EDR 환경을 직접 구축하고 실습하는 프로젝트를 진행해본다.
https://www.xn--hy1b43d247a.com/homelab/edr
→ 해당 글을 참고하여 edr 설치를 진행했다. 하지만 위의 글은 칼리 리눅스 기반 설치 안내이기 때문에 내 우분투 환경에는 맞지 않았다. 따라서 나는 아래와 같이 설치를 진행하였다.
# 1) 기존 충돌 패키지 제거(있으면)
for pkg in docker.io docker-doc docker-compose docker-compose-v2 podman-docker containerd runc; do
sudo apt remove -y $pkg
done
# 2) 패키지 인덱스 갱신
sudo apt update
# 3) 필수 패키지 설치
sudo apt install -y ca-certificates curl gnupg
# 4) Docker GPG 키 등록
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg
# 5) Docker apt 저장소 추가
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
$(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
# 6) 저장소 반영
sudo apt update
# 7) Docker 설치
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
# 8) 나머지 유틸 설치
sudo apt install -y jq git curlubuntu 환경에서 EDR 실습을 진행하고 싶은 사람은 위의 install 방법을 참고하면 좋을 것 같다.
필요한 패키지를 설치한 후에
sudo git clone https://github.com/peasead/elastic-container.git
cd ./elastic-container
# ELASTIC_PASSWORD와 KIBANA_PASSWWORD를 changeme에서 다른 문자열로 바꾼다.
sudo vim ./.env
sudo ./elastic-container.sh start 이렇게 도커를 실행 시켜준다.
성공적으로 세팅이 된 것을 확인할 수 있고, 이제 localhost:5601에 가서 edr 세팅을 해주면 된다.
$ProgressPreference = 'SilentlyContinue'
Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-9.0.8-windows-x86_64.zip -OutFile elastic-agent-9.0.8-windows-x86_64.zip
Expand-Archive .\elastic-agent-9.0.8-windows-x86_64.zip -DestinationPath .
cd elastic-agent-9.0.8-windows-x86_64
.\elastic-agent.exe install --url=https://10.0.2.15:8220 --enrollment-token=YVM2WVBwMEI3bXhBQmdXdkYtOU06TGs2VjE2MDVKRkgzNGxHVktJQlRxZw==kibana에 들어가서 윈도우 agent를 확인하면 위처럼 명령어를 준다. 해당 명령어를 윈도우 박스에서 그대로 실행해주고 rules를 확인해보면 아래와 같이 경고가 뜬 것을 확인할 수 있다.
'Develop & OpenSource' 카테고리의 다른 글
| codeql 원리와 사용법 분석 (0) | 2026.03.30 |
|---|