DEX Windows에 대한 검사 정의
Windows에 대한 검사 정의는 Windows 장치의 성능, 보안 및 적합성을 평가하는 미리 결정된 규칙 및 기준 세트입니다. 이러한 검사는 CPU 사용량, 메모리 사용량, 네트워크 테스트, 네트워크 바이트 및 로그인한 사용자와 같은 다양한 측면을 다룰 수 있습니다.
Windows 장치에 대한 전체 플레이북 데이터를 가져오려면 (ACC)가 에이전트 클라이언트 수집기 로컬 시스템 계정으로 실행되어야 합니다. ACC 서비스를 로컬 시스템 계정으로 설정하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 ACC를 로컬 시스템 계정 사용자로 실행.
주:
검사 정의 및 관련 검색 가능 데이터를 구성할 수 있습니다. 나열된 검사 정의 중 일부는 개인 정보를 포함하거나 개인 정보로 간주되는 데이터를 검색할 수 있습니다.
검사 정의 — 애플리케이션(메트릭)
DEX 에서는 애플리케이션이 실행되고 있지 않아도 액세스할 수 있는 os.win.check-app-crash-rate 및 os.win.check-app-last-access-time 검사 정의를 제외하고 애플리케이션이 실행될 때만 액세스 가능한 다음과 같은 검사 정의를 제공합니다. 검사 정의 매개변수에는 다음 항목이 있습니다.
- appName = 애플리케이션 이름. 예: Zoom
- appSysId= 애플리케이션의 sys_id입니다.
- primaryProcess = 파이프 기호(|)로 구분된 애플리케이션의 기본 프로세스 목록입니다. 엔드포인트 장치에 존재하는 첫 번째 프로세스에 우선순위가 부여됩니다. 예 1: chrome.exe. 예 2: teams.exe|msteams.exe.주:애플리케이션의 Windows 기본 프로세스가 Microsoft Teams 10에서는 teams.exe이고 11에서는 Windows msteams.exe인 경우, 엔드포인트 장치의 프로세스 가용성에 따라 우선순위를 결정할 때 엔드포인트 장치에 먼저 존재하는 프로세스에 우선순위가 부여됩니다.
- secondaryProcesses = 파이프 기호(|)로 구분된 애플리케이션의 보조 프로세스 목록입니다. 예: cpthost.exe|cptservice.exe.
| 검사 정의 이름 | 검사 정의 매개변수 | 설명 |
|---|---|---|
| os.win.check-app-cpu-usage |
|
애플리케이션의 기본 프로세스와 보조 프로세스에서 사용하는 CPU 자원의 양을 확인합니다. |
| os.win.check-app-memory-usage |
|
애플리케이션의 기본 프로세스와 보조 프로세스에서 사용하는 메모리 양을 확인합니다. |
| os.win.check-app-last-access-time |
|
애플리케이션이 실행된 가장 최근 시간을 확인합니다. 주:
|
| os.win.check-app-last-updated |
|
최신 애플리케이션 업데이트 설치의 시간과 날짜를 확인합니다. |
| os.win.check-app-crashes |
|
애플리케이션의 충돌률을 조회합니다. 이 검사 정의는 충돌 시 WER(창 오류 보고) 이벤트(이벤트 ID = 1000)를 내보내는 애플리케이션을 지원합니다.
주: 이 검사 정의는 애플리케이션이 실행 중이지 않아도 사용할 수 있습니다. |
| os.win.check.app.동결 |
|
최근 5분 동안 애플리케이션의 동결률을 조회합니다. 이 검사 정의는 동결 시 WER(Window Error Reporting) 이벤트(이벤트 ID = 1001 또는 1002)를 내보내는 애플리케이션을 지원합니다.
