Carbon Black App Control - Handbook

소개

설치

설치

설치: 서버 요구사항

개요

App Control 서버 구성 전, 환경 요구사항을 확인하기 위한 문서입니다.

요구 사항

단일 환경 구성 기준으로 작성되었습니다.

1. 서버 환경

참고 문서 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/8.10/cb-ac-oer/GUID-16E1F2A8-7B5D-4F1E-8F6B-937B4677814A.html

1.1 서버 운영 체제

운영체제의 경우, 영어 버전으로 설치 필수 

운영 체제 아키텍처 버전 서비스 팩 비고
Windows Server 2012 R2 x64 최신 버전 사용

 

 

가상 환경일 경우, HVM 만 해당

Windows Server 2016 x64 최신 버전 사용
Windows Server 2019 x64 최신 버전 사용
Windows Server 2022 x64 최신 버전 사용

1.2 서버 스펙 

1.2.1 베어메탈

엔드포인트 수 Logical Processors RAM (GB) DISK (TB)
Up to 40,000 2 12 2
40,001 to 70,000 6 32 4
70,001 to 90,000 8 48 8
90,001 to 110,000 16 64 8

1.2.1 VMware vSphere

엔드포인트 수 Logical Processors RAM (GB) DISK (TB)
Up to 40,000 2 16 2
40,001 to 60,000 6 32 4
60,001 to 70,000 8 48 4

1.3 네트워크

서비스 명 출발지 목적지 포트 비고

App Control 
클라우드 서비스

App Control 서버 services.bit9.com TCP / 443 프록시 연결 지원
App Control 서버 Reputation.threatintel.carbonblack.io TCP / 443 프록시 연결 지원
엔드포인트 통신 에이전트 App Control 서버 TCP / 41001
로그 송신 App Control 서버 Syslog / SIEM TCP / 514 선택 사항
App Control 웹 콘솔 사용자 App Control 서버 (FQDN or IP)  TCP / 443

2. Database 환경

2.1 SQL Server 버전

데이터베이스 시스템 아키텍처 버전 서비스 팩 비고
SQL Server 2012 x64 최신 버전 사용
SQL Server 2014 x64 최신 버전 사용
SQL Server 2016 x64 최신 버전 사용
SQL Server 2017 x64 최신 버전 사용
SQL Server 2019 x64 최신 버전 사용 최신 누적 업데이트 진행 필수
SQL Server 2022 x64 최신 버전 사용 최신 누적 업데이트 진행 필수

3. 환경 구성

3.1 IIS 설치 구성

2.2 Database 설정

설치

설치: 서버

개요

App Control 서버 설치 방법 가이드 문서 입니다.

진행 방법

1. SQL Server 설치

App control 서버 설치 전, SQL 설치가 선행되어야 합니다.

image.png

- 'SQL Server Installation Center' 실행 > 'New SQL Server stand-alone Installation' 버튼을 클릭하여 설치 진행

image.png

- 'Database Engine Servies' 및 'Client Tools Connectivity' 체크박스 선택

image.png

- 'Mixed Mode' 를 선택하고, SQL Server administrator 계정에서 사용할 패스워드 입력
- [Add Current User] 선택하여 사용할 Windows 계정 추가

image.png* 선택 사항
- TempDB 선택하여 'data files' 및 'log flie' 크기 사이즈 지정 

image.png

- MS SQL Server 설치 완료 확인

image.png

- 'Sql Server Configuration Manager' 실행하여 DB 접속에 사용할 프로토콜 확인

image.png

- TCP/IP 사용의 경우, 'TCP/IP'  활성화 설정 진행
- 활성화 작업 완료 후 SQL Server 서비스 재실행image.png- DB 엑세스 계정에 대한 'sysadmin' 권한 할당

