요약
유료 EDR이 없어도 Sysmon+WEF로 핵심 탐지 로그를 모을 수 있습니다.
잡음 최소화·성능 균형을 위해 구성 파일 튜닝과 포워딩 범위 설계가 필수입니다.
2025-10-16 기준, 권장 이벤트·배포 순서·점검표를 절대값으로 정리합니다.
본문
Sysmon은 프로세스 생성·네트워크·파일/레지스트리 변경 등 보안에 중요한
이벤트를 상세 기록합니다. Windows Event Forwarding(WEF)은 이 이벤트를
중앙 수집기로 모읍니다. 둘을 결합하면 가벼운 EDR-라이트 구성이 가능해집니다.
핵심은 1) 검증된 Sysmon 구성 템플릿을 바탕으로 환경 맞춤 필터를 추가하고,
2) WEF 구독 범위를 단계별로 확대하며, 3) 저장·전송 비용을 고려한 보존주기를
정하는 것입니다.
- 1) 권장 이벤트: 1·3·7·8·11·12·13·22·23·24·25·26·27·28·29 점검
- 2) 필터링: 서명된 정상 프로세스·업데이트 경로는 화이트리스트로 소거
- 3) 전달: WEF Source-Initiated 방식, TLS·Kerberos 적용, Collector 이중화
- 4) 보존: SIEM 인입 전 압축·샘플링, 고위험 이벤트 우선 90일 보관
- 5) 운영: 변경관리·서명된 구성 파일, 월간 튜닝 회고·오탐 목록 관리
문제 원인
1) 직접 원인: 과도한 이벤트로 저장소 폭주·지연 발생
2) 간접 원인: 구성 파일 버전 불일치·Collector 성능 부족
3) 환경 제약: 도메인 밖 장비·원격 근무 PC의 네트워크 제약
해결 방법
1) 즉시 조치: 검증된 Sysmon 템플릿 적용 후 점진 튜닝·WEF 구독 분리
2) 근본 조치: 이벤트 우선순위 매트릭스 구축·SIEM 대시보드 표준화
3) 예방 조치: 에이전트·Collector 헬스체크·스토리지 경보·용량 예산화
한줄평
좋은 로그는 ‘덜지만 핵심’입니다. 설계와 튜닝이 전부를 가릅니다.
출처
Microsoft Sysinternals: Sysmon 소개·다운로드(2025-08-18 갱신)
Microsoft Learn: Windows Event Forwarding 모범사례(2025-01-15)
SwiftOnSecurity: 공개 Sysmon 구성 템플릿
Blumira: Sysmon 배포·튜닝 가이드(2024-03-04)
'소트프웨어' 카테고리의 다른 글
| Windows OpenSSH 하드닝 가이드 – FIDO2 보안키로 비밀번호 없는 SSH (0) | 2025.10.18 |
|---|---|
| WDAC(Windows Defender Application Control)로 애플리케이션 화이트리스트 시작하기 (0) | 2025.10.17 |
| PowerShell JEA(Just Enough Administration)로 최소 권한 운영 시작하기 (0) | 2025.10.15 |
| winget 오프라인 미러 구축 - 좌석 패키지 표준화와 폭주 방지 (0) | 2025.10.15 |
| 윈도우 11 10월 업데이트 - 관리자 보호·패스키·AI 액션 체크 (0) | 2025.10.14 |