Carbon Black App Control - Handbook
소개
설치
설치: 서버 요구사항
개요
App Control 서버 구성 전, 환경 요구사항을 확인하기 위한 문서입니다.
요구 사항
단일 환경 구성 기준으로 작성되었습니다.
1. 서버 환경
참고 문서 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/8.10/cb-ac-oer/GUID-16E1F2A8-7B5D-4F1E-8F6B-937B4677814A.html
1.1 서버 운영 체제
운영체제의 경우, 영어 버전으로 설치 필수
| 운영 체제 | 아키텍처 버전 | 서비스 팩 | 비고 |
| Windows Server 2012 R2 | x64 | 최신 버전 사용 |
가상 환경일 경우, HVM 만 해당 |
| Windows Server 2016 | x64 | 최신 버전 사용 | |
| Windows Server 2019 | x64 | 최신 버전 사용 | |
| Windows Server 2022 | x64 | 최신 버전 사용 |
1.2 서버 스펙
1.2.1 베어메탈
| 엔드포인트 수 | Logical Processors | RAM (GB) | DISK (TB) |
| Up to 40,000 | 2 | 12 | 2 |
| 40,001 to 70,000 | 6 | 32 | 4 |
| 70,001 to 90,000 | 8 | 48 | 8 |
| 90,001 to 110,000 | 16 | 64 | 8 |
1.2.1 VMware vSphere
| 엔드포인트 수 | Logical Processors | RAM (GB) | DISK (TB) |
| Up to 40,000 | 2 | 16 | 2 |
| 40,001 to 60,000 | 6 | 32 | 4 |
| 60,001 to 70,000 | 8 | 48 | 4 |
1.3 네트워크
| 서비스 명 | 출발지 | 목적지 | 포트 | 비고 |
|
App Control |
App Control 서버 | services.bit9.com | TCP / 443 | 프록시 연결 지원 |
| App Control 서버 | Reputation.threatintel.carbonblack.io | TCP / 443 | 프록시 연결 지원 | |
| 엔드포인트 통신 | 에이전트 | App Control 서버 | TCP / 41001 | |
| 로그 송신 | App Control 서버 | Syslog / SIEM | TCP / 514 | 선택 사항 |
| App Control 웹 콘솔 | 사용자 | App Control 서버 (FQDN or IP) | TCP / 443 |
2. Database 환경
2.1 SQL Server 버전
| 데이터베이스 시스템 | 아키텍처 버전 | 서비스 팩 | 비고 |
| SQL Server 2012 | x64 | 최신 버전 사용 | |
| SQL Server 2014 | x64 | 최신 버전 사용 | |
| SQL Server 2016 | x64 | 최신 버전 사용 | |
| SQL Server 2017 | x64 | 최신 버전 사용 | |
| SQL Server 2019 | x64 | 최신 버전 사용 | 최신 누적 업데이트 진행 필수 |
| SQL Server 2022 | x64 | 최신 버전 사용 | 최신 누적 업데이트 진행 필수 |
3. 환경 구성
3.1 IIS 설치 구성
- Common HTTP Features:
- Static Content
- Default Document
- HTTP Errors
- HTTP Redirection
- Application development:
- ASP.NET (version 4.8)
- .NET Extensibility (version 4.8)
- CGI
- ISAPI Extensions
- ISAPI Filters
- Health and Diagnostics:
- HTTP Logging
- Logging Tools
- Request Monitor
- Tracing
- Security:
- Request Filtering
- Performance: None
- Management Tools:
- IIS Management Console
- IIS Management Scripts and Tools
- FTP Publishing Service: None
2.2 Database 설정
- 기본적으로 SQL 서버는 시스템에 할당된 RAM을 모두 사용하므로 시스템 메모리 부족 이슈 발생 가능
- 메모리 상한 설정 필요 (ex: 16GB 메모리가 할당된 경우, 메모리 상한을 12GB 로 설정)
설치: 서버
개요
App Control 서버 설치 방법 가이드 문서 입니다.
진행 방법
1. SQL Server 설치
App control 서버 설치 전, SQL 설치가 선행되어야 합니다.