2. App Control Server 설치

참고 문서 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/8.10/cb-ac-server-installation-guide/GUID-17F7BE89-2E6F-4F69-92F8-0FA8F562E454.html

image.png

- App Control 인스톨러 다운로드

다운로드 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-release-info/GUID-97815946-2AA4-4488-BC12-B8DCABEBFE56.html

image.png

- ParityServerSetup.exe 프로그램 실행 및 라이선스 동의

image.png

- 설치 진행할 기능 및 설치 위치, 용량 확인

image.png

- (동일 환경에 DB가 설치된 경우) Database 서버 위치 '(local)' 선택 및 인증 방법 선택 
- (외부 환경에 DB가 설치된 경우) Database 서버 위치 'FQDN or IP' 입력 및 인증 방법 선택

image.png- 신규 설치의 경우,  Create a new database 선택하여 신규 생성
* 기존 데이터베이스 사용의 경우, Use a exiting database 선택

image.png

- App Control Server와 SQL Server 에 엑세스 가능한 Windows 사용자 계정 지정
image.png

- App Control 웹 콘솔 접속에 사용할 IP or FQDN 정보 입력

image.png- App Control 웹 콘솔 IIS 서비스에 사용할 Windows 사용자 계정 지정 (App Control Server 및 SQL Server 엑세스 가능 계정)

image.png

- App Control 웹 콘솔 인증서 선택 

image.png-- (Create New Self-signed Certificate for IIS 옵션 선택) 자체 인증서가 없는 경우 Carbon  Black 인증서 신규 생성

image.png

-- (Use Pre-existing Certificate for IIS 옵션 선택) 자체 인증서가 있는 경우 인증서 업로드 사용 

image.png

- App Control 라이선스 입력 (7일간의 평가판 라이선스 제공)

image.png

- 관리 시에 사용될 엔드포인트 에이전트에 대한 패스워드 입력 (생략 가능)

image.png

- App Control 웹 콘솔 admin 패스워드 입력

image.png- 설치 진행

image.png- 설치 완료

* 오프라인 서버 설치 시 : Certificate Install 필요

3. App Control 설치 확인image.png

- App Control 서버에서 생성한 'das' DB 생성 확인

image.png- 로컬 '작업 관리자' 의 프로세스 동작 확인

4. App Control 초기 설정

4.1 라이선스 적용

image.png- 오른쪽 상단의 [Settings] > [System Configuration] 메뉴 선택

image.png

- [Licensing] 탭 이동 > '라이선스 파일 선택' 후 [Add License] 버튼 클릭하여 라이선스 적용

4.2 에이전트 및 룰 업로드

image.png

- 오른쪽 상단의 [Settings] > [Update Agent/Rule Version] 메뉴 이동 

image.png

- 'Select a File' 또는 '드래그 앤 드롭' 방식으로 룰 및 OS 별 에이전트 업로드

image.png

- [Rules] > [Polices] 메뉴 이동하여 룰 생성 및 에이전트 룰 적용 

image.png

- 에이전트 다운로드 페이지로 이동하여 에이전트 업로드 확인

에이전트 다운로드 페이지 : https://IP or FQDN/hostpkg/

설치

설치: 에이전트

개요

OS 별 App Control 에이전트 설치 방법에 대한 문서입니다.

진행 방법

에이전트 다운로드 : https://IP or FQDN/hostpkg

1. Windows 에이전트 설치

에이전트 호환성 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-oer-winagent-desktop/GUID-A22FCC4B-CA35-4DDF-AA52-A101581E34F4.html

1.1 GUI 설치

image.png

- 사용자 PC에서 다운로드 받은 'App Control 에이전트 (정책명.msi)' 실행

image.png- 설치 진행

image.png- '작업 관리자' 또는 '서비스' 확인하여 에이전트 설치 확인

1.2 CLI 설치

클라이언트 등록 코드 확인 방법 (기본 값 : 비활성화)
: [App Contro] 웹 콘솔 접속 > [Settings] - [System Configuration] - [Security] 메뉴 이동 > 'Client Registration Code' 확인

image.png

1.2.1 클라이언트 등록 코드 비활성화
# 설치 프로그램 경로 지정 후 설치
msiexec.exe /i "C:\Path\To\PolicyInstaller.msi" /qn /norestart /L*v "C:\Temp\AgentInstall.log"

# 설치 프로그램 다운로드 URL 지정 후 설치
msiexec /i "https://IP or FQDN/hostpkg/pkg.php?pkg=PolicyInstallerLink.msi" /qn /norestart /L*v "C:\Temp\AgentInstall.log"
1.2.2 클라이언트 등록 코드 활성화
# 설치 프로그램 경로 지정 후 설치
msiexec.exe /i "PolicyInstaller.msi" B9_REGISTRATION_CODE=등록 코드goeshere /qn /norestart /L*v "C:\Temp\AgentInstall.log"

