[Windows] PLURA 탐지 로그에 IP 주소가 남지 않는 경우, 로컬 보안 정책 설정 변경을 통해 PLURA 에서 IP 주소를 확인할 수 있습니다.

증상: 아래의 경우  IpAddress & IpPort 가 ‘-‘ 남아서 확인할 수 없음.

1) 로그온 성공 EventID 4624

2) 로그온 실패 EventID 4625

※ 아래와 같이 PLURA 탐지 로그에 IP주소와 Port 번호가 남지 않는 경우의 로그입니다.

다음은 로컬 보안 정책 설정 변경을 하여 PLURA 탐지 로그에서 IP 주소를 남기는 방법입니다.
(설정 예시는 Windows 2012 R2 기준으로 작성되었습니다.)

1) 실행창 실행

  – 바탕화면에서 “Window 키 + R” 또는 시작 메뉴에서 실행창을 실행합니다.

2) 로컬 보안 정책 실행

※ 로컬 보안 정책이란, 컴퓨터 보안에 영향을 주는 설정들을 모아놓고 설정하거나 관리하는 도구에 대한 정책입니다.

  – 실행창에서 secpol.msc 를 입력한 후, 확인 버튼을 클릭합니다.

3) 로컬 보안 정책 설정 변경

– 보안 설정 > 로컬 정책 > 보안 옵션 선택

 

  – 아래의 정책에 대한 보안 설정을 “모든계정거부/모두거부”로 변경합니다.
네트워크 보안 : NTLM 제한: 들어오는 NTLM 트래픽

네트워크 보안 : NTLM 제한: 이 도메인에서 NTLM 인증

 

– 아래와 같이 보안 설정이 변경되었습니다.

   

4) PLURA 로그 확인

  – 로컬 보안 정책 설정 변경을 통해 IP 주소를 확인할 수 있습니다.

  – IP 주소가 남지 않는 경우에도 해당 설정 변경을 통해 IP 주소를 확인할 수 있어 PLURA 방어 관리 기능을 활용할 수 있습니다.

 

▣ 매뉴얼