- 'SQL Server Installation Center' 실행 > 'New SQL Server stand-alone Installation' 버튼을 클릭하여 설치 진행
- 'Database Engine Servies' 및 'Client Tools Connectivity' 체크박스 선택
- 'Mixed Mode' 를 선택하고, SQL Server administrator 계정에서 사용할 패스워드 입력
- [Add Current User] 선택하여 사용할 Windows 계정 추가
* 선택 사항
- TempDB 선택하여 'data files' 및 'log flie' 크기 사이즈 지정
- MS SQL Server 설치 완료 확인
- 'Sql Server Configuration Manager' 실행하여 DB 접속에 사용할 프로토콜 확인
- TCP/IP 사용의 경우, 'TCP/IP' 활성화 설정 진행
- 활성화 작업 완료 후 SQL Server 서비스 재실행
- DB 엑세스 계정에 대한 'sysadmin' 권한 할당
2. App Control Server 설치
- App Control 인스톨러 다운로드
- Server Installer 다운로드
- Rules Installer 다운로드
- Certificate Installer 다운로드
- Agent Installer 다운로드 (MAC, Windows, Linux)
다운로드 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-release-info/GUID-97815946-2AA4-4488-BC12-B8DCABEBFE56.html
- ParityServerSetup.exe 프로그램 실행 및 라이선스 동의
- 설치 진행할 기능 및 설치 위치, 용량 확인
- (동일 환경에 DB가 설치된 경우) Database 서버 위치 '(local)' 선택 및 인증 방법 선택
- (외부 환경에 DB가 설치된 경우) Database 서버 위치 'FQDN or IP' 입력 및 인증 방법 선택
- 신규 설치의 경우, Create a new database 선택하여 신규 생성
* 기존 데이터베이스 사용의 경우, Use a exiting database 선택
- App Control Server와 SQL Server 에 엑세스 가능한 Windows 사용자 계정 지정
- App Control 웹 콘솔 접속에 사용할 IP or FQDN 정보 입력
- App Control 웹 콘솔 IIS 서비스에 사용할 Windows 사용자 계정 지정 (App Control Server 및 SQL Server 엑세스 가능 계정)
- App Control 웹 콘솔 인증서 선택
-- (Create New Self-signed Certificate for IIS 옵션 선택) 자체 인증서가 없는 경우 Carbon Black 인증서 신규 생성
-- (Use Pre-existing Certificate for IIS 옵션 선택) 자체 인증서가 있는 경우 인증서 업로드 사용
- App Control 라이선스 입력 (7일간의 평가판 라이선스 제공)
- 관리 시에 사용될 엔드포인트 에이전트에 대한 패스워드 입력 (생략 가능)
- App Control 웹 콘솔 admin 패스워드 입력
- 설치 진행
- 설치 완료
* 오프라인 서버 설치 시 : Certificate Install 필요
3. App Control 설치 확인
- App Control 서버에서 생성한 'das' DB 생성 확인
- 로컬 '작업 관리자' 의 프로세스 동작 확인
- Carbon Black App Control Reporter Service 프로세스
- Carbon Black App Control Server Service 프로세스
4. App Control 초기 설정
4.1 라이선스 적용
- 오른쪽 상단의 [Settings] > [System Configuration] 메뉴 선택
- [Licensing] 탭 이동 > '라이선스 파일 선택' 후 [Add License] 버튼 클릭하여 라이선스 적용
4.2 에이전트 및 룰 업로드
- 오른쪽 상단의 [Settings] > [Update Agent/Rule Version] 메뉴 이동
- 'Select a File' 또는 '드래그 앤 드롭' 방식으로 룰 및 OS 별 에이전트 업로드
- LinuxHostPackageInstaller.exe
- WindowsHostPackageInstaller.exe
- MacHostPackageInstaller.exe
- RulesInstaller.exe
- [Rules] > [Polices] 메뉴 이동하여 룰 생성 및 에이전트 룰 적용
- 에이전트 다운로드 페이지로 이동하여 에이전트 업로드 확인
에이전트 다운로드 페이지 : https://IP or FQDN/hostpkg/
설치: 에이전트
개요
OS 별 App Control 에이전트 설치 방법에 대한 문서입니다.
진행 방법
에이전트 다운로드 : https://IP or FQDN/hostpkg
1. Windows 에이전트 설치
에이전트 호환성 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-oer-winagent-desktop/GUID-A22FCC4B-CA35-4DDF-AA52-A101581E34F4.html
1.1 GUI 설치
- 사용자 PC에서 다운로드 받은 'App Control 에이전트 (정책명.msi)' 실행
- 설치 진행
- '작업 관리자' 또는 '서비스' 확인하여 에이전트 설치 확인
1.2 CLI 설치
클라이언트 등록 코드 확인 방법 (기본 값 : 비활성화)
: [App Contro] 웹 콘솔 접속 > [Settings] - [System Configuration] - [Security] 메뉴 이동 > 'Client Registration Code' 확인
1.2.1 클라이언트 등록 코드 비활성화
# 설치 프로그램 경로 지정 후 설치
msiexec.exe /i "C:\Path\To\PolicyInstaller.msi" /qn /norestart /L*v "C:\Temp\AgentInstall.log"
# 설치 프로그램 다운로드 URL 지정 후 설치
msiexec /i "https://IP or FQDN/hostpkg/pkg.php?pkg=PolicyInstallerLink.msi" /qn /norestart /L*v "C:\Temp\AgentInstall.log"1.2.2 클라이언트 등록 코드 활성화
# 설치 프로그램 경로 지정 후 설치
msiexec.exe /i "PolicyInstaller.msi" B9_REGISTRATION_CODE=등록 코드goeshere /qn /norestart /L*v "C:\Temp\AgentInstall.log"
# 설치 프로그램 다운로드 URL 지정 후 설치
msiexec /i "https://YourServer/hostpkg/pkg.php?pkg=PolicyInstallerLink.msi" B9_REGISTRATION_CODE=등록 코드 /qn /norestart /L*v "C:\Temp\AgentInstall.log"2. MAC 에이전트 설치
에이전트 호환성 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-oer-macosagent/GUID-A0DFB81D-AA7B-4DD6-A3F7-FD6E7E2BDFDB.html
2.1 GUI 설치
- 사용자 PC에서 다운로드 받은 'App Control 에이전트 (정책명.dmg)' 실행
- 'Install Bit9 Security Platform.pkg' 파일 더블클릭하여 실행
- [계속] 버튼을 클릭하여 설치 프로그램 시작
- 설치 유형 확인 후 [계속] 버튼 클릭
- 설치 사이즈 및 설치 위치 확인 후 [설치] 버튼 클릭
- 사용자 암호 입력 후 [소프트웨어 설치] 버튼 클릭
- 설치 완료 확인 후 [닫기] 버튼 클릭하여 설치 프로세스 종료
- [시스템 설정] > [개인정보 보호 및 보안] > '보안' 항목으로 이동하여 App Control 시스템 소프트웨어 허용
- [시스템 설정] > [개인정보 보호 및 보안] > [전체 디스크 접근 권한] 메뉴로 이동하여 App Control 프로그램 권한 허용
- [시스템 설정] > [개인정보 보호 및 보안] > [전체 디스크 접근 권한] > [+(추가)] 버튼 클릭
- [팝업창] > [응용 프로그램] > [Bit9] > [Agent] > [b9notifier.app] 선택 및 [열기] 버튼 클릭
- b9notifier.app 프로그램의 전체 디스크 접근 권한을 허용하기 위해 [종료 및 다시 열기] 버튼 클릭
- b9notifier.app 프로그램의 전체 디스크 접근 권한 확인
3. Linux 에이전트 설치
에이전트 호환성 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-appc-oer-linuxagent/GUID-CEDA5E05-2D84-4D58-BCD8-0F0FFA517AD2.html
3.1 CLI 설치
- Liunx 에 App Control 설치 프로그램 업로드 (SSH 또는 Wget 이용)
- 설치 프로그램 압축 해제
- gpg 키 인증 통한 설치 스트립트 유효성 검사
- "Good signature from "build (carbonblack)"" 메세지 확인
버전 별 Public Key 다운로드 : https://docs.vmware.com/en/VMware-Carbon-Black-App-Control/services/cb-ac-announcements/GUID-123F59D1-E2C4-431F-8CEE-5D924CF83F13.html
- 설치 진행 및 설치 완료
- 센서 동작 확인
- 에이전트 프로세스 동작 확인
정책 : 소프트웨어 정책
개요
Carbon Black App Control Software Rules 메뉴에 대한 상세 설명입니다.