# 설치 프로그램 다운로드 URL 지정 후 설치
msiexec /i "https://YourServer/hostpkg/pkg.php?pkg=PolicyInstallerLink.msi" B9_REGISTRATION_CODE=등록 코드 /qn /norestart /L*v "C:\Temp\AgentInstall.log"

 

2. MAC 에이전트 설치

에이전트 호환성 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-oer-macosagent/GUID-A0DFB81D-AA7B-4DD6-A3F7-FD6E7E2BDFDB.html

2.1 GUI 설치

image.png

- 사용자 PC에서 다운로드 받은 'App Control 에이전트 (정책명.dmg)' 실행

image.png

- 'Install Bit9 Security Platform.pkg' 파일 더블클릭하여 실행

image.png

- [계속] 버튼을 클릭하여 설치 프로그램 시작image.png

- 설치 유형 확인 후 [계속] 버튼 클릭image.png

- 설치 사이즈 및 설치 위치 확인 후 [설치] 버튼 클릭
image.png

- 사용자 암호 입력 후 [소프트웨어 설치] 버튼 클릭

image.png

- 설치 완료 확인 후 [닫기] 버튼 클릭하여 설치 프로세스 종료

image.png

- [시스템 설정] > [개인정보 보호 및 보안] > '보안' 항목으로 이동하여 App Control 시스템 소프트웨어 허용
image.png

- [시스템 설정] > [개인정보 보호 및 보안] > [전체 디스크 접근 권한] 메뉴로 이동하여 App Control 프로그램 권한 허용

image.png

- [시스템 설정] > [개인정보 보호 및 보안] > [전체 디스크 접근 권한] > [+(추가)] 버튼 클릭

image.png

- [팝업창] > [응용 프로그램] > [Bit9] > [Agent] > [b9notifier.app] 선택 및 [열기] 버튼 클릭

image.png

- b9notifier.app 프로그램의 전체 디스크 접근 권한을 허용하기 위해 [종료 및 다시 열기] 버튼 클릭

image.png

- b9notifier.app 프로그램의 전체 디스크 접근 권한 확인

3. Linux 에이전트 설치

에이전트 호환성 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-oer-linuxagent/GUID-CEDA5E05-2D84-4D58-BCD8-0F0FFA517AD2.html

3.1 CLI 설치

image.png

- Liunx 에 App Control 설치 프로그램 업로드 (SSH 또는 Wget 이용)

image.png

- 설치 프로그램 압축 해제

image.png

- gpg 키 인증 통한 설치 스트립트 유효성 검사
- "Good signature from "build (carbonblack)"" 메세지 확인

버전 별 Public Key 다운로드 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-ac-announcements/GUID-123F59D1-E2C4-431F-8CEE-5D924CF83F13.html

image.png

image.png

- 설치 진행 및 설치 완료

image.png

- 센서 동작 확인

image.png

- 에이전트 프로세스 동작 확인

설치

정책 : 소프트웨어 정책

개요

Carbon Black App Control Software Rules 메뉴에 대한 상세 설명입니다.

정책 소개

소프트웨어 정책 메뉴 : [App Control] 웹 콘솔 접속 > [Rules] 메뉴 - 'Software Rule' 클릭 후 이동

정책 등록 시에 활용되는 파일,소프트웨어 등 바이너리는 엔드포인트 센서 스캔을 통해 등록됩니다. 
처음으로 에이전트를 배포한 엔드포인트에서 전체 바이너리에 대해서 첫 등록 절차를 밟게 되니, 조직 내에서 첫 배포하는 운영체제 유형 등에 대해 영향을 받을 수 있으므로 클린 OS에 먼저 설치하여 기준 정책을 정의하여 사용함을 권장합니다.

1. Updaters

1.1.정책 설명 

image.png

Updaters 정책은 승인되지 않은 업데이트 프로그램을 통해 악성 프로그램이 유입되는 동작을 방지하기 위한 정책입니다.
Carbon Black App Control 에 정의된 업데이트 프로그램에 대한 허용 여부를 선택하여 사용합니다.
업데이트 프로그램을 허용한 경우 프로그램을 통한 소프트웨어 업데이트가 진행하며, 업데이트 프로그램을 허용하지 않은 경우 프로그램을 통한 소프트웨어 업데이트가 진행되지 않습니다.
Updaters 정책의 경우, Carbon Black File Reputation 연동을 통해 최신 버전으로 자동 업데이트 진행됩니다.
또한 Carbon Black 에서 직접 제공 및 관리하는 정책이므로, 사용자가 추가 또는 수정하여 사용할 수 없습니다. 

