| 11 | 파일 생성 | 드로퍼 탐지, 스테이징 |
| 13 | 레지스트리 값 설정 | 지속성, 설정 변경 |
| 22 | DNS 쿼리 | C2 도메인 조회, DNS 터널링 |
4단계: 이벤트 수신 확인
Windows 엔드포인트에서
# KYRA EDR 에이전트 실행 확인Get-Service "KYRA EDR Agent"
# 최근 에이전트 로그 확인Get-Content "C:\ProgramData\KYRA\EDR\logs\agent.log" -Tail 20
# 이벤트 구독 활성화 확인wevtutil qe "KYRA-EDR/Operational" /c:5 /rd:true /f:textKYRA 콘솔에서
- 로그 검색으로 이동
source_type:windows로 필터링하거나 호스트명으로 검색- Windows Security 이벤트(4624, 4625 등)가 표시되어야 함
- Sysmon이 설치된 경우
source_type:sysmon으로 검색
테스트 이벤트 생성
# 로그온 실패 이벤트 생성 (이벤트 ID 4625)net use \\localhost\IPC$ /user:TESTUSER wrongpassword 2>$null
# 프로세스 생성 이벤트 생성 (이벤트 ID 4688/Sysmon 1)cmd.exe /c whoami
# 계정 관리 이벤트 생성 (이벤트 ID 4720)# 주의: 실제 사용자가 생성됩니다 — 테스트 시스템에서만 사용net user KYRATest P@ssw0rd123 /addnet user KYRATest /delete탐지 규칙
KYRA MDR에는 Windows 이벤트용 내장 탐지 규칙이 포함되어 있습니다:
| 탐지 | 이벤트 ID | MITRE ATT&CK | 설명 |
|---|---|---|---|
| 무차별 대입 | 4625 | T1110 | 짧은 시간 내 다수의 로그온 실패 |
| Pass-the-Hash | 4624 (Type 3) | T1550.002 | 비정상 소스의 NTLM 로그온 |
| Kerberoasting | 4769 | T1558.003 | RC4 암호화 서비스 티켓 요청 |
| LSASS 접근 | Sysmon 10 | T1003.001 | LSASS 메모리에 접근하는 프로세스 |
| 의심 프로세스 | 4688/Sysmon 1 | T1059 | 알려진 공격 도구 (mimikatz, psexec 등) |
| 새 서비스 | 7045 | T1543.003 | 비정상 경로에서 설치된 서비스 |
| 관리자 그룹 변경 | 4728/4732 | T1098 | 권한 있는 그룹에 사용자 추가 |
| 예약된 작업 | 4698 | T1053.005 | 새 예약된 작업 생성 |
문제 해결
콘솔에 이벤트가 없는 경우
- 에이전트 실행 중?
Get-Service "KYRA EDR Agent"확인 - 감사 정책 활성화?
auditpol /get /category:*로 확인 - 방화벽? 에이전트가 Collector 또는
ingest.seekerslab.com:443에 도달할 수 있는지 확인 - 이벤트 로그 권한? 에이전트는
LOCAL SYSTEM으로 실행되며 접근 권한이 있어야 함
프로세스 이벤트 누락
- 프로세스 생성 감사가 활성화되었는지 확인:
auditpol /get /subcategory:"Process Creation" - 2단계에서 보여준 레지스트리 키를 통해 명령줄 로깅 활성화
- 더 풍부한 프로세스 텔레메트리를 위해 Sysmon 설치
높은 CPU 또는 메모리 사용
KYRA EDR 에이전트는 일반적으로 CPU 1% 미만, RAM 50 MB를 사용합니다. 사용량이 높은 경우:
C:\ProgramData\KYRA\EDR\logs\agent.log에서 오류 확인- Sysmon 설정이 지나치게 광범위하지 않은지 확인 (예: 모든 네트워크 연결 로깅)
- 에이전트 재시작:
Restart-Service "KYRA EDR Agent"