1 요약 유료 EDR이 없어도 Sysmon+WEF로 핵심 탐지 로그를 모을 수 있습니다. 잡음 최소화·성능 균형을 위해 구성 파일 튜닝과 포워딩 범위 설계가 필수입니다. 2025-10-16 기준, 권장 이벤트·배포 순서·점검표를 절대값으로 정리합니다. 본문 Sysmon은 프로세스 생성·네트워크·파일/레지스트리 변경 등 보안에 중요한 이벤트를 상세 기록합니다. Windows Event Forwarding(WEF)은 이 이벤트를 중앙 수집기로 모읍니다. 둘을 결합하면 가벼운 EDR-라이트 구성이 가능해집니다. 핵심은 1) 검증된 Sysmon 구성 템플릿을 바탕으로 환경 맞춤 필터를 추가하고, 2) WEF 구독 범위를 단계별로 확대하며, 3) 저장·전송..