정책 소개
소프트웨어 정책 메뉴 : [App Control] 웹 콘솔 접속 > [Rules] 메뉴 - 'Software Rule' 클릭 후 이동
정책 등록 시에 활용되는 파일,소프트웨어 등 바이너리는 엔드포인트 센서 스캔을 통해 등록됩니다.
처음으로 에이전트를 배포한 엔드포인트에서 전체 바이너리에 대해서 첫 등록 절차를 밟게 되니, 조직 내에서 첫 배포하는 운영체제 유형 등에 대해 영향을 받을 수 있으므로 클린 OS에 먼저 설치하여 기준 정책을 정의하여 사용함을 권장합니다.
1. Updaters
1.1.정책 설명
Updaters 정책은 승인되지 않은 업데이트 프로그램을 통해 악성 프로그램이 유입되는 동작을 방지하기 위한 정책입니다.
Carbon Black App Control 에 정의된 업데이트 프로그램에 대한 허용 여부를 선택하여 사용합니다.
업데이트 프로그램을 허용한 경우 프로그램을 통한 소프트웨어 업데이트가 진행하며, 업데이트 프로그램을 허용하지 않은 경우 프로그램을 통한 소프트웨어 업데이트가 진행되지 않습니다.
Updaters 정책의 경우, Carbon Black File Reputation 연동을 통해 최신 버전으로 자동 업데이트 진행됩니다.
또한 Carbon Black 에서 직접 제공 및 관리하는 정책이므로, 사용자가 추가 또는 수정하여 사용할 수 없습니다.
2. Rapid Configs
2.1.정책 설명
Rapid Configs 정책은 파일에 대한 허용 및 차단 등의 초기 정책 구성이 필요한 App Control의 제품의 특성을 고려하여, 사용자들이 보다 빠르게 안전한 엔드포인트 환경을 구성할 수 있는 정책입니다.
자주 사용되는 공격 기법을 방지하여 보안을 강화하거나 자주 사용되는 소프트웨어에 대한 승인 또는 변조 방지 정책을 미리 지정되어 있어 관리자가 보다 빠른 보안 환경 구성을 도와줍니다.
Updater 정책과 동일하게 Carbon Black 에서 직접 제공 및 관리하는 정책이므로, Carbon Black File Reputation 연동을 통해 활성화하며 최신 버전으로 자동 업데이트 진행됩니다. 따라서 사용자가 추가 또는 수정하여 사용할 수 없습니다.
3. Publishers
3.1.정책 설명
Publishers 정책은 소프트웨어 인증서의 신뢰 여부를 판단하여 악성 소프트웨어 동작을 방지하기 위한 정책입니다.
엔드포인트 스캔을 통해 등록된 소프트웨어 인증서 또는 직접 등록한 소프트웨어 인증서의 승인 여부를 선택하여 소프트웨어 동작을 제어합니다.
Carbon Black 에 대한 소프트웨어 인증서는 기본적으로 허용 규칙이 정의되어 있으나, 그 외 소프트웨어 인증서는 승인 여부 선택이 필요합니다.
3.2.정책 생성
엔드포인트 센서 스캔을 통해 정의된 소프트웨어 인증서 외에 관리자가 추가하고자 하는 소프트웨어 인증서를 업로드하여 사용 가능합니다.
소프트웨어 인증서 파일의 크기는 100MB 미만으로 제한됩니다.
4. Users
4.1.정책 설명
Users 정책은 신뢰있는 사용자 또는 그룹을 정의하여 신뢰되는 사용자 또는 그룹을 통해 정책 상으로 동작하지 않던 엔드포인트의 파일 실행, 소프트웨어 실행 등의 행위를 허용하기 위한 정책입니다.
파일 및 소프트웨어 동작이 정의되어 제어하는 App Control 제품 특성 때문에, 소프트웨어 설치 및 파일 실행에 대해 일시적 허용이 필요한 경우 활용 가능합니다.
지속적인 적용이 필요한 경우 규칙을 분리하여 사용하여 관리도 가능하지만, 단발성 동작의 경우에는 신뢰하는 사용자 및 그룹을 설정하여 파일, 소프트웨어 실행에 대한 예외를 적용하여 편리성을 제공할 수 있습니다.
단, 파일 및 소프트웨어 실행에 대해 차단 정책이 적용된 경우는 사용이 불가합니다.
4.2.정책 생성
OS 플랫폼 별로 사용자 및 그룹을 입력하여 설정 가능합니다.
