Windows에 대한 DEX 검사 정의

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기14분

    • Windows에 대한 검사 정의는 Windows 장치의 성능, 보안 및 규정 준수를 평가하는 미리 결정된 규칙 및 기준 세트입니다. 이러한 검사는 CPU 사용량, 메모리 사용량, IO 사용량, 방화벽 상태, 네트워크 테스트, 네트워크 바이트, 로그인한 사용자 등 다양한 측면을 다룰 수 있습니다.

    Windows 장치에 대한 전체 Playbook 데이터를 가져오려면 (ACC)가 Agent Client Collector 로컬 시스템 계정으로 실행되어야 합니다. ACC 서비스를 로컬 시스템 계정으로 설정하는 방법에 대한 자세한 내용은 을 참조하십시오 로컬 시스템 계정으로 실행 Agent Client Collector.

    검사 정의 - 애플리케이션(메트릭)

    DEX은 애플리케이션이 실행되고 있지 않아도 액세스할 수 있는 os.win.check-app-crash-rate 및 os.win.check-app-last-access-time 검사 정의를 제외하고 애플리케이션이 실행될 때만 액세스 가능한 다음 검사 정의를 제공합니다. 검사 정의 매개변수에는 다음 항목이 있습니다.
    • appName = 애플리케이션 이름. 예: Zoom
    • appSysId= 애플리케이션의 시스템 ID입니다.
    • primaryProcess = 파이프 기호(|)로 구분된 애플리케이션의 기본 프로세스 목록입니다. 엔드포인트 장치에 존재하는 첫 번째 프로세스에 우선 순위가 부여됩니다. 예 1: chrome.exe. 예 2: teams.exe|msteams.exe.
      주:
      Windows 10 Teams 애플리케이션의 기본 프로세스가 teams.exe이고 Windows 11 msteams.exe 경우 엔드포인트 디바이스의 프로세스 가용성에 따라 우선 순위를 결정할 때 엔드포인트 디바이스에 먼저 있는 프로세스가 우선적으로 적용됩니다.
    • secondaryProcesses = 파이프 기호(|)로 구분된 애플리케이션의 보조 프로세스 목록입니다. 예: cpthost.exe|cptservice.exe.
    검사 정의 이름 검사 정의 매개변수 설명
    os.win.check-app-cpu-usage
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션에서 사용하는 CPU 자원의 양을 확인합니다.
    os.win.check-app-memory-usage
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션에서 사용하는 메모리 양을 확인합니다.
    os.win.check-app-io-usage-read
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션의 읽기 I/O(입력/출력) 작업 사용량을 확인합니다.
    os.win.check-app-io-usage-write
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션의 쓰기 I/O(입력/출력) 작업 사용량을 확인합니다.
    os.win.check-app-last-access-time
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션이 실행된 가장 최근 시간을 확인합니다.
    주:
    • 이 검사 정의는 애플리케이션이 실행 중이지 않아도 사용할 수 있습니다.
    • 사용자가 지난 7일 이내에 애플리케이션을 실행하지 않은 경우 마지막 액세스 시간은 비어 있습니다.
    • 애플리케이션의 프로세스 경로가 7일 이내에 변경되면(앱 업데이트 중에 발생할 수 있음) 사용자가 앱을 다시 실행할 때까지 마지막 액세스 시간은 비어 있습니다.
    • 사용자는 7일 보존 정책을 수정하기 위해 아래 설명된 레지스트리 경로를 변경할 수 있습니다.
      • 레지스트리 키: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BAM"
      • 레지스트리 이름: "UserSettingsLifetimeMs"
      • 레지스트리 유형: REG_DWORD(32비트 값)
      • 레지스트리 값: 기간(밀리초)
    os.win.check-app-listening-ports
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 열려 있고 들어오는 네트워크 트래픽이 애플리케이션에 도달할 수 있는 포트 번호를 검색합니다.
    os.win.check-app-last-updated
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 최신 애플리케이션 업데이트 설치의 시간과 날짜를 확인합니다.
    os.win.check-app-version
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>

    애플리케이션의 버전 번호를 조회합니다.

    주:
    애플리케이션에 버전이 없는 경우 검사 정의는 해당 애플리케이션에 대해 문자열 &quot;unversioned&quot;를 반환합니다.
    os.win.check-app-is-installed
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션이 장치에 설치되어 있는지 여부를 확인합니다.
    os.win.check-app-is-running
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 애플리케이션이 현재 실행 중인지 여부를 확인합니다.
    os.win.check-app-crash-rate
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>

    애플리케이션의 충돌률을 조회합니다.