2. Rapid Configs

2.1.정책 설명

image.png

Rapid Configs 정책은 파일에 대한 허용 및 차단 등의 초기 정책 구성이 필요한 App Control의 제품의 특성을 고려하여, 사용자들이 보다 빠르게 안전한 엔드포인트 환경을 구성할 수 있는 정책입니다. 
자주 사용되는 공격 기법을 방지하여 보안을 강화하거나 자주 사용되는 소프트웨어에 대한 승인 또는 변조 방지 정책을 미리 지정되어 있어 관리자가 보다 빠른 보안 환경 구성을 도와줍니다.
Updater 정책과 동일하게 Carbon Black 에서 직접 제공 및 관리하는 정책이므로, Carbon Black File Reputation 연동을 통해 활성화하며 최신 버전으로 자동 업데이트 진행됩니다. 따라서 사용자가 추가 또는 수정하여 사용할 수 없습니다. 

3. Publishers

3.1.정책 설명

image.png

Publishers 정책은 소프트웨어 인증서의 신뢰 여부를 판단하여 악성 소프트웨어 동작을 방지하기 위한 정책입니다.
엔드포인트 스캔을 통해 등록된 소프트웨어 인증서 또는 직접 등록한 소프트웨어 인증서의 승인 여부를 선택하여 소프트웨어 동작을 제어합니다.
Carbon Black 에 대한 소프트웨어 인증서는 기본적으로 허용 규칙이 정의되어 있으나, 그 외 소프트웨어 인증서는 승인 여부 선택이 필요합니다.

3.2.정책 생성

image.png

엔드포인트 센서 스캔을 통해 정의된 소프트웨어 인증서 외에 관리자가 추가하고자 하는 소프트웨어 인증서를 업로드하여 사용 가능합니다.
소프트웨어 인증서 파일의 크기는 100MB 미만으로 제한됩니다. 

4. Users

4.1.정책 설명

image.png

Users 정책은 신뢰있는 사용자 또는 그룹을 정의하여 신뢰되는 사용자 또는 그룹을 통해 정책 상으로 동작하지 않던 엔드포인트의 파일 실행, 소프트웨어 실행 등의 행위를 허용하기 위한 정책입니다.
파일 및 소프트웨어 동작이 정의되어 제어하는 App Control 제품 특성 때문에, 소프트웨어 설치 및 파일 실행에 대해 일시적 허용이 필요한 경우 활용 가능합니다. 
지속적인 적용이 필요한 경우 규칙을 분리하여 사용하여 관리도 가능하지만, 단발성 동작의 경우에는 신뢰하는 사용자 및 그룹을 설정하여 파일, 소프트웨어 실행에 대한 예외를 적용하여 편리성을 제공할 수 있습니다.
단, 파일 및 소프트웨어 실행에 대해 차단 정책이 적용된 경우는 사용이 불가합니다.

4.2.정책 생성

image.png

OS 플랫폼 별로 사용자 및 그룹을 입력하여 설정 가능합니다.

5. Directories

5.1.정책 설명

image.png

Directories 정책은 컴퓨터 내의 신뢰할 수 있는 폴더 경로를 지정하여, 해당 폴더 내의 파일 및 프로세스 행위를 허용하기 위한 정책입니다.
Windows OS의 경우 신뢰하는 폴더 내의 파일 및 프로세스 행위에 대한 제한은 없습니다. 그러나 커널 등의 권한 상승이 필요한 Linux 및 Mac OS 의 경우 신뢰하는 폴더 내에 파일에 대하여 분석하거나 (테스트 필수..!)

5.2.정책 생성

image.png

신뢰하는 폴더 경로를 생성합니다.