- Platform : 사용자 및 그룹의 OS 선택
- Windows
- Linux
- Mac
- Create Trust Type : 신뢰 유형 지정
- User : 사용자 계정 지정
- Group : 사용자 그룹 지정
- Pre-defined Group (Windows 만 지원) : 미리 정의된 사용자 그룹 선택
5. Directories
5.1.정책 설명
Directories 정책은 컴퓨터 내의 신뢰할 수 있는 폴더 경로를 지정하여, 해당 폴더 내의 파일 및 프로세스 행위를 허용하기 위한 정책입니다.
Windows OS의 경우 신뢰하는 폴더 내의 파일 및 프로세스 행위에 대한 제한은 없습니다. 그러나 커널 등의 권한 상승이 필요한 Linux 및 Mac OS 의 경우 신뢰하는 폴더 내에 파일에 대하여 분석하거나 (테스트 필수..!)
5.2.정책 생성
신뢰하는 폴더 경로를 생성합니다.
- Name : 정책 이름
- Computer : 정책을 지정할 엔드포인트의 컴퓨터 이름 (ex : Windows - 도메인 이름\컴퓨터 이름, Other - 컴퓨터 이름\도메인)
- Diretory : 신뢰할 폴더 경로 지정
- Description : 정책 설명
- Policies : 정책 적용 범위
- All Current and Future Policies : 모든 정책에 적용
- Selected Policies : 선택한 정책에만 적용
- Status : 정책 활성화 여부
- Enabled : 활성화
- Disabled : 비활성화
6. Files
6.1.정책 설명
Files 정책은 엔드포인트 내에서 신뢰되지 않은 프로그램이 실행되어 악성 행위를 진행하는 것을 방지하는 정책입니다.
파일의 해시값을 수집하고 이를 대상으로 실행 가능 여부를 판단하고 정의하여 사용이 가능합니다.
파일의 동작을 차단하는 기능인 만큼 오탐으로 인한 문제 상황이 발생되지 않도록, 모니터링 기능도 제공하여 관리자가 충분한 검토 후에 정책 적용이 진행됩니다.
또한 관리자가 파일의 신뢰 여부를 판단할 수 있도록 각 파일에 대한 세부 정보도 확인할 수 있습니다.
파일은 센서를 통해 수집되며, 수집되는 파일의 대상은 실행이 가능한 파일과 확장자가 일치하는 스트립트 파일입니다.
6.2.정책 생성
실행파일 및 스크립트 파일에 대한 정책을 생성합니다.
- Rule Name : 파일 규칙 이름
- Rule Type : 파일 실행 승인 여부
- Approval : 승인
- Ban : 차단
- Ban (Report Only) : 모니터링
- Hash Value : 파일 해시값
- Description : 파일 규칙 설명
- Policies : 정책 적용 범위 지정
- All Current and Future Policies : 전체 정책 적용
- Selected Policies : 선택 정책 적용
7. Custom
7.1.정책 설명
7.2. 정책 생성
테스트 필요함
8. Memory
8.1. 정책 설명
Memory 정책은 인-메모리 공격, 파일리스 공격 등으로부터 메모리를 통한 공격 기법을 방지하기 위한 정책입니다.
지정된 실행 파일 내에 다른 실행파일 또는 사용자(그룹)가 메모리에 접근하거나 수정하지 못하도록 정의하여 사용이 가능합니다.
이는 메모리 공격을 시도하거나, 메모리 공격 발생했을 때에, 발생한 공격이 환경 내로 더 이상 확산되지 않도록 실행파일 내 메모리 접근 및 수정 등의 행위를 차단하여 환경을 보호합니다.
8.2. 정책 생성
살행 파일에 대한 메모리 정책을 생성합니다.
- Name : 정책 이름
- Description : 정책 설명
- Status : 정책 사용 여부
- Expert Mode : 전문가 모드 사용 여부
- Platform : Windows OS만 선택 가능
- Action : 메모리 접근 및 수정 행위 발생 시에 동작 방식 선택
- Block : 차단
- Prompt : 센서 알림 메세지를 통해 차단 및 허용 여부 선택
- Report : 이벤트 발생
- Allow : 허용
- Block Silently : 센서 알림 메세지 및 이벤트 생성없이 차단
- Permissions : 대상 실행 파일에 허용 또는 차단할 권한 유형 선택
- Control Process : 프로세스 제어 권한
- Read Access : 읽기 엑세스 권한
- Write Access : 쓰기 엑세스 권한
- Write + Control : 읽기 및 제어 권한
- Read + Write + Control : 읽기 및 쓰기 및 제어 권한
- Dynamic Code Execution : 동적 코드 실행 권한
- Kernel Memory Access : 사용자 프로세스의 커널 메모리 엑세스 권한 (Windows XP 만 지원)
- Advanced : 세부 제어 설정
- Target Process : 메모리 제어 대상 프로세스
- Source Process : 권한 제어 대상 프로세스
- User or Group : 권한 제어 대상 사용자 또는 그룹
- Policies : 정책 적용 범위
9. Registry
9.1. 정책 설명
Registry 정책은 코드 삽입, 파일리스 공격 등으로부터 실행 프로그램에 대한 레지스트리 값이 악의적으로 변경되는 것을 방지하기 위한 정책입니다. 다른 실행 프로그램 또는 사용자(그룹)이 지정된 레지스트리 경로 값을 수정하지 못하도록 정의하여 사용이 가능합니다.
9.2. 정책 생성
레지스트리에 대한 레지스트리 정책을 생성합니다.
- Name : 정책 이름
- Description : 정책 설명
- Status : 정책 사용 여부
- Expert Mode : 전문가 모드 사용 여부
- Platform : Windows OS만 선택 가능
- Write Action : 쓰기 행위 발생 시에 동작 방식 선택
-
Block : 차단
-
Prompt : 센서 알림 메세지를 통해 차단 및 허용 여부 선택Report : 이벤트 발생Allow : 허용
-
- Registry Path : 제어 대상 레지스트리
- Source Process : 권한 제어 대상 프로세스
- User or Group : 권한 제어 대상 사용자 또는 그룹
- Policies : 정책 적용 범위
10. Scripts
10.1. 정책 설명
Scripts 정책은 확장자 및 프로세스 등의 규칙을 입력하여, App Control 센서에서 스크립트로 인식할 수 있는 파일을 정의하는 정책입니다.
