Office Security Letter - 1호
AhnLab
Office Security Letter
로그 활용 및 악성코드 감염 알림 메일 수신 후 대처 방법
정보 보안에 있어서 통합 로그 관리는 핵심적인 역할을 수행합니다.
로그 분석은 보안 위협 탐지 뿐만 아니라 사건 조사와 대응, 규정 준수 등 다양한 측면에서 중요한 도구로 활용됩니다. Office Security Center(이하 OSC)에서 제공되는 로그를 충분히 활용해 보시기 바랍니다.
1. OSC 기본 로그
관리자가 OSC에서 수행한 작업 내용과 에이전트 상태에 대한 이력을 최근 1년까지 확인하실 수 있습니다.
OSC 관리자 페이지(osc.ahnlab.com)에서 우측 상단의 노트 아이콘을 클릭하면 로그 확인이 가능합니다.
다음은 각각의 로그 항목에 대해서 알아봅니다.
1) 메일 대응 로그: 관리자가 사용자에게 발송한 이메일에 대한 이력입니다.
설치 파일 배포 이메일, OSC를 통한 이메일 발송 이력을 날짜 별로 확인할 수 있습니다.
2) 기기 등록 로그: V3 Office Security를 설치한 기기의 등록 이력을 확인할 수 있고 사용자를 구분하여 등록 날짜 확인이 가능합니다.
3) 기기 등록 해제 로그: 등록된 기기를 해제한 이력을 확인할 수 있고 관리자가 해제한 내역 외에 사용자가 직접 삭제한 내역도 확인이 가능합니다.
4) 에이전트 로그: 관리자가 사용자 에이전트에 전달한 원격 명령 관련 로그를 기록합니다. V3 설치 명령, 명령, V3 검사 명령 등을 확인할 수 있습니다.
5) 관리자 로그: OSC 관리자가 사용한 기능 이력을 제공합니다. 사용자 변경, 정책 변경, 관리자 로그인 등의 이력 확인이 가능합니다.
2. 악성코드 감염 로그
에이전트에서 악성코드가 진단된 경우 본 로그를 통해 관리자가 어떠한 사용자에게 어떠한 종류의 악성코드가 감염되었는지 확인이 가능합니다. 악성코드 감염 알림 메일을 수신한 경우 아래 경로에서 확인을 해주시기 바랍니다.
1) 감염 기기: [기기] > [악성코드 감염 이력] > [감염 기기]에서 대상 에이전트의 악성코드 탐지 날짜, 탐지된 검사 방법 등을 확인하실 수 있습니다.
2) 탐지 악성 코드: [기기] > [악성코드 감염 이력] > [탐지 악성코드]에서 악성코드의 종류 및 대상 경로 등을 확인하실 수 있습니다. V3에서는 탐지 시 자동으로 치료,삭제가 원칙이므로 해당 탐지 기록은 치료, 삭제가 되었다고 보아도 좋습니다.
만약 같은 에이전트에서 같은 종류의 악성 코드 탐지 이메일을 지속해서 받았다면 악성코드가 치료되지 않거나 반복 감염되는 것으로 에이전트에서 확인이 필요합니다.
3) 치료 여부 확인: 대상 사용자 PC의 V3 Office Security 실행 후 상단의 [도구] > [로그] > [진단 로그]에서 OSC에서는 확인되지 않는 치료 상태까지 확인해볼 수 있습니다.
만약 치료 실패 또는 반복 재감염이 발생한다면 안랩 기술지원으로 지원을 요청해주세요.
위와 같이 OSC와 V3 Office Security에서 제공하는 기본 로그 확인 방법을 알아보았습니다.
기본 로그 활용으로 기업의 정보 보안 흐름을 확인해 보시기를 바랍니다.
Office Security Letter의 지난 컨텐츠가 필요하다면 아래의 링크를 이용해주세요.
Office Security Letter 바로가기
V3 Office Security 제품에 대한 문의 및 기술 지원은 안랩 기술지원 ASK로 문의주십시오.
감사합니다.