6. Files

6.1.정책 설명

image.png

Files 정책은 엔드포인트 내에서 신뢰되지 않은 프로그램이 실행되어 악성 행위를 진행하는 것을 방지하는 정책입니다.
파일의 해시값을 수집하고 이를 대상으로 실행 가능 여부를 판단하고 정의하여 사용이 가능합니다.
파일의 동작을 차단하는 기능인 만큼 오탐으로 인한 문제 상황이 발생되지 않도록, 모니터링 기능도 제공하여 관리자가 충분한 검토 후에 정책 적용이 진행됩니다.
또한 관리자가 파일의 신뢰 여부를 판단할 수 있도록 각 파일에 대한 세부 정보도 확인할 수 있습니다. 
파일은 센서를 통해 수집되며, 수집되는 파일의 대상은 실행이 가능한 파일과 확장자가 일치하는 스트립트 파일입니다.

6.2.정책 생성

image.png

실행파일 및 스크립트 파일에 대한 정책을 생성합니다.

7. Custom

7.1.정책 설명

image.png

7.2. 정책 생성

image.png

테스트 필요함

8. Memory

8.1. 정책 설명

image.png

Memory 정책은 인-메모리 공격, 파일리스 공격 등으로부터 메모리를 통한 공격 기법을 방지하기 위한 정책입니다. 
지정된 실행 파일 내에 다른 실행파일 또는 사용자(그룹)가 메모리에 접근하거나 수정하지 못하도록 정의하여 사용이 가능합니다.
이는 메모리 공격을 시도하거나, 메모리 공격 발생했을 때에, 발생한 공격이 환경 내로 더 이상 확산되지 않도록 실행파일 내 메모리 접근 및 수정 등의 행위를 차단하여 환경을 보호합니다. 

8.2. 정책 생성

image.png

살행 파일에 대한 메모리 정책을 생성합니다.

9. Registry

9.1. 정책 설명

image.png

Registry 정책은 코드 삽입, 파일리스 공격 등으로부터 실행 프로그램에 대한 레지스트리 값이 악의적으로 변경되는 것을 방지하기 위한 정책입니다. 다른 실행 프로그램 또는 사용자(그룹)이 지정된 레지스트리 경로 값을 수정하지 못하도록 정의하여 사용이 가능합니다.

9.2. 정책 생성

image.png

레지스트리에 대한 레지스트리 정책을 생성합니다.

10. Scripts

10.1. 정책 설명

image.png

Scripts 정책은 확장자 및 프로세스 등의 규칙을 입력하여, App Control 센서에서 스크립트로 인식할 수 있는 파일을 정의하는 정책입니다.
Carbon Black App Control 의 수집 대상은 실행이 가능한 파일과 스트립트 파일입니다. App Control 에서 스트립트 파일을 인식하는 기준은 스크립트 정책으로 구별하여 정의합니다. 
Carbon Black에서 사전에 정의한 표준 스크립트 규칙을 제공하고 있으나, 관리자가 별도로 추가하여 사용 가능합니다.

10.2. 정책 생성

image.png

스크립트 규칙을 지정하기 위한 스크립트 정책을 생성합니다.

11. Yara

11.1. 정책 설명

image.png

Yara 정책은 Yara 규칙을 통해 악성코드를 식별하여, 파일 및 스크립트 내용의 악성 여부를 인식하여 보호하는 정책입니다. 
App Control에서 사전 정의된 Yara 오픈소스 툴을 사용하여 컨텐츠 보호가 가능하며, 그 외 관리자가 Yara 규칙을 새롭게 생성하여 사용 가능합니다. Yara 정책의 경우, 악성코드 시그니처 식별하고 있어 환경에 대한 랜섬웨어 공격을 방지하는 데에 유용하게 사용합니다.

11.2. 정책 생성

image.png

악성코드 식별을 위한 Yara 정책을 생성합니다.

12. Reputation

12.1. 정책 설명

image.png

Reputation 정책은 Carbon Black App Control에서 제공되는 파일 평판을 기반하여 파일 사용을 자동으로 승인하는 정책입니다.
Reputation 정책은 Carbon Black File Reputation 를 통해 제공되는 파일의 평판 신뢰도를 기준하여 승인되므로 Carbon Black File Reputation 기능 활성화가 필요한 정책입니다.
인증서와 응용 프로그램이 정책 적용 대상이 되며, 신뢰도의 기준을 단계별로 구분하여 선택 후 사용됩니다.

설치

정책 : 정책 생성

개요

Carbon Black App Control 정책 생성에 대한 가이드 문서 입니다.