주: 이 검사 정의는 애플리케이션이 실행 중이지 않아도 사용할 수 있습니다. |
| os.win.check-app-uptime |
|
지정된 애플리케이션의 가동 시간을 확인합니다. |
| os.win.check-app-incoming-network-bytes |
|
IPv4 및 IPv6 네트워크에 대한 애플리케이션의 수신 네트워크 바이트를 검색합니다. |
| os.win.check-app-outgoing-network-bytes |
|
IPv4 및 IPv6 네트워크에 대한 애플리케이션의 발신 네트워크 바이트를 조회합니다. |
| os.win.check-app-domain-network-details |
|
설치된 애플리케이션 도메인의 네트워크 대기 시간, 패킷 손실 및 지터를 검색합니다. 주: 시스템은 ICMP(Internet Control Message Protocol)를 사용하여 대기 시간, 지터 및 패킷 손실과 같은 네트워크 성능 메트릭을 수집합니다. |
| os.win.check-app-domain-network-route-details |
|
애플리케이션 도메인에 대한 전체 네트워크 경로 상세 정보를 조회합니다. |
| os.win.check-app-sccm | 없음 | 앱 - Microsoft System Center Configuration Manager에 대한 애플리케이션별 메트릭을 가져옵니다. |
| os.win.check-app-zscaler-service-status |
|
Zscaler 서비스 상태 정보를 검색합니다. |
검사 정의 — 장치(메트릭)
DEX 에서는 장치에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
| 검사 정의 이름 | 설명 |
|---|---|
| os.win.check-system-cpu-usage | 현재 CPU 사용률을 확인합니다. |
| os.win.check-system-cpu-details | CPU ID, CPU 이름, 물리적 및 논리적 코어 수, 아키텍처 정보를 검색합니다. |
| os.win.check-system-memory-usage | 현재 시스템 메모리 사용률을 확인합니다. |
| os.win.check-system-last-access-time | 현재 장치에 마지막으로 액세스한 시간을 확인합니다. 주: 이 검사 정의는 잠겨 있거나 잠금 해제된 장치에서 작동합니다. 이 검사 정의가 처음 실행되면 이벤트가 캡처되고 사용 가능한 이전 데이터가 없기 때문에 오류 메시지가 나타납니다. |
| os.win.check-system-uptime | 시스템을 마지막으로 부팅한 이후 경과한 시간을 확인합니다. |
| os.win.check-system-disk-io-usage-read | 초당 읽기 디스크 바이트를 조회합니다. |
| os.win.check-system-disk-io-usage-write | 초당 기록된 디스크 바이트를 조회합니다. |
| os.win.check-system-energy-consumption | Windows 장치의 CPU, SoC, 디스플레이, 디스크, 네트워크, MBB, EMI, 기타, 총, 손실에 대한 에너지 소비 값(밀리와트시 단위)을 조회합니다. 주: 이 검사 정의는 에너지 센서가 없는 가상 머신과 호환되지 않습니다. 최신 데이터를 조회하는 다른 검사 정의와 달리, 이 검사 정의는 마지막 5분의 데이터 합계를 조회합니다. |
| os.win.check-system-time | UNIX 타임스탬프를 사용하여 UTC(조정된 범용 시간)의 현재 시간을 확인합니다. |
| os.win.check-system-power-plan | 활성 전원 계획의 이름을 조회합니다. |
| os.win.check-system-os-details | 운영 체제의 이름, 버전, 플랫폼, 아키텍처 및 설치 날짜를 조회합니다. |
| os.win.check-system-device-crashes | 장치에서 발생한 여러 충돌의 상세 정보를 조회합니다. 주: 이 검사 정의는 이벤트 ID = 41,1001인 시스템 이벤트를 내보내는 BSOD를 지원합니다. |
| os.win.check-system-device-events | 지정된 시간 간격 동안 장치에서 발생한 이벤트의 상세 정보를 조회합니다. Windows에 대한 이벤트에는 마지막 부팅 및 로그인한 사용자가 포함됩니다. |
| os.win.check-system-disk-usage | 전체 공간의 백분율인 디스크 사용 공간을 검색합니다. |
| os.win.check-system-battery-details | 배터리 잔량 백분율, 설계된 전압, 예상 실행 시간 및 배터리의 최대 용량을 포함한 배터리 관련 데이터를 검색합니다. 주:
|
| os.win.check-system-network-details | 이더넷, Wi-Fi 및 기타 관련 정보 등 네트워크 상세 정보를 조회합니다. |
| os.win.check-system-logged-in-users | 현재 장치에 로그인한 사용자의 로그인 사용자 ID를 확인합니다. |
| os.win.check-system-power-consumption | 장치의 전력 소비량(밀리와트)을 조회합니다. 주: 이 검사 정의는 물리적 머신과만 호환되며 VM(가상 머신)을 지원하지 않습니다. |
| os.win.check-system-admin-users | 로컬 관리 권한이 있는 모든 사용자 계정을 조회합니다. |
| os.win.check-system-bsod | BSOD(블루스크린)의 발생 횟수, 메시지, ID, 수준 및 시간을 조회합니다. 주: 이 검사 정의는 이벤트 ID = 1001인 시스템 이벤트를 내보내는 BSOD를 지원합니다. |