    이 검사 정의는 다음을 지원합니다.
    • 충돌 시 창 앱 충돌 이벤트(이벤트 ID = 1000)를 내보내는 응용 프로그램(예: Microsoft OneDrive, , Microsoft Excel, Microsoft OneNote, , Microsoft OutlookMicrosoft TeamsMicrosoft PowerPoint, Microsoft Word.
    • Zoom 애플리케이션
    주:
    이 검사 정의는 애플리케이션이 실행 중이지 않아도 사용할 수 있습니다.
    os.win.check-app-uptime
    • --appName=<애플리케이션 이름>
    • --primaryProcess=<기본 프로세스 이름>
    • --secondaryProcesses=&lt;파이프 기호로 구분된 보조 프로세스의 목록입니다>
    • --appSysId=&lt;애플리케이션의 sys ID입니다>
    		 지정된 애플리케이션의 가동 시간을 확인합니다.

    검사 정의 - 장치(메트릭)

    DEX은 장치에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
    검사 정의 이름 설명
    os.win.check-system-cpu-usage 현재 CPU 사용률을 확인합니다.
    os.win.check-system-cpu-details CPU ID, CPU 이름, 물리적 및 논리적 코어 수, 아키텍처 정보를 조회합니다.
    os.win.check-system-memory-usage 현재 시스템 메모리 사용률을 확인합니다.
    os.win.check-system-uptime 시스템을 마지막으로 부팅한 이후 경과한 시간을 확인합니다.
    os.win.check-system-disk-io-usage-read 초당 읽기 디스크 바이트를 조회합니다.
    os.win.check-system-disk-io-usage-write 초당 쓰기 디스크 바이트를 조회합니다.
    os.win.check-system-energy-consumption CPU, SoC, 디스플레이, 디스크, 네트워크, MBB, EMI, 기타, 총 및 Windows 장치의 손실에 대한 에너지 소비 값(밀리와트시 단위)을 검색합니다.
    주:
    이 검사 정의는 에너지 센서가 없는 가상 머신과 호환되지 않습니다.
    os.win.check-system-time Unix 타임스탬프를 사용하여 UTC(조정된 범용 시간)의 현재 시간을 확인합니다.
    os.win.check-system-power-plan 활성 전원 계획의 이름을 조회합니다.
    os.win.check-system-os-details 운영 체제의 이름, 버전, 플랫폼, 아키텍처 및 설치 날짜를 조회합니다.
    os.win.check-system-stability-index 0에서 10까지의 척도로 Windows 안정성 인덱스를 조회합니다.
    os.win.check-system-device-details 섀시의 유형, 모델 및 일련 번호를 조회합니다.
    os.win.check-system-disk-usage 전체 공간의 백분율로 디스크 사용 공간을 조회합니다.
    os.win.check-system-battery-details 배터리 잔량 백분율, 설계된 전압, 예상 실행 시간 및 배터리의 최대 용량을 포함한 배터리 관련 데이터를 검색합니다.
    주:
    이 검사 정의는 가상 머신에 적용할 수 없습니다.
    os.win.check-system-network-details 이더넷, Wi-Fi 및 기타 관련 정보 등 네트워크 상세 정보를 조회합니다.
    os.win.check-system-disk-details 디스크 정보를 검색합니다.
    os.win.check-system-net-bytes-incoming 모든 네트워크 장치에서 초당 수신 네트워크 바이트를 확인합니다.
    os.win.check-system-net-bytes-outgoing 모든 네트워크 장치에서 초당 발신 네트워크 바이트를 확인합니다.
    os.win.check-system-logged-in-users 현재 장치에 로그인한 사용자의 로그인 사용자 ID를 확인합니다.
    os.win.check-system-power-consumption 장치의 전력 소비량(밀리와트)을 조회합니다.
    주:
    이 검사 정의는 물리적 머신과 독점적으로 호환되며 가상 머신(VM)을 지원하지 않습니다.
    os.win.check-system-admin-users 로컬 관리 권한이 있는 모든 사용자 계정을 조회합니다.
    os.win.check-system-bsod BSOD(Blue Screen of Death) 발생 횟수, 메시지, ID, 수준 및 시간을 조회합니다.
    주:
    이 검사 정의는 이벤트 ID가 41,1001,6008인 시스템 이벤트를 내보내는 BSOD를 지원합니다.
    os.win.check-system-pending-updates 보류 중인 소프트웨어 업데이트의 상태를 확인합니다.
    os.win.check-system-antivirus-enabled 바이러스 백신이 활성 상태이고 사용되고 있는지 확인합니다.
    os.win.check-system-firewall-enabled 운영 체제 방화벽이 활성 상태이고 사용되고 있는지 확인합니다.
    os.win.check-system-antimalware-details 장치에서 맬웨어 방지 소프트웨어의 상세 정보를 검색합니다.
    os.win.check-system-bitlocker-details Bitlocker가 보호할 수 있는 볼륨에 대한 정보를 검색합니다.
    os.win.check-system-peripheral-devices-details 장치에서 주변 장치의 상세 정보를 검색합니다.
    os.win.check-system-hard-drive-status 하드 드라이브 상태 메트릭을 검색합니다.
    os.win.check-system-reboot-details 재부팅 기간(초)과 마지막 재부팅 타임스탬프(Unix Epoch 시간)를 조회합니다.
    주:
    표시된 값은 시스템 업데이트, 정전 또는 수동 개입과 같이 시스템 재부팅이 중단된 경우를 정확하게 반영하지 않을 수 있습니다.
    os.win.check-system-user-profiles 사용자 프로필의 상세 정보를 검색합니다.

