Windows에 대한 DEX 검사 정의
Windows에 대한 검사 정의는 Windows 장치의 성능, 보안 및 적합성을 평가하는 미리 결정된 규칙 및 기준 세트입니다. 이러한 검사는 CPU 사용량, 메모리 사용량, 네트워크 테스트, 네트워크 바이트, 로그인한 사용자 등 다양한 측면을 다룰 수 있습니다.
Windows 장치에 대한 전체 플레이북 데이터를 가져오려면 ACC(에이전트 클라이언트 수집기)가 로컬 시스템 계정으로 실행되어야 합니다. ACC 서비스를 로컬 시스템 계정으로 설정하는 방법에 대한 자세한 내용은 로컬 시스템 계정 사용자로 실행 에이전트 클라이언트 수집기 문서를 참조하십시오.
주:
검사 정의 및 관련 검색 가능 데이터를 구성할 수 있습니다. 나열된 검사 정의 중 일부는 개인 정보를 포함하거나 개인 정보로 간주되는 데이터를 검색할 수 있습니다.
검사 정의 — 애플리케이션(메트릭)
DEX에서는 애플리케이션이 실행되고 있지 않아도 액세스할 수 있는 os.win.check-app-crash-rate 및 os.win.check-app-last-access-time 검사 정의를 제외하고 애플리케이션이 실행될 때만 액세스 가능한 다음과 같은 검사 정의를 제공합니다. 검사 정의 매개변수에는 다음 항목이 있습니다.
- appName = 애플리케이션 이름. 예: Zoom
- appSysId= 애플리케이션의 시스템 ID입니다.
- primaryProcess = 파이프 기호(|)로 구분된 애플리케이션의 기본 프로세스 목록입니다. 엔드포인트 장치에 존재하는 첫 번째 프로세스에 우선순위가 부여됩니다. 예 1: chrome.exe. 예 2: teams.exe|msteams.exe.주:Teams 애플리케이션의 기본 프로세스가 Windows 10에서는 teams.exe이고 Windows 11에서는 msteams.exe인 경우, 엔드포인트 장치의 프로세스 가용성에 따라 우선순위를 결정할 때 엔드포인트 장치에 먼저 존재하는 프로세스에 우선순위가 부여됩니다.
- secondaryProcesses = 파이프 기호(|)로 구분된 애플리케이션의 보조 프로세스 목록입니다. 예: cpthost.exe|cptservice.exe.
| 검사 정의 이름 | 검사 정의 매개변수 | 설명 |
|---|---|---|
| os.win.check-app-cpu-usage |
|
애플리케이션에서 사용하는 CPU 자원의 양을 확인합니다. |
| os.win.check-app-memory-usage |
|
애플리케이션에서 사용하는 메모리 양을 확인합니다. |
| os.win.check-app-last-access-time |
|
애플리케이션이 실행된 가장 최근 시간을 확인합니다. 주:
|
| os.win.check-app-last-updated |
|
최신 애플리케이션 업데이트 설치의 시간과 날짜를 확인합니다. |
| os.win.check-app-crash-rate |
|
애플리케이션의 충돌률을 조회합니다. 이 검사 정의는 다음을 지원합니다.
주: 이 검사 정의는 애플리케이션이 실행 중이지 않아도 사용할 수 있습니다. |
| os.win.check-app-uptime |
|
지정된 애플리케이션의 가동 시간을 확인합니다. |
| os.win.check-app-incoming-network-bytes |
|
IPv4 및 IPv6 네트워크에 대한 애플리케이션의 수신 네트워크 바이트를 검색합니다. |
| os.win.check-app-outgoing-network-bytes |
|
IPv4 및 IPv6 네트워크에 대한 애플리케이션의 발신 네트워크 바이트를 조회합니다. |
| os.win.check-app-domain-network-details |
|
설치된 애플리케이션 도메인의 네트워크 대기 시간, 패킷 손실 및 지터를 조회합니다. |
| os.win.check-app-domain-network-route-details |
|
애플리케이션 도메인에 대한 전체 네트워크 경로 상세 정보를 조회합니다. |
| os.win.check-app-sccm | 해당 사항 없음 | 앱 - Microsoft System Center Configuration Manager에 대한 애플리케이션별 메트릭을 가져옵니다. |
검사 정의 — 장치(메트릭)
DEX에서는 장치에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
| 검사 정의 이름 | 설명 |
|---|---|
| os.win.check-system-cpu-usage | 현재 CPU 사용률을 확인합니다. |
| os.win.check-system-cpu-details | CPU ID, CPU 이름, 물리적 및 논리적 코어 수, 아키텍처 정보를 검색합니다. |
| os.win.check-system-memory-usage | 현재 시스템 메모리 사용률을 확인합니다. |