| os.win.check-system-firewall-enabled | 운영 체제 방화벽이 활성 상태이고 사용되고 있는지 확인합니다. |
| os.win.check-system-antimalware-details | 장치에서 맬웨어 방지 소프트웨어의 상세 정보를 조회합니다. |
| os.win.check-system-reboot-details | 재부팅 기간(초)과 마지막 재부팅 타임스탬프(UNIX Epoch 시간)를 조회합니다. 주: 표시된 값은 시스템 업데이트, 정전 또는 수동 개입과 같이 시스템 재부팅이 중단된 케이스를 정확하게 반영하지 않을 수 있습니다. |
| os.win.check-system-os-setup-details | 장치의 대략적인 OS 사용 기간을 조회합니다. |
| os.win.check-system-network-adapter-details | 장치에 대한 네트워크 어댑터 상세 정보를 조회합니다. |
| os.win.check-system-network-connection-profiles | 장치의 네트워크 연결 프로파일 상세 정보를 조회합니다. 주: 이 검사 정의는 VPN 상태를 확인하는 데 사용할 수 있는 네트워크 유형을 검색합니다. |
| os.win.check-system-compliance-details | 시스템의 준수 상세 정보를 조회합니다. 여기에는 미준수인 구성된 모든 앱과 메트릭 값의 목록이 포함되며 이를 기반으로 규정 준수 등급을 계산합니다. 주:
|
| os.win.check-system-battery-charge-percentage | 장치 내 배터리의 배터리 충전 백분율을 조회합니다. 주: 현재 용량이 설계 용량보다 크면 배터리가 100%로 반올림됩니다. |
| os.win.check-system-windows-registry | W인스턴스 레지스트리 데이터를 검색합니다. |
| os.win.check-system-memory-details | 가상 메모리 상세 정보와 같은 시스템 메모리 상세 정보를 조회합니다. |
| os.win.check-system-bios-details | 시스템 BIOS 상세 정보를 조회합니다. |
| os.win.check-system-executables | Windows컴퓨터에 있는 모든 실행 파일(*.exe)을 가져옵니다. |
| os.win.check-system-custom-query-on-change | 매개변수에 제공된 사용자 지정 쿼리를 실행합니다. 값이 변경되는 경우에만 실행됩니다. |
| os.all.check.internal.get-device-configuration-on-change | 장치의 구성을 가져옵니다. 예: sudo 구성됨, debug on, agent user 등. 값이 변경되는 경우에만 실행됩니다. |
| os.win.check-system-boot-details | 이벤트 로그에서 Windows 장치의 최신 부팅 상세 정보를 가져옵니다. 주: 부팅 시간은 전체 장치 부팅 중에만 캡처됩니다. Windows는 성능을 측정하기 위해 전체 부팅 중에 이벤트 ID 100을 생성합니다. 이벤트 ID 100이 생성되지 않으므로 원격 또는 가상 머신 작업을 통해 디바이스를 다시 시작, 복원 또는 시작할 때 부팅 시간이 기록되지 않습니다 |
| os.win.check-system-gpu-usage-details | 장치 페이지에서 GPU(그래픽 처리 장치) 및 VRAM(Video Random Access Memory) 사용량을 모니터링하여 그래픽 성능을 평가하고 병목 현상을 식별합니다. |
검사 정의 — 진단 작업
DEX 에서는 진단 작업에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
| 검사 정의 이름 | 검사 정의 매개변수 | 설명 |
|---|---|---|
| 진단 작업 | ||
| os.win.check-app-process-ids | --process_name=<프로세스 이름> | 애플리케이션과 연결된 상위 프로세스와 모든 하위 프로세스의 프로세스 ID(PID)를 조회합니다. |
| os.win.check-process-cpu | 없음 | 실행 중인 모든 프로세스의 목록과 CPU 사용률, CPU 시간, PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다. |
| os.win.check-process-memory | 없음 | 실행 중인 모든 프로세스의 목록과 메모리 사용량(KB), PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다. |
| os.win.check-process-disk | 없음 | 실행 중인 모든 프로세스의 목록과 디스크 사용량(바이트), PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다. |
| os.win.check-rssi-value | 없음 | 현재 연결된 WiFi 인터페이스에 대한 수신 신호 강도 표시기(RSSI) 값을 조회합니다. RSSI는 무선 접근 포인트(AP)와 장치 간의 신호 강도를 나타내며, RSSI 값이 높을수록 신호 강도가 더 강함을 나타냅니다. 주: 이 검사 정의는 가상 머신에 적용할 수 없습니다. |
| os.win.check-services-data | service_type =<서비스 유형(사용자, 시스템 또는 모두) | PID, 서비스 이름, 서비스 표시 이름, 상태, 서비스 유형이 포함된 모든 서비스의 목록을 조회합니다. |
검사 정의 — 정정 작업
DEX 은 정정 작업에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
| 검사 정의 이름 | 검사 정의 매개변수 | 설명 |
