Microsoft PowerShell 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Microsoft PowerShell 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Microsoft PowerShell은 명령줄 셸과 스크립트 언어로 구성된 Microsoft의 작업 자동화 및 구성 관리 프레임워크입니다. PowerShell 로그는 스크립트 실행, 모듈 활동, 명령어 호출을 캡처하여 보안 모니터링 및 포렌식 분석을 위한 PowerShell 작업에 대한 가시성을 제공합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상
- Windows 호스트와 Google SecOps 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- PowerShell 로깅을 구성하고 Bindplane 에이전트를 설치하기 위한 Windows 호스트에 대한 관리 액세스 권한
PowerShell 로깅 구성
로그를 수집하려면 먼저 Windows 호스트에서 PowerShell 로깅을 사용 설정해야 합니다. 기본적으로 PowerShell 로깅은 최소화됩니다. 스크립트 블록 로깅을 사용 설정하여 자세한 PowerShell 활동을 캡처합니다.
그룹 정책을 사용하여 스크립트 차단 로깅 사용 설정
- 관리자로
gpedit.msc를 실행하여 로컬 그룹 정책 편집기를 엽니다. - Computer Configuration(컴퓨터 구성) > Administrative Templates(관리 템플릿) > Windows Components(Windows 구성요소) > Windows PowerShell로 이동합니다.
- PowerShell 스크립트 블록 로깅 사용 설정을 더블클릭합니다.
- Enabled(사용 설정됨)를 선택합니다.
- 선택적으로 스크립트 블록 호출 시작 / 중지 이벤트 로깅을 선택하여 각 스크립트 블록의 시작 및 중지 이벤트를 캡처합니다. 이 옵션은 많은 양의 로그를 생성합니다.
- 확인을 클릭합니다.
- 관리자 권한으로 명령 프롬프트를 열고
gpupdate /force를 실행하여 정책을 즉시 적용합니다.
레지스트리를 사용하여 스크립트 차단 로깅 사용 설정
또는 다음 레지스트리 값을 설정하여 스크립트 차단 로깅을 사용 설정할 수 있습니다.
- 관리자 권한으로
regedit를 실행하여 레지스트리 편집기를 엽니다. HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging로 이동합니다.- 키가 없으면 키를 만듭니다.
EnableScriptBlockLogging라는 새 DWORD (32비트) 값을 만들고 값을1으로 설정합니다.- 변경사항이 적용되도록 PowerShell 세션을 다시 시작합니다.
PowerShell 스크립트 블록 로깅은 이벤트 ID 4104를 사용하여 Microsoft-Windows-PowerShell/Operational 이벤트 로그 채널에 이벤트를 작성합니다.
선택사항: 모듈 로깅 사용 설정
모듈 로깅은 지정된 모듈의 파이프라인 실행 세부정보를 기록합니다. 모든 모듈에 대해 모듈 로깅을 사용 설정하려면 다음을 실행하세요.
- 로컬 그룹 정책 편집기에서 컴퓨터 구성 > 관리 템플릿 > Windows 구성요소 > Windows PowerShell로 이동합니다.
- 모듈 로깅 사용 설정을 더블클릭합니다.
- Enabled(사용 설정됨)를 선택합니다.
- 모듈 이름 옆에 있는 표시를 클릭합니다.
*을 입력하여 모든 모듈을 로깅합니다.- Module Names 창에서 OK를 클릭합니다.
- 모듈 로깅 창에서 확인을 클릭합니다.
gpupdate /force를 실행하여 정책을 적용합니다.
모듈 로깅 이벤트는 이벤트 ID 4103과 함께 Windows PowerShell 이벤트 로그에 기록됩니다.
선택사항: 스크립트 사용 설정
스크립트를 사용하면 모든 PowerShell 세션 입력 및 출력의 텍스트 기반 레코드가 생성됩니다. 스크립트를 사용 설정하려면 다음 단계를 따르세요.
- 로컬 그룹 정책 편집기에서 컴퓨터 구성 > 관리 템플릿 > Windows 구성요소 > Windows PowerShell로 이동합니다.
- PowerShell 텍스트 변환 사용 설정을 더블클릭합니다.
- Enabled(사용 설정됨)를 선택합니다.
- 원하는 경우 스크립트 출력 디렉터리를 지정합니다. 비워 두면 스크립트가 각 사용자의 문서 폴더에 저장됩니다.
- 타임스탬프와 메타데이터를 포함하려면 호출 헤더 포함을 선택합니다.
- 확인을 클릭합니다.
gpupdate /force를 실행하여 정책을 적용합니다.
