티스토리 뷰

Tools

Mandiant First Response

YOURIFE 2009. 5. 7. 10:08

MFR(Mandiant First Response)은 Incident Response Tool로써 콘솔(서버)과 에이전트 사이의 네트워크 통신을 통해 에이전트에서 실행되고 있는 프로세스정보,포트정보, 레지스트리정보, 이벤트로그, 서비스정보, 작업, 파일정보를 콘솔로 보내주는 역할을 한다. 

처음 콘솔을 설치하고 에이전트를 Deploy하게 되면 콘솔 설치시에 입력했던 패스워드를 기초로 Private Key가 에이전트에 복사되며 콘솔과 에이전트의 통신때 이를 이용하여 인증과정을 거치게 된다. Target system에서 에이전트는 데몬으로 실행되거나 서비스로 실행된다. 데몬일경우 서비스 인스톨 없이 가능하고 서비스는 -i -start 옵션으로 설치하고 실행하면 된다. 에이전트의 Audit 방법은 크게 3가지로, Quick, Common, General 이다. Depth 순이라 보면 된다.

윈도 비스타에서는 에이전트가 작동하지 않는다.

댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함