Carbon Black App Control 의 수집 대상은 실행이 가능한 파일과 스트립트 파일입니다. App Control 에서 스트립트 파일을 인식하는 기준은 스크립트 정책으로 구별하여 정의합니다.
Carbon Black에서 사전에 정의한 표준 스크립트 규칙을 제공하고 있으나, 관리자가 별도로 추가하여 사용 가능합니다.
10.2. 정책 생성
스크립트 규칙을 지정하기 위한 스크립트 정책을 생성합니다.
- Rule Name : 정책 이름
- Discription : 정책 설명
- Status : 정책 사용 여부
- Platform : 정책 적용 OS
- Script Definition : 스크립트 유형 정의
- File Association (Windows OS만 지원) : 응용 프로그램이 연결된 파일
- Script Type and Process : 스크립트 및 프로세스 파일
- Script Type : 스크립트 파일 이름 및 확장자 지정
- Script Process : 스크립트 파일을 실행할 프로세스 지정
- Rescan Computer : 정책과 일치하는 컴퓨터 재확인
11. Yara
11.1. 정책 설명
Yara 정책은 Yara 규칙을 통해 악성코드를 식별하여, 파일 및 스크립트 내용의 악성 여부를 인식하여 보호하는 정책입니다.
App Control에서 사전 정의된 Yara 오픈소스 툴을 사용하여 컨텐츠 보호가 가능하며, 그 외 관리자가 Yara 규칙을 새롭게 생성하여 사용 가능합니다. Yara 정책의 경우, 악성코드 시그니처 식별하고 있어 환경에 대한 랜섬웨어 공격을 방지하는 데에 유용하게 사용합니다.
11.2. 정책 생성
악성코드 식별을 위한 Yara 정책을 생성합니다.
- Name : 정책 이름
- Namespace : 정책 구분
- Classification : 태그를 기반으로 Custom 정책을 사용하여 작업 수행하는 경우
- IsInteresting : 자동으로 작업 수행하는 경우
- Description : 정책 설명
- Qualifiers : 정책을 적용할 센서 대상 정의 (작성한 조건에 맞는 센서를 대상으로 정책이 동작)
- Status : 정책 사용 여부
- Rule : 악성코드 식별에 사용할 Yara 규칙 입력
- Rescan known files (Classification 선택 시 사용) : 적용한 규칙에 해당되는 파일이 있는지, 센서가 아는 파일을 기준으로 재검사
- Full scan for new files (IsInteresting 선택 시 사용) : 적용한 규칙에 해당되는 파일이 있는지, 센서가 전체 시스템 기준으로 재검사
- Detected Tags : Carbon Black 에서 제공한 태그를 사용하여 정책 구분
12. Reputation
12.1. 정책 설명
Reputation 정책은 Carbon Black App Control에서 제공되는 파일 평판을 기반하여 파일 사용을 자동으로 승인하는 정책입니다.
Reputation 정책은 Carbon Black File Reputation 를 통해 제공되는 파일의 평판 신뢰도를 기준하여 승인되므로 Carbon Black File Reputation 기능 활성화가 필요한 정책입니다.
인증서와 응용 프로그램이 정책 적용 대상이 되며, 신뢰도의 기준을 단계별로 구분하여 선택 후 사용됩니다.
정책 : 정책 생성
개요
Carbon Black App Control 정책 생성에 대한 가이드 문서 입니다.
기능 소개
1. Policies
1.1 정책 생성
- [App Control] 웹 콘솔 접속 > [Policies] 메뉴 선택 > [Add Policy] 버튼 클릭하여 정책 생성
- 조직별 정책 및 목적별 정책을 생성하여 사용
- Policy Name : 정책 이름
- Description : 정책 설명
- Mode : 서버와 컴퓨터가 통신하는 상태 혹은 통신하지 않는 상태에 대해 동작할 모드 설정
- Visibility : 파일 활동 및 이벤트 추적하기 위한 모드 (파일 실행/쓰기/금지 영향 없음) - 보안 기능을 인한 동작 방해 없음
- Control : 파일 실행에 대한 제어 및 단계 설정
-
- High (Block Unapproved) : 승인되지 않은 파일 실행 차단 및 이벤트 추적
- Medium (Prompt Unapproved) : 승인되지 않은 파일 실행 차단 및 사용자가 파일 실행 여부 선택 가능
- Low (Monitor Unapproved) : 승인되지 않은 파일 실행 허용 및 이벤트 추적
-
- Disabled : 파일 활동에 대한 추적 중단 - 에이전트 제거 시 사용
- Initial Settings : 템플릿으로 사용할 정책 선택
- Options
- Automatically Upgrade Agents : 에이전트에 대한 자동 업그레이드
- Track File Changes : 파일 추가/삭제/변경 추적
- Load Agent in Safe Mode (기본값) : 안전 모드에서 에이전트 로드
- Suppress Logo in Notifier : 에이전트 알림이 발생할 경우 로고를 표시하지 않음
- Total Computer : 정책에 연결된 총 컴퓨터 갯수
- Connected Computer : 정책에 연결된 컴퓨터 중, 서버와 연결된 컴퓨터 개수
1.2 정책 구성
정책 별 상세 가이드 : https://bs.etevers.tech/books/carbon-black-app-control-handbook/page/3def1
- [App Control] 웹 콘솔 접속 > [Policies] 메뉴 선택 > '정책' 의 
(View Details) 버튼 클릭
- Advanced : 개별적으로 등록되는 타 정책과 달리 전체 범위에서의 특정 동작에 대한 파일/스크립트 허용 및 차단
- Active : 활성화
- Off : 비활성화
- Report Only : 정책 테스트 - 파일 차단에 대한 로그 기록
- File Rules : 엔드포인트 설치 시 검출된 파일 또는 사용자가 등록한 개별 파일 해시 값을 통한 파일 승인 및 차단
- Approval : 파일 실행 허용
- Ban : 파일 실행 차단
- Ban (Monitor) : 파일 실행에 대한 이벤트 발생
- Custom Rules : 사용자가 소프트웨어 프로세스 행위에 대한 작업 규칙
- Memory Rules : 사용자나 프로세스가 특정 프로세스의 메모리에 접근하거나 변경하는 등의 행위 허용 및 차단
- Registry Rules : Windows OS에서 특정 레지스트리를 변경하는 행위 허용 및 차단
- Publisher Rules : Windows 및 MAC 에서 사용되는 소프트웨어 인증서에 대한 승인 및 미승인 규칙 정의하여 파일 허용 및 차단
- Rapid Configs : 세부적인 정책을 적용하기 전, 신속하게 엔드포인트 보호 환경을 정의하기 위한 정책 적용
- Computers : 정책이 적용된 엔드포인트 목록 확인
- Device Control Settings : 금지 및 미승인된 이동식 장치에 대한 실행 및 쓰기 행위에 대한 허용 및 차단
제거
삭제: 에이전트 삭제
개요
OS 별 App Control 에이전트 삭제 방법입니다.