스크립트는 PowerShell_transcript로 시작하는 이름의 텍스트 파일에 작성됩니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 다운로드를 클릭하여 수집 인증 파일을 다운로드합니다.
Bindplane 에이전트가 설치될 Windows 호스트에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 호스트에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
PowerShell 로그를 수집하도록 Bindplane 에이전트 구성
Windows 구성 파일 찾기
다음과 같이 Windows 구성 파일을 찾습니다.
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: windowseventlog/powershell: channel: Microsoft-Windows-PowerShell/Operational max_reads: 100 poll_interval: 5s raw: true start_at: end processors: batch: exporters: chronicle/powershell: compression: gzip creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: 'POWERSHELL' raw_log_field: body override_log_type: false service: pipelines: logs/powershell: receivers: - windowseventlog/powershell processors: - batch exporters: - chronicle/powershell
구성 매개변수
다음 자리표시자를 바꿉니다.
수신기 구성:
channel: 수집할 Windows 이벤트 로그 채널입니다. PowerShell 스크립트 블록 로깅의 경우Microsoft-Windows-PowerShell/Operational을 사용합니다. 모듈 로깅의 경우Windows PowerShell를 사용합니다.raw: 원시 Windows 이벤트 로그 XML을 Google SecOps에 전송하려면true로 설정합니다.start_at: 에이전트가 시작된 후 새 이벤트만 수집하려면end로 설정합니다. 기존의 모든 이벤트를 수집하려면beginning로 설정합니다.
내보내기 도구 구성:
<CUSTOMER_ID>: 이전 단계의 고객 ID로 바꿉니다.creds_file_path: 수집 인증 파일의 전체 경로입니다. 다운로드한 인증 파일을 이 위치에 복사합니다.endpoint: 리전 엔드포인트 URL입니다. Google SecOps 리전의 엔드포인트를 사용합니다.- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
log_type: PowerShell 파서를 사용하려면POWERSHELL로 설정합니다.
구성 파일 저장
수정 후 파일 > 저장을 클릭하여 파일을 저장합니다.
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Windows
명령 프롬프트 또는 PowerShell을 관리자로 사용:
net stop observiq-otel-collector && net start observiq-otel-collector또는 서비스 콘솔을 사용하는 경우:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
로그 수집 확인
Bindplane 에이전트를 구성하고 서비스를 다시 시작하면 PowerShell 로그가 Google SecOps로 전송되기 시작합니다.
- Google SecOps 콘솔에 로그인합니다.
- 조사 > 검색으로 이동합니다.
다음 검색을 실행하여 PowerShell 로그가 수집되고 있는지 확인합니다.
metadata.log_type = "POWERSHELL"이벤트가 최근 타임스탬프와 함께 표시되는지 확인합니다.
PowerShell 스크립트 블록 로깅 이벤트 (이벤트 ID 4104)에는 스크립트 콘텐츠, 스크립트 블록 ID, 실행 컨텍스트를 비롯한 실행된 스크립트 블록의 세부정보가 표시됩니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| HostId | principal.resource.product_object_id | 주 리소스와 연결된 제품 객체의 고유 식별자 |
| System.Version | metadata.product_version | 이벤트를 생성한 제품의 버전 |
| System.EventId, EventID, winlog.event_id | metadata.product_event_type | 제품에서 정의한 이벤트 유형 |
| 컴퓨터, System.Computer, computer, winlog.computer_name | principal.hostname | 주체 항목의 호스트 이름 |
| 컴퓨터, System.Computer, computer, winlog.computer_name | principal.asset.hostname | 주 구성원과 연결된 애셋의 호스트 이름 |
| System.EventRecordID, RecordNumber, winlog.record_id | metadata.product_log_id | 제품의 로깅 시스템 내 로그 항목의 고유 식별자 |
| System.Opcode, opcode, winlog.opcode | metadata.description | 이벤트 설명 또는 추가 컨텍스트 |
| ProviderGuid, winlog.provider_guid | metadata.product_deployment_id | 제품 배포의 고유 식별자입니다. |
| System.ProcessID, ProcessID, ExecutionProcessID, execution.process_id, winlog.process.pid | principal.process.pid | 기본 프로세스의 프로세스 ID |
| SourceModuleName | principal.resource.name | 주 구성원과 연결된 리소스의 이름 |
| SourceModuleType | principal.resource.resource_subtype | 주 구성원과 연결된 리소스의 하위 유형 |
| security.user_id, UserID, winlog.user.identifier | principal.user.windows_sid | 주 사용자의 Windows 보안 식별자 (SID) |
| metadata.event_type | 이벤트 유형 (예: USER_LOGIN, NETWORK_CONNECTION) | |
| SourceName, winlog.provider_name | metadata.product_name | 이벤트를 생성한 제품의 이름입니다. |
| AccountName, Username, UserName, winlog.user.name | principal.user.userid | 주 사용자의 사용자 ID |
| 도메인, winlog.user.domain | principal.administrative_domain | 주체의 관리 도메인 |
| 경로, target_file, ScriptName, script_name, ContextInfo_Script Name, file_path | target.process.file.full_path | 타겟 프로세스와 연결된 파일의 전체 경로 |