기능 소개

1. Policies

1.1 정책 생성

- [App Control] 웹 콘솔 접속 > [Policies] 메뉴 선택 > [Add Policy] 버튼 클릭하여 정책 생성

image.png

- 조직별 정책 및 목적별 정책을 생성하여 사용

1.2 정책 구성

정책 별 상세 가이드 : https://bs.etevers.tech/books/carbon-black-app-control-handbook/page/3def1

- [App Control] 웹 콘솔 접속 > [Policies] 메뉴 선택 > '정책' 의 image.png (View Details) 버튼 클릭

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

제거

제거

삭제: 에이전트 삭제

개요

OS 별 App Control 에이전트 삭제 방법입니다.

진행 방법

1. Windows 에이전트 삭제

1.1 자동 삭제

image.png

- [App Control] 웹 콘솔 접속 > [Policies] 메뉴 이동 > [Add Policy] 버튼 클릭 

image.png

- 'Mode' Control 선택 및 에이전트 자동 삭제 룰 생성

image.png

- agent config 설정 페이지로 이동 후 [Add Agent Config] 버튼 클릭하여 에이전트 정책 생성

Agent Config 페이지 : https://IP_FQDN/agent_config.php

image.png

- 에이전트 자동 삭제 정책 설정 입력

image.png

- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 메뉴 이동 > [Action] 버튼 클릭 

image.png

- 엔드포인트 선택 및 '자동 삭제 정책'을 적용하여 설치된 에이전트 삭제 진행

image.png

- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 의 자산 상태 정보 확인

1.2 수동 삭제

1.2.1 GUI 삭제

image.png

- [App Control] 웹 콘솔 접속 > [Assets] - [Computer] 메뉴 접속 > 삭제할 컴퓨터 선택 후 [Action] 버튼 클릭 > 생성한 'Disable Policy' 선택 

image.png

- App Control 에이전트' 설치된 사용자 데스크탑 접속 > [제어판] - [프로그램 및 기능] 실행 > [App Control Agent] 선택 후 '제거' 버튼 클릭

image.png

- 삭제 진행

image.png

- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 의 자산 상태 정보 확인

1.2.2 CLI 삭제

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-Manually-Uninstall-an-Agent-Windows/ta-p/62044

image.png

- 'App Control 에이전트' 설치된 사용자 데스크탑 접속 > [CMD] 관리자 권한으로 실행 > 삭제 명령어 입력

# 설치 경로 이동
cd "C:\Program Files (x86)\Bit9\Parity Agent"

# 삭제 허용 작업
dascli password (설치 시 입력한 에이전트 비밀번호) 
dascli tamperprotect 0
dascli allowuninstall 1

# 삭제 명령 진행 (GUID 의 경우 에이전트 버전에 맞는 GUID 입력 필요)
msiexec.exe /x {GUID} FORCE=1 /L*v "%userprofile%\Desktop\AgentUninstall.log"

에이전트 GUID 확인 링크
: https://community.carbonblack.com/t5/Knowledge-Base/App-Control-Agent-Versions-Product-GUID/ta-p/64830

image.png         image.png

- 삭제 진행

image.png

- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 의 자산 상태 정보 확인

2. MAC 에이전트 삭제

2.1 수동 삭제

image.png

- Disabled 모드 선택하여 새로운 정책 생성

image.png

- 생성한 Disable 정책을 삭제할 엔드포인트에 정책 적용

image.png

- 엔드포인트에 Disabled 정책 적용됨을 확인

image.png

- 'App Control 에이전트' 설치된 사용자 데스크탑 접속 > [터미널] 실행 > 삭제 명령어 입력

image.png

- 에이전트 삭제 확인

3. Linux 에이전트 삭제

3.1 수동 삭제

해당 작업은 관리자 권한으로 실행합니다.

image.png

- 이전에 생성한 에이전트 비활성화 정책 적용

image.png

- 삭제 스크립트 실행하여 에이전트 삭제


image.png

- 에이전트 삭제 확인 및 'Delete Computers' 선택하여 에이전트 목록 삭제

제거

삭제: 서버 삭제

개요

App Control 서버 삭제 방법입니다.