진행 방법
1. Windows 에이전트 삭제
1.1 자동 삭제
- [App Control] 웹 콘솔 접속 > [Policies] 메뉴 이동 > [Add Policy] 버튼 클릭
- 'Mode' Control 선택 및 에이전트 자동 삭제 룰 생성
- agent config 설정 페이지로 이동 후 [Add Agent Config] 버튼 클릭하여 에이전트 정책 생성
Agent Config 페이지 : https://IP_FQDN/agent_config.php
- 에이전트 자동 삭제 정책 설정 입력
- Property Name: 설정 이름 지정
- Host ID (0 For All): 엔드포인트 지정 ('0' 으로 입력 시 모든 엔드포인트 지정됨)
- Value: 에이전트 삭제 허용
- Platform: OS 정보 선택
- Status: 활성화 여부 선택
- Create For : 적용할 정책 범위 선택
- Host ID '0' 입력 시 : 생성한 '자동 제거 정책' 선택 - 제거 정책이 할당된 에이전트 삭제
- Host ID '특정 호스트 ID' 입력 시 : 모든 정책 선택 - 특정 호스트 ID에 해당되는 에이전트 삭제
- Host ID '0' 입력 시 : 생성한 '자동 제거 정책' 선택 - 제거 정책이 할당된 에이전트 삭제
- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 메뉴 이동 > [Action] 버튼 클릭
- 엔드포인트 선택 및 '자동 삭제 정책'을 적용하여 설치된 에이전트 삭제 진행
- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 의 자산 상태 정보 확인
1.2 수동 삭제
1.2.1 GUI 삭제
- [App Control] 웹 콘솔 접속 > [Assets] - [Computer] 메뉴 접속 > 삭제할 컴퓨터 선택 후 [Action] 버튼 클릭 > 생성한 'Disable Policy' 선택
- App Control 에이전트' 설치된 사용자 데스크탑 접속 > [제어판] - [프로그램 및 기능] 실행 > [App Control Agent] 선택 후 '제거' 버튼 클릭
- 삭제 진행
- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 의 자산 상태 정보 확인
1.2.2 CLI 삭제
- 'App Control 에이전트' 설치된 사용자 데스크탑 접속 > [CMD] 관리자 권한으로 실행 > 삭제 명령어 입력
# 설치 경로 이동
cd "C:\Program Files (x86)\Bit9\Parity Agent"
# 삭제 허용 작업
dascli password (설치 시 입력한 에이전트 비밀번호)
dascli tamperprotect 0
dascli allowuninstall 1
# 삭제 명령 진행 (GUID 의 경우 에이전트 버전에 맞는 GUID 입력 필요)
msiexec.exe /x {GUID} FORCE=1 /L*v "%userprofile%\Desktop\AgentUninstall.log"에이전트 GUID 확인 링크
: https://community.carbonblack.com/t5/Knowledge-Base/App-Control-Agent-Versions-Product-GUID/ta-p/64830
- 삭제 진행
- [App Control] 웹 콘솔 접속 > [Assets] - [Computers] 의 자산 상태 정보 확인
2. MAC 에이전트 삭제
2.1 수동 삭제
- Disabled 모드 선택하여 새로운 정책 생성
- 생성한 Disable 정책을 삭제할 엔드포인트에 정책 적용
- 엔드포인트에 Disabled 정책 적용됨을 확인
- 'App Control 에이전트' 설치된 사용자 데스크탑 접속 > [터미널] 실행 > 삭제 명령어 입력
- 에이전트 삭제 확인
3. Linux 에이전트 삭제
3.1 수동 삭제
해당 작업은 관리자 권한으로 실행합니다.
- 이전에 생성한 에이전트 비활성화 정책 적용
- 삭제 스크립트 실행하여 에이전트 삭제
- 전체 삭제의 경우 (에이전트 및 데이터 삭제) : sh ./b9uninstall.sh
- 일부 삭제의 경우 (에이전트 삭제 및 데이터 보존) : sh ./b9uninstall.sh -d
- 에이전트 삭제 확인 및 'Delete Computers' 선택하여 에이전트 목록 삭제
삭제: 서버 삭제
개요
App Control 서버 삭제 방법입니다.