    검사 정의 - 진단 작업

    DEX 은 진단 작업에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
    검사 정의 이름 검사 정의 매개변수 설명
    진단 작업
    os.win.check-app-process-ids --pid=<프로세스 이름> 애플리케이션과 연결된 상위 프로세스와 모든 하위 프로세스의 프로세스 ID(PID)를 조회합니다.
    os.win.check-dns-lookup-test --dns=&lt;URL> 제공된 URL에서 DNS 조회 테스트를 수행하고 IP 주소를 반환합니다.
    os.win.check-http-test --http_test=<http URL> 제공된 URL에서 HTTP 테스트를 수행하고 응답의 상태 코드를 반환합니다.
    os.win.check-ping-test --ping=&lt;URL> 제공된 URL에 ping 요청을 보내고 URL에 현재 연결할 수 있는지 여부를 나타내는 연결 상태를 반환합니다.
    os.win.check-process-cpu 해당 사항 없음 실행 중인 모든 프로세스의 목록과 CPU 사용률, CPU 시간, PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다.
    os.win.check-process-memory 해당 사항 없음 실행 중인 모든 프로세스의 목록과 메모리 사용량(KB), PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다.
    os.win.check-process-data 해당 사항 없음 현재 실행 중인 모든 프로세스의 CPU 사용량, 메모리 사용량 및 디스크 사용량을 조회합니다.
    os.win.check-process-disk 해당 사항 없음 실행 중인 모든 프로세스의 목록과 디스크 사용량(바이트), PID(프로세스 ID), 상위 프로세스 ID(PPID) 및 이름을 조회합니다.
    os.win.check-rssi-value 해당 사항 없음 현재 연결된 WiFi 인터페이스에 대한 수신 신호 강도 표시기(RSSI) 값을 조회합니다.

    RSSI는 무선 접근 포인트(AP)와 장치 간의 신호 강도를 나타내며, RSSI 값이 높을수록 신호 강도가 더 강함을 나타냅니다.

    주:
    이 검사 정의는 가상 머신에 적용할 수 없습니다.
    os.win.check-traceroute

    --traceroute=<url>

    --max_hops = &lt;기본값은 30>

    --timeout = &lt;기본값은 4>

    		 각 네트워크 홉에 대한 IP 주소, 도메인 이름 및 RTT(왕복 시간)를 조회합니다.

    검사 정의 - 정정 작업

    DEX 은 정정 작업에 대해 다음과 같은 유형의 검사 정의를 제공합니다.
    검사 정의 이름 검사 정의 매개변수 설명
    os.win.action-kill-process

    --pid=<프로세스 id>

    또는

    --app_name=<실행 파일 이름의 쉼표로 구분된 목록>

    주:
    프로세스 ID는 애플리케이션 이름보다 우선합니다.
    		 실행 중인 프로세스나 PID(프로세스 ID) 또는 실행 파일(.exe) 이름 목록에 지정된 여러 프로세스를 종료합니다.
    os.win.action-restart-service --service_name=<서비스 이름> 시스템에 대한 입력으로 서비스 이름을 사용하는 로깅된 사용자 서비스를 다시 시작합니다.
    os.win.action-flush-dns-cache 해당 사항 없음 Windows 장치에서 DNS 캐시를 플러시합니다.
    os.win.action-clear-browser-cache

    --auto_close = &lt;참/거짓>

    주:
    자동 닫기가 활성화되면 브라우저 캐시를 지우는 동안 브라우저가 닫히고 그 반대의 경우도 마찬가지입니다.

    --browsers = &lt;쉼표로 구분된 브라우저 목록>

    		 Google Chrome, Mozilla Firefox 및 Microsoft Edge와 같은 지원되는 브라우저의 캐시를 지웁니다.
    주:
    이 정의 검사를 실행하기 전에 브라우저 작업을 저장해야 합니다.