| os.win.check-system-last-access-time | 현재 장치에 마지막으로 액세스한 시간을 확인합니다. 주: 이 검사 정의는 잠겨 있거나 잠금 해제된 장치에서 작동합니다. 이 검사 정의가 처음 실행되면 데이터가 없기 때문에 이벤트가 캡처되고 오류 메시지가 생성됩니다. |
| os.win.check-system-uptime | 시스템을 마지막으로 부팅한 이후 경과한 시간을 확인합니다. |
| os.win.check-system-disk-io-usage-read | 초당 읽기 디스크 바이트를 조회합니다. |
| os.win.check-system-disk-io-usage-write | 초당 기록된 디스크 바이트를 조회합니다. |
| os.win.check-system-energy-consumption | Windows 장치의 CPU, SoC, 디스플레이, 디스크, 네트워크, MBB, EMI, 기타, 총, 손실 에너지 소비 값(밀리와트시 단위)을 조회합니다. 주:
이 검사 정의는 에너지 센서가 없는 가상 머신과 호환되지 않습니다. 최신 데이터를 조회하는 다른 검사 정의와 달리, 이 검사 정의는 마지막 5분의 데이터 합계를 조회합니다. |
| os.win.check-system-time | UNIX 타임스탬프를 사용하여 UTC(조정된 범용 시간)의 현재 시간을 확인합니다. |
| os.win.check-system-power-plan | 활성 전원 계획의 이름을 조회합니다. |
| os.win.check-system-os-details | 운영 체제의 이름, 버전, 플랫폼, 아키텍처 및 설치 날짜를 조회합니다. |
| os.win.check-system-device-crashes | 장치에서 발생한 여러 충돌의 상세 정보를 조회합니다. 주: 이 검사 정의는 이벤트 ID = 41,1001인 시스템 이벤트를 내보내는 BSOD를 지원합니다. |
| os.win.check-system-device-events | 지정된 시간 간격 동안 장치에서 발생한 이벤트의 상세 정보를 조회합니다. Windows에 대한 이벤트에는 마지막 부팅 및 로그인한 사용자가 포함됩니다. |
| os.win.check-system-disk-usage | 전체 공간의 백분율인 디스크 사용 공간을 검색합니다. |
| os.win.check-system-battery-details | 배터리 잔량 백분율, 설계된 전압, 예상 실행 시간 및 배터리의 최대 용량을 포함한 배터리 관련 데이터를 조회합니다. 주:
|
| os.win.check-system-network-details | 이더넷, Wi-Fi 및 기타 관련 정보 등 네트워크 상세 정보를 조회합니다. |
| os.win.check-system-logged-in-users | 현재 장치에 로그인한 사용자의 로그인 사용자 ID를 확인합니다. |
| os.win.check-system-power-consumption | 장치의 전력 소비량(밀리와트)을 조회합니다. 주: 이 검사 정의는 물리적 머신과만 호환되며 가상 머신(VM)을 지원하지 않습니다. |
| os.win.check-system-admin-users | 로컬 관리 권한이 있는 모든 사용자 계정을 조회합니다. |
| os.win.check-system-bsod | BSOD(블루스크린)의 발생 횟수, 메시지, ID, 수준 및 시간을 조회합니다. 주: 이 검사 정의는 이벤트 ID = 1001인 시스템 이벤트를 내보내는 BSOD를 지원합니다. |
| os.win.check-system-firewall-enabled | 운영 체제 방화벽이 활성 상태이고 사용되고 있는지 확인합니다. |
| os.win.check-system-antimalware-details | 장치에서 맬웨어 방지 소프트웨어의 상세 정보를 조회합니다. |
| os.win.check-system-reboot-details | 재부팅 기간(초)과 마지막 재부팅 타임스탬프(UNIX Epoch 시간)를 조회합니다. 주: 표시된 값은 시스템 업데이트, 정전 또는 수동 개입과 같이 시스템 재부팅이 중단된 케이스를 정확하게 반영하지 않을 수 있습니다. |
| os.win.check-system-os-setup-details | 장치의 대략적인 OS 사용 기간을 조회합니다. |
| os.win.check-system-network-adapter-details | 장치에 대한 네트워크 어댑터 상세 정보를 조회합니다. |
| os.win.check-system-network-connection-profiles | 장치의 네트워크 연결 프로파일 상세 정보를 조회합니다. 주: 이 검사 정의는 VPN 상태를 확인하는 데 사용할 수 있는 네트워크 유형을 검색합니다. |
| os.win.check-system-compliance-details | 시스템의 준수 상세 정보를 검색합니다. 여기에는 구성된 모든 앱 및 미준수 메트릭 값 목록이 포함되며 이를 기반으로 규정 준수 등급을 계산합니다. 주:
|
| os.win.check-system-battery-charge-percentage | Windows 장치에서 배터리 충전 백분율을 조회합니다. 주: 현재 용량이 설계 용량보다 크면 배터리가 100%로 반올림됩니다. |