진행 방법

1. Server 삭제

에이전트 삭제 작업 필요 : 서버 먼저 삭제 할 경우, 모든 정책 비활성화 작업 진행

image.png

- [App Control] 설치 서버 접속 > [제어판] - [프로그램 제거] 실행 > 'Carbon Black App Control' 선택 후 [Uninstall] 버튼 클릭

image.png

- App Control 삭제 프로그램 실행되며, 실행 중인 App Control 서비스 중지 후 서버 삭제 진행 및 완료

image.png

- 생성된 데이터베이스는 제거되지 않으므로, 별도 삭제 작업 필요 - App Control 은 'das' 라는 단일 SQL 데이터베이스 사용함

구성: Cloud 및 EDR 간 연동

개요

App Contorl 제품과 EDR 및 Cloud 간의 연동 구성 방법입니다.

진행 방법

1. App Control - EDR 간 연동

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/EDR-How-to-Integrate-with-App-Control/ta-p/82936

1.1 EDR API Token 복사 (EDR 서버)

- [EDR 웹 콘솔] 접속 > 오른쪽 상단의 [사용자 이름] My Profile 클릭 > [API Token] 탭 > API Token [Copy] 버튼 선택하여 API 토큰 값 복사 

image.png

1.2 EDR 서버 연동 (App Control 서버)

- [App Control 웹 콘솔] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'Carbon Black EDR' 설정

image.png

1.3 App Control 연동 여부 확인 (EDR 서버)

-  [EDR 웹 콘솔] 접속 > 오른쪽 상단의 [사용자 이름] 의 Settings 클릭 > [VMware Carbon Black App Control Server] 탭 선택 

image.png

1.4 EDR 연동 정보 확인 (App Control)

- [App Control 웹 콘솔] 접속 > [Reports] 의 [Event] 메뉴 선택

image.png

- [App Control 웹 콘솔] 접속 > [Assets] 의 [Devices on Computers] 메뉴 선택

image.png

2. App Control - Cloud 간 연동

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-enable-VMware-Carbon-Black-Cloud-Integration/ta-p/103396

2.1 Cloud 서버 연동 (App Control 서버)

- [App Control 웹 콘솔] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Connectors] 탭 선택 > 'Carbon Black Cloud' 설정

image.png

2.2 Cloud 연동 정보 확인 (App Control)

- [App Control 웹 콘솔] 접속 > [Reports] 의 [Event] 메뉴 선택

image.png

- [App Control 웹 콘솔] 접속 > [Assets] 의 [Devices on Computers] 메뉴 선택

image.png

3. Reputation Approval Rules 활성화

3.1 Reputation 활성화 (App Control 서버)

- [App Control 웹] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'File Reputation Activation' 설정

image.png

 image.png

https://services.bit9.com/services/signup.aspx?ak=989f0414ef1da7d704b6fa170189760f&sg=de1b18a8b6d6ccb9b4486001da912697&v=8.10.0.485 로 이동됨

image.png

image.png

image.png

image.png


구성: 환경 마이그레이션

개요

기존 App Contorl 서버를 신규 App Control 서버 환경으로 마이그레이션 하는 방법을 작성하였습니다.

진행 방법

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-Migrate-a-Server-Installation-Single-Tier/ta-p/43038

1. 기존 서버 데이터 백업

1.1 데이터 백업

image.png

- SSMS 프로그램을 접속 후 'das' 데이터베이스에 쿼리문을 통해, 비활성화된 'xp_cmdshell' 기능 활성화

image.png

- [App Control] 웹 콘솔 > [Settings] - [System Configuration] 메뉴 접속 > 'Advanced Options' 탭으로 이동

image.png

- 데이터베이스 백업 설정 진행

image.png

- [App Control] 웹 콘솔 > [Reports] - [Events] 메뉴 접속하여 백업 상태 이벤트 이력 확인

image.png

- 백업 경로에 생성된 backup.ini 및 Full_backup.bak 파일 확인

1.2 서버-에이전트 간 통신 인증서 백업 (선택사항)