|---|---|---|
| os.win.action-kill-process | --pid=<프로세스 ID> 또는 --process_name=<실행 파일 이름의 쉼표로 구분된 목록입니다> 주: 프로세스 ID는 애플리케이션 이름보다 우선합니다. |
실행 중인 프로세스나 PID(프로세스 ID) 또는 실행 파일(.exe) 이름에 지정된 여러 프로세스를 종료합니다. |
| os.win.action-restart-service | --service_name=<서비스 이름> | 시스템에 대한 입력으로 서비스 이름을 사용하는 로깅된 사용자 서비스를 다시 시작합니다. |
| os.win.action-flush-dns-cache | 없음 | Windows 장치에서 DNS 캐시를 플러시합니다. |
| os.win.action-clear-browser-cache | --auto_close = <true/false> 주: 자동 닫기가 활성화된 경우 브라우저 캐시를 지우는 동안 브라우저가 닫히며 그 반대의 경우도 마찬가지입니다. --browsers = <쉼표로 구분된 브라우저 목록> |
Google Chrome, Mozilla Firefox 및 Microsoft Edge와 같은 지원되는 브라우저의 캐시를 지웁니다. 주: 이 검사 정의를 실행하기 전에 브라우저 작업을 저장합니다. |
| os.win.action-clear-app-cache | auto_close = <캐시를 지우기 전에 프로세스를 닫을지 여부에 대한 예/아니오입니다> process_name = <프로세스 이름> app_name = <애플리케이션 이름> cache_path = <캐시 폴더의 경로> 주: 캐시 경로는 , Microsoft Outlook, 및 Microsoft Teams에 대해 Zoom지원됩니다. 사용자에 대한 경로 없이 캐시 경로를 입력해야 합니다. 예를 들어 캐시가 경로 C:\User\<UserName>\AppData\Roaming\Zoom\data에 있는 경우 AppData\Roaming\Zoom\data를 입력합니다. |
애플리케이션 캐시를 지웁니다. |
| os.win.action-network-drive | 작업: <맵/삭제> drive_letter network_path |
다음 값을 지원하는 작업 입력 매개변수에 따라 네트워크 드라이브를 매핑하거나 삭제합니다.
|
|
os.win.action-restart-application |
process_name = <프로세스 이름> app_name = <애플리케이션 이름> |
애플리케이션이 실행 중인 경우 다시 시작합니다. |
| os.win.action-removable-usb-storage-access | 액세스 - <deny_read/deny_write/deny_execute> 값 - <예/아니오> |
읽기, 쓰기 및 실행 액세스를 위해 이동식 USB 저장소 디스크에 대한 액세스를 제어합니다. 주:
|
| os.win.action-uninstall-application | app_name = <애플리케이션 이름> | 애플리케이션을 제거합니다. |
| os.win.action-zscaler-zpa-reconnect | 없음 | Zscaler 연결 문제를 해결합니다. |
| os.win.action-restart-one-drive | 없음 | 최종 사용자의 컴퓨터에서 OneDrive를 다시 시작합니다. |
| os.win.action-disk-cleanup | 없음 | 디스크 정리를 사용하여 Windows 원치 않는 파일 또는 캐시 지우기:
|
| os.win.action-windows-registry-action | registry_path = <절대 Windows 레지스트리 키 경로>(추가할 레지스트리 키의 전체 경로) registry_data = <지정된 레지스트리 키에서 추가하거나 수정할 데이터> Registry_type = <레지스트리 키 데이터의 유형>(기본 제공 옵션 중 하나) |
사용자가새 Windows 레지스트리 키를 만들거나 기존 레지스트리 키를 수정하도록 허용합니다. 사용자는 필요에 따라 새 키를 추가하거나 기존 레지스트리 항목의 데이터 및 값 유형을 업데이트할 수 있습니다. |
| os.win.action-delete-file | file_name_or_path = <파일 이름 또는 경로> | 입력한 파일을 삭제합니다. 입력한 파일에 유효한 유형 확장명이 있어야 합니다. |
| os.win.action-clear-google-chrome-browsing-data | remove_web_data = <웹 데이터를 제거할지 여부는 예/아니오입니다> | 모든 Chrome프로필에서 Chrome의 모든 인터넷 사용 기록 데이터를 제거합니다. |
| os.win.action-purge-recycle-bin | 없음 | 휴지통을 제거하면 휴지통에 있는 모든 파일이 지워집니다. |
| os.win.action-reset-google-chrome-settings | 없음 | C는 설정을 선택하고 모든 Google 크롬 프로필에 설치된 모든 Google 크롬 확장 프로그램을 제거합니다. |
| os.win.action-toggle-power-plan | power_mode - 균형, 고성능, 절전 | 다른 전원 계획 간에 전환합니다. |
| os.win.action-elevate-temporary-admin |
기간 user_id = 사용자의 ID |
일정 기간 동안 사용자에 대한 임시 관리자 액세스 권한을 상승시켜 보안을 손상시키지 않으면서 특정 작업을 수행합니다. |
| os.win.action-fix-classic-outlook-data-files | 없음 | Classic Outlook에서 SCANPST.EXE 사용하여 OST/PST 데이터 파일 수정 |