| os.win.check-system-windows-registry | Windows 레지스트리 데이터를 검색합니다. |
| os.win.check-system-memory-details | 가상 메모리 상세 정보와 같은 시스템 메모리 상세 정보를 조회합니다. |
| os.win.check-system-bios-details | 시스템 BIOS 상세 정보를 조회합니다. |
| os.win.check-system-executables | Windows 컴퓨터에 있는 모든 실행 파일(*.exe)을 가져옵니다. |
검사 정의 — 진단 작업
DEX에서는 진단 작업에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
| 검사 정의 이름 | 검사 정의 매개변수 | 설명 |
|---|---|---|
| 진단 작업 | ||
| os.win.check-app-process-ids | --process_name=<프로세스 이름> | 애플리케이션과 연결된 상위 프로세스와 모든 하위 프로세스의 프로세스 ID(PID)를 조회합니다. |
| os.win.check-process-cpu | 해당 사항 없음 | 실행 중인 모든 프로세스의 목록과 CPU 사용률, CPU 시간, PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다. |
| os.win.check-process-memory | 해당 사항 없음 | 실행 중인 모든 프로세스의 목록과 메모리 사용량(KB), PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다. |
| os.win.check-process-disk | 해당 사항 없음 | 실행 중인 모든 프로세스의 목록과 디스크 사용량(바이트), PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다. |
| os.win.check-rssi-value | 해당 사항 없음 | 현재 연결된 WiFi 인터페이스에 대한 수신 신호 강도 표시기(RSSI) 값을 조회합니다. RSSI는 무선 접근 포인트(AP)와 장치 간의 신호 강도를 나타내며, RSSI 값이 높을수록 신호 강도가 더 강함을 나타냅니다. 주: 이 검사 정의는 가상 머신에 적용할 수 없습니다. |
| os.win.check-services-data | service_type =<서비스 유형(사용자, 시스템 또는 모두) | PID, 서비스 이름, 서비스 표시 이름, 상태, 서비스 유형이 있는 모든 서비스의 목록을 조회합니다. |
검사 정의 — 정정 작업
DEX에서는 정정 작업에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
| 검사 정의 이름 | 검사 정의 매개변수 | 설명 |
|---|---|---|
| os.win.action-kill-process | --pid=<프로세스 id> 또는--process_name=<쉼표로 구분된 실행 파일 이름 목록> 주: 프로세스 ID는 애플리케이션 이름보다 우선합니다. |
실행 중인 프로세스나 PID(프로세스 ID) 또는 실행 파일(.exe) 이름 목록에 지정된 여러 프로세스를 종료합니다. |
| os.win.action-restart-service | --service_name=<서비스 이름> | 시스템에 대한 입력으로 서비스 이름을 사용하는 로깅된 사용자 서비스를 다시 시작합니다. |
| os.win.action-flush-dns-cache | 해당 사항 없음 | Windows 장치에서 DNS 캐시를 플러시합니다. |
| os.win.action-clear-browser-cache |
--auto_close = <true/false> 주:
자동 닫기가 활성화된 경우 브라우저 캐시를 지우는 동안 브라우저가 닫히며 그 반대의 경우도 마찬가지입니다. --browsers = <쉼표로 구분된 브라우저 목록> |
Google Chrome, Mozilla Firefox 및 Microsoft Edge와 같은 지원되는 브라우저의 캐시를 지웁니다. 주: 이 정의 검사를 실행하기 전에 브라우저 작업을 저장합니다. |
| os.win.action-clear-app-cache |
auto_close = <캐시를 지우기 전에 프로세스를 닫을지 여부에 대한 예/아니오입니다> process_name = <프로세스 이름> app_name = <애플리케이션 이름> cache_path = <캐시 폴더의 경로> 주:
캐시 경로는 Zoom, Outlook, Teams에서 지원됩니다. 사용자에 대한 경로 없이 캐시 경로를 입력해야 합니다. 예를 들어 캐시가 경로 C:\User\<UserName>\AppData\Roaming\Zoom\data에 있는 경우 AppData\Roaming\Zoom\data를 입력합니다. |
애플리케이션 캐시를 지웁니다. |