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-To-Export-the-App-Control-Agent-Communication/ta-p/51850

image.png

- App Control 서버 접속하여 'certlm.msc' 실행

image.png

- [Trusted People] - [Certificates] 선택하여 'App Control' 인증서 확인

사용 중인 인증서 확인 메뉴 : [App Control] 웹 콘솔 접속 > [Settings] - [System Configurations] 메뉴 선택 > [Security] 탭 선택 

image.png

- 인증서 목록 우클릭하여 [Expert] 진행

image.png

- 내보내기 옵션 선택

image.png

- 인증서 유형에 맞는 옵션 선택

image.png

- 콘솔 백업 및 IIS 구성을 위한 인증서의 경우 'Password' 체크 및 입력

image.png

- 파일명 및 위치 지정하여 인증서 내보내기 완료

2. 신규 App Control 환경 구성

- 참조 문서 : https://bs.etevers.tech/books/carbon-black-app-control-handbook/page/42e7a

2.1 SQL Server 설치

기존 환경과 동일한 구성이 필요합니다.

image.png

- SQL Server 설치 (SQL Server 설치 가이드 참조)

image.png

- [SSMS] 접속 > [Security] > [Logins] 확장 및 접속 > 'New Login' 선택 

스크린샷 2024-02-13 오후 2.26.32.png

- 'IIS APPPOOL\DefaultAppPool' 계정 추가

 

2.2 App Control 설치

- 참조 문서 : https://bs.etevers.tech/books/carbon-black-app-control-handbook/page/cd006

image.png

- ParityServerSetup.exe 프로그램 실행 및 라이선스 동의

image.png

- 설치 진행할 기능 및 설치 위치, 용량 확인

image.png

- Database 서버 위치 '(local)' 선택 및 인증 방법 선택 

image.png

- 기존 환경에서 백업한 데이터베이스 사용을 위해 'Restore from a database backup' 옵션 선택

스크린샷 2024-02-13 오전 11.13.15.png

- 콘솔 및 서버 인증서 재사용 여부 확인

스크린샷 2024-02-13 오전 11.15.47.png

- 기존 서버와 다른 서버에 재설치 진행한다면 'Yes' 버튼 클릭, backup.ini 파일의 설정 값을 사용하여 재설치 진행한다면 'No' 버튼 클릭

image.png

- Backup.ini 파일에 작성된 서버 설정 값이 정상적으로 입력되었는지 확인

image.png

- App Control Server 및 SQL Server 에 엑세스 가능한 Windows 사용자 계정 지정

image.png

- [Install] 버튼을 클릭하여 설치 진행

image.png

- 기존 IIS 인증서에 대한 암호 입력

image.png

- 서버 설치 완료

image.png

- [App Control] 웹 콘솔 접속 > [Settings] > [Update Agent/Rule Version] 메뉴 이동 후 'Select a File' 또는 '드래그 앤 드롭' 방식으로 룰 및 OS 별 에이전트 업로드

3. 데이터 확인

image.png

- 에이전트 통신 확인

image.png

- 로그/정책/설정 등 정보 확인

구성: 클라우드 파일 평판 서비스 연동

개요

Carbon Black App Control 파일 평판 서비스와 연동하는 방법을 작성한 가이드 문서입니다.

진행 방법

1. Reputation Approval Rules 활성화

1.1 Reputation 활성화 (App Control 서버)

- [App Control 웹] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'File Reputation Activation' 설정

image.png

 image.png

https://services.bit9.com/services/signup.aspx?ak=989f0414ef1da7d704b6fa170189760f&sg=de1b18a8b6d6ccb9b4486001da912697&v=8.10.0.485 로 이동됨

image.png

image.png

image.png

image.png

image.png

구성: 서버 변경

개요

Carbon Black App Control 서버의 IP 및 도메인 변경 작업 진행 가이드 문서 입니다.

진행 방법

1. 사전 구성 정보

 

2. 웹 콘솔 구성

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-Change-the-Hostname-of-the-App-Control-Server/ta-p/34075

 

3. 에이전트 구성

에이전트 재설치 또는 수동 업데이트 작업을 통해 서버 주소 변경이 필요합니다.
- 에이전트 업그레이드 작업은 서버 주소를 변경하지 않습니다.

3.1. Windows 에이전트

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-Update-the-Server-Address-or-Port-on-an-Agent/ta-p/33098

 

 

3.2. MAC 에이전트

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-Update-the-Server-Address-or-Port-on-an-Agent/ta-p/96122

 

 

3.3. Linux 에이전트

참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/App-Control-How-to-Update-the-Server-Address-or-Port-on-an-Agent/ta-p/118273