진행 방법
1. Server 삭제
에이전트 삭제 작업 필요 : 서버 먼저 삭제 할 경우, 모든 정책 비활성화 작업 진행
- [App Control] 설치 서버 접속 > [제어판] - [프로그램 제거] 실행 > 'Carbon Black App Control' 선택 후 [Uninstall] 버튼 클릭
- App Control 삭제 프로그램 실행되며, 실행 중인 App Control 서비스 중지 후 서버 삭제 진행 및 완료
- 생성된 데이터베이스는 제거되지 않으므로, 별도 삭제 작업 필요 - App Control 은 'das' 라는 단일 SQL 데이터베이스 사용함
구성: Cloud 및 EDR 간 연동
개요
App Contorl 제품과 EDR 및 Cloud 간의 연동 구성 방법입니다.
진행 방법
1. App Control - EDR 간 연동
참고 문서 : https://community.carbonblack.com/t5/Knowledge-Base/EDR-How-to-Integrate-with-App-Control/ta-p/82936
1.1 EDR API Token 복사 (EDR 서버)
- [EDR 웹 콘솔] 접속 > 오른쪽 상단의 [사용자 이름] My Profile 클릭 > [API Token] 탭 > API Token [Copy] 버튼 선택하여 API 토큰 값 복사
1.2 EDR 서버 연동 (App Control 서버)
- [App Control 웹 콘솔] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'Carbon Black EDR' 설정
- EDR 서버로 부터 Watchlist Event 발생 이력에 대해 수신 받을 수 있음
- URL : EDR 서버의 도메인 정보 입력 (ex : https://FQDN or IP)
- SSL Certificate : SSL 인증서 사용 여부 선택
- API Token : EDR 서버에서 복사한 API 토큰 입력
- Receive Watchlist Events : EDR 서버로부터 Watchlist Event 수신 여부 선택
- 체크 선택 시 : Watchlist 데이터 수신 및 센서 status 및 디바이스 정보 확인 가능
- 체크 해제 시 : Watchlist 데이터 미수신 및 센서 status 및 디바이스 정보 확인 가능
- Force Strong SSL : SSL 강제 적용 여부 선택 (?)
1.3 App Control 연동 여부 확인 (EDR 서버)
- [EDR 웹 콘솔] 접속 > 오른쪽 상단의 [사용자 이름] 의 Settings 클릭 > [VMware Carbon Black App Control Server] 탭 선택
- 정상 연동이 이루어진 경우, 'Connected to VMware Carbon Black App Control Server' 메세지가 확인되며,
또한 'Server URL' 정보에 App Control 서버 URL 이 자동으로 기입됨
1.4 EDR 연동 정보 확인 (App Control)
- [App Control 웹 콘솔] 접속 > [Reports] 의 [Event] 메뉴 선택
- Watchlist 에서 생성된 정보를 수신하여 App Control 콘솔에서 확인 가능
- Event 프로세스에 대한 세부 정보 확인 가능
- EDR 에이전트에 대한 상태 정보 확인 가능
- [EDR 버튼]을 선택하면 EDR 웹 콘솔로 이동하여, EDR 웹 콘솔 통한 디테일 정보 확인 가능
- [App Control 웹 콘솔] 접속 > [Assets] 의 [Devices on Computers] 메뉴 선택
- [EDR 버튼]을 선택하면 EDR 웹 콘솔로 이동하여, EDR 웹 콘솔 통한 디테일 정보 확인 가능
2. App Control - Cloud 간 연동
2.1 Cloud 서버 연동 (App Control 서버)
- [App Control 웹 콘솔] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Connectors] 탭 선택 > 'Carbon Black Cloud' 설정
- Cloud 웹 콘솔 정보를 입력하여, Cloud 콘솔로 다이렉트 이동 지원
- Enable Carbon Black Cloud Integration : Carbon Black Cloud 와의 통합 여부
- Do You Have Carbon Black Cloud Enterprise EDR : Enterprise EDR 사용 여부 (미사용 시, 이벤트/장치 정보만 수집 가능)
- Automatic : 기본 URL 주소 입력하여, 각 필드 URL에 적용
- File Evenet URL, Computer/Device Event URL, Device URL : 수집할 Carbon Black Cloud URL 정보 입력
2.2 Cloud 연동 정보 확인 (App Control)
- [App Control 웹 콘솔] 접속 > [Reports] 의 [Event] 메뉴 선택
- [App Control 웹 콘솔] 접속 > [Assets] 의 [Devices on Computers] 메뉴 선택
- [Cloud 버튼]을 선택하면 Cloud 웹 콘솔로 이동하여, Cloud 웹 콘솔 통한 디테일 정보 확인 가능
3. Reputation Approval Rules 활성화
3.1 Reputation 활성화 (App Control 서버)
- [App Control 웹] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'File Reputation Activation' 설정
- [Accept Terms and Activate] 버튼을 클릭하여 Carbon Black File Reputation 사이트 '약관 동의' 진행
- Carbon Black File Reputation 사이트로 이동되며, 이용 약관 확인 및 제출
- [Verify Activation] 버튼을 선택하여 Carbon Black File Reputation 사이트와의 연동 진행
- Carbon Black File Reputation 데이터 다운로드 현황 확인
- [Options] 버튼 선택 시, Carbon Black File Reputation 사이트로 이동되며, 옵션 설정 가능
- [View Carbon Black File Reputation Data] 를 선택하여 파일에 대한 평판 확인
구성: 환경 마이그레이션
개요
기존 App Contorl 서버를 신규 App Control 서버 환경으로 마이그레이션 하는 방법을 작성하였습니다.