| HostName, powershell.Host Name, ContextInfo_Host Name | target.hostname | 타겟 항목의 호스트 이름 |
| HostName, powershell.Host Name, ContextInfo_Host Name | target.asset.hostname | 타겟과 연결된 애셋의 호스트 이름 |
| 호스트 ID, HostID, ContextInfo_Host ID | target.asset.asset_id | 타겟 애셋의 고유 식별자 |
| Nombre_de_comando, ContextInfo_Command Name, CommandName | target.application | 타겟과 연결된 애플리케이션의 이름 |
| HostApplication, ContextInfo_Host Application | target.process.command_line | 타겟 프로세스를 실행하는 데 사용된 명령줄 |
| ScriptBlockText | target.process.command_line | 타겟 프로세스를 실행하는 데 사용된 명령줄 |
| MessageSourceAddress | principal.ip | 주 구성원의 IP 주소 |
| MessageSourceAddress | principal.asset.ip | 주 구성원과 연결된 애셋의 IP 주소 |
| Nombre_de_host | principal.application | 주 구성원과 연결된 애플리케이션의 이름 |
| Version_de_host | principal.platform_version | 주 구성원과 연결된 플랫폼 버전 |
| Id_de_host | principal.resource.id | 주 리소스의 고유 식별자 |
| Application_host | principal.process.file.full_path | 주 프로세스와 연결된 파일의 전체 경로 |
| HostApplication | principal.process.command_line | 주 프로세스를 실행하는 데 사용된 명령줄 |
| Usuario, admin_domain | principal.user.userid | 주 사용자의 사용자 ID |
| Usuario, admin_domain | principal.administrative_domain | 주체의 관리 도메인 |
| CommandLine | principal.process.command_line | 주 프로세스를 실행하는 데 사용된 명령줄 |
| 머신, machine_id | principal.asset.asset_id | 기본 저작물의 고유 식별자입니다. |
| 머신, platform_software | principal.asset.platform_software.platform | 애셋의 플랫폼 유형 (예: WINDOWS, LINUX) |
| 머신, platform_software | principal.asset.platform_software.platform_version | 애셋의 플랫폼 소프트웨어 버전 |
| MessageSourceAddress | intermediary.ip | 중개자 법인의 IP 주소 |
| MessageSourceAddress, Hostname | intermediary.hostname | 중개 기관의 호스트 이름 |
| MessageSourceAddress, Hostname | intermediary.asset.hostname | 중개인과 연결된 저작물의 호스트 이름 |
| MessageSourceAddress | intermediary.port | 중개자가 사용하는 포트 번호 |
| HostApplication | target.process.command_line | 타겟 프로세스를 실행하는 데 사용된 명령줄 |
| HostId | target.asset.asset_id | 타겟 애셋의 고유 식별자 |
| SequenceNumber, ContextInfo_Sequence Number, Sequence Number | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| ProviderName | principal.resource.attribute.labels | 주 리소스와 연결된 라벨 또는 속성 |
| NewEngineState | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| PreviousEngineState | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| ScriptName | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| ManagementGroupName | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| 소스 | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| RenderedDescription | security_result.description | 보안 결과 또는 취한 조치에 대한 설명 |
| TenantId | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| 사용자 이름 | principal.user.userid | 주 사용자의 사용자 ID |
| ActivityID | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| ExecutionThreadID, execution.thread_id, winlog.process.thread.id | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| 출력 | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| 데이터 | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| Data_1 | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| data_1 | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| Data_2 | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| winlog.activity_id | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| winlog.api | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| winlog.channel | principal.resource.attribute.labels | 주 리소스와 연결된 라벨 또는 속성 |
| 오프셋 | additional.fields | 표준 UDM 스키마에 포함되지 않는 추가 맞춤 필드 |
| SeverityValue | security_result.detection_fields | 추가 감지 정보의 키-값 쌍 |
| intermediary | intermediary | 이벤트에 관련된 중개자 항목에 관한 세부정보 |
| security_result | security_result | 작업, 심각도, 탐지를 포함한 전반적인 보안 결과 |
| metadata.vendor_name | 이벤트를 생성한 공급업체의 이름 | |
| SourceName | metadata.product_name | 이벤트를 생성한 제품의 이름입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.