진행 방법
1. 기존 서버 데이터 백업
1.1 데이터 백업
- SSMS 프로그램을 접속 후 'das' 데이터베이스에 쿼리문을 통해, 비활성화된 'xp_cmdshell' 기능 활성화
- [App Control] 웹 콘솔 > [Settings] - [System Configuration] 메뉴 접속 > 'Advanced Options' 탭으로 이동
- 데이터베이스 백업 설정 진행
- Backup Type : 로컬 폴더 저장 또는 네트워크 폴더에 저장 선택
- Backup Path : 로컬 경로 입력 또는 네트워크 경로 입력
- Enabled : 체크박스 선택하여 백업 활성화 진행
- Status : 백업의 현재 상태 확인
- [App Control] 웹 콘솔 > [Reports] - [Events] 메뉴 접속하여 백업 상태 이벤트 이력 확인
- 백업 경로에 생성된 backup.ini 및 Full_backup.bak 파일 확인
1.2 서버-에이전트 간 통신 인증서 백업 (선택사항)
- App Control 서버 접속하여 'certlm.msc' 실행
- [Trusted People] - [Certificates] 선택하여 'App Control' 인증서 확인
사용 중인 인증서 확인 메뉴 : [App Control] 웹 콘솔 접속 > [Settings] - [System Configurations] 메뉴 선택 > [Security] 탭 선택
- 인증서 목록 우클릭하여 [Expert] 진행
- 내보내기 옵션 선택
- 콘솔 백업 및 IIS 구성을 위한 인증서
- Yes, export the private key 선택
- 엔드포인트 및 신뢰되는 통신을 위한 인증서
- No, do not export the private key 선택
- 인증서 유형에 맞는 옵션 선택
- 콘솔 백업 및 IIS 구성을 위한 인증서
- Mindade all cartricates in the certification path if possible 체크
-
Export all extended properties 체크
-
Enable certificate privacy 체크
- 엔드포인트 및 신뢰되는 통신을 위한 인증서
-
ODER encoded binary X. 509 (.CER) 체크
-
- 콘솔 백업 및 IIS 구성을 위한 인증서의 경우 'Password' 체크 및 입력
- 파일명 및 위치 지정하여 인증서 내보내기 완료
2. 신규 App Control 환경 구성
- 참조 문서 : https://bs.etevers.tech/books/carbon-black-app-control-handbook/page/42e7a
2.1 SQL Server 설치
기존 환경과 동일한 구성이 필요합니다.
- SQL Server 설치 (SQL Server 설치 가이드 참조)
- [SSMS] 접속 > [Security] > [Logins] 확장 및 접속 > 'New Login' 선택
- 'IIS APPPOOL\DefaultAppPool' 계정 추가
2.2 App Control 설치
- 참조 문서 : https://bs.etevers.tech/books/carbon-black-app-control-handbook/page/cd006
- ParityServerSetup.exe 프로그램 실행 및 라이선스 동의
- 설치 진행할 기능 및 설치 위치, 용량 확인
- Database 서버 위치 '(local)' 선택 및 인증 방법 선택
- 기존 환경에서 백업한 데이터베이스 사용을 위해 'Restore from a database backup' 옵션 선택
- 콘솔 및 서버 인증서 재사용 여부 확인
- 기존 서버와 다른 서버에 재설치 진행한다면 'Yes' 버튼 클릭, backup.ini 파일의 설정 값을 사용하여 재설치 진행한다면 'No' 버튼 클릭
- Backup.ini 파일에 작성된 서버 설정 값이 정상적으로 입력되었는지 확인
- App Control Server 및 SQL Server 에 엑세스 가능한 Windows 사용자 계정 지정
- [Install] 버튼을 클릭하여 설치 진행
- 기존 IIS 인증서에 대한 암호 입력
- 서버 설치 완료
- [App Control] 웹 콘솔 접속 > [Settings] > [Update Agent/Rule Version] 메뉴 이동 후 'Select a File' 또는 '드래그 앤 드롭' 방식으로 룰 및 OS 별 에이전트 업로드
- LinuxHostPackageInstaller.exe
- WindowsHostPackageInstaller.exe
- MacHostPackageInstaller.exe
- RulesInstaller.exe
3. 데이터 확인
- 에이전트 통신 확인
- 로그/정책/설정 등 정보 확인
구성: 클라우드 파일 평판 서비스 연동
개요
Carbon Black App Control 파일 평판 서비스와 연동하는 방법을 작성한 가이드 문서입니다.
진행 방법
1. Reputation Approval Rules 활성화
1.1 Reputation 활성화 (App Control 서버)
- [App Control 웹] 접속 > 오른쪽 상단의 [Settings] 'System Configuration' 클릭 > [Licensing] 탭 선택 > 'File Reputation Activation' 설정
- [Accept Terms and Activate] 버튼을 클릭하여 Carbon Black File Reputation 사이트 '약관 동의' 진행
- Carbon Black File Reputation 사이트로 이동되며, 이용 약관 확인 및 제출
- [Verify Activation] 버튼을 선택하여 Carbon Black File Reputation 사이트와의 연동 진행
- Carbon Black File Reputation 데이터 다운로드 현황 확인
- [Options] 버튼 선택 시, Carbon Black File Reputation 사이트로 이동되며, 옵션 설정 가능
- [View Carbon Black File Reputation Data] 를 선택하여 파일에 대한 평판 확인
- 'service.bit9.com' 도메인으로 리다이렉트 후 파일 평판 확인 가능
구성: 서버 변경
개요
Carbon Black App Control 서버의 IP 및 도메인 변경 작업 진행 가이드 문서 입니다.
진행 방법
1. 사전 구성 정보
- IP 및 DNS 설정
- 에이전트 서버 정보 변경
- 신규 인증서 발급 및 적용
2. 웹 콘솔 구성
3. 에이전트 구성
에이전트 재설치 또는 수동 업데이트 작업을 통해 서버 주소 변경이 필요합니다.
- 에이전트 업그레이드 작업은 서버 주소를 변경하지 않습니다.
3.1. Windows 에이전트
3.2. MAC 에이전트
3.3. Linux 에이전트