AppLocker로 앱 사용 모니터링
IT 전문가를 위한 이 문서에서는 AppLocker 정책이 적용될 때 앱 사용량을 모니터링하는 방법을 설명합니다.
AppLocker 정책을 배포한 후 디바이스에 미치는 영향을 모니터링하여 결과가 예상과 같은지 확인합니다.
AppLocker 정책의 효과 검색
설명서 또는 감사 목적으로 또는 정책을 수정하기 전에 AppLocker 정책이 현재 구현되는 방법을 평가할 수 있습니다. AppLocker 정책 배포 계획 문서를 업데이트하면 결과를 추적하는 데 도움이 됩니다. 다음 단계 중 하나 이상을 수행하여 AppLocker 규칙을 통해 현재 적용되는 애플리케이션 컨트롤을 이해할 수 있습니다.
이벤트 뷰어 AppLocker 로그 분석
AppLocker 정책 적용이 규칙 적용으로 설정되면 정책에서 허용되지 않는 모든 파일이 차단됩니다. 이 경우 규칙 컬렉션에 대한 AppLocker 이벤트 로그에서 이벤트가 발생합니다. AppLocker 정책 적용이 감사 전용으로 설정된 경우 규칙은 적용되지 않지만 AppLocker 로그에 기록된 감사 이벤트 데이터를 생성하도록 평가됩니다.
로그에 액세스하는 절차에 대한 자세한 내용은 이벤트 뷰어 AppLocker 로그 보기를 참조하세요.
감사 전용 AppLocker 적용 설정 사용
감사 전용 적용 설정을 사용하여 AppLocker 규칙이 organization 대해 올바르게 구성되었는지 확인할 수 있습니다. AppLocker 정책 적용이 감사 전용으로 설정된 경우 규칙은 평가만 되지만 해당 평가에서 생성된 모든 이벤트는 AppLocker 로그에 기록됩니다.
이 구성을 수행하는 절차에 대한 자세한 내용은 감사 전용 AppLocker 정책 구성을 참조하세요.
Get-AppLockerFileInformation을 사용하여 AppLocker 이벤트 검토
이벤트 구독과 로컬 이벤트 모두에 대해 Get-AppLockerFileInformation Windows PowerShell cmdlet을 사용하여 차단되었거나 차단될 파일(감사 전용 적용 모드를 사용하는 경우)과 각 파일에 대해 블록 이벤트가 발생한 횟수를 확인할 수 있습니다.
이 확인을 수행하는 절차에 대한 자세한 내용은 Get-AppLockerFileInformation을 사용하여 AppLocker 이벤트 검토를 참조하세요.
Test-AppLockerPolicy를 사용하여 AppLocker 이벤트 검토
Test-AppLockerPolicy Windows PowerShell cmdlet을 사용하여 규칙 컬렉션의 규칙이 참조 디바이스 또는 정책을 유지 관리하는 디바이스에서 실행되는 파일에 영향을 미치는지 여부를 확인할 수 있습니다.
이 테스트를 수행하는 절차에 대한 자세한 내용은 Test-AppLockerPolicy를 사용하여 AppLocker 정책 테스트를 참조하세요.
Get-AppLockerFileInformation AppLocker 이벤트 검토
이벤트 구독과 로컬 이벤트 모두에 대해 Get-AppLockerFileInformation Windows PowerShell cmdlet을 사용하여 차단되었거나 차단될 파일(감사 전용 적용 설정이 적용된 경우)과 각 파일에 대해 블록 이벤트가 발생한 횟수를 확인할 수 있습니다.
로컬 관리자 그룹의 멤버 자격 또는 이와 동등한 멤버 자격은 이 절차를 완료하는 데 필요한 최소값입니다.
참고
AppLocker 로그가 로컬 디바이스에 없는 경우 로그를 볼 수 있는 권한이 필요합니다. 출력이 파일에 저장된 경우 해당 파일을 읽을 수 있는 권한이 필요합니다.
Get-AppLockerFileInformation AppLocker 이벤트를 검토하려면
명령 프롬프트에서 PowerShell을 입력한 다음 Enter 키를 선택합니다.
다음 명령을 실행하여 AppLocker 정책에서 파일을 허용하지 않은 횟수를 검토합니다.
Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics
다음 명령을 실행하여 파일이 실행되도록 허용되었거나 실행이 금지된 횟수를 검토합니다.
Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
AppLocker 로그인 이벤트 뷰어 보기
AppLocker 정책 적용이 규칙 적용으로 설정되면 정책에서 허용되지 않는 모든 파일이 차단됩니다. 이 경우 규칙 컬렉션에 대한 AppLocker 이벤트 로그에서 이벤트가 발생합니다. AppLocker 정책 적용이 감사 전용으로 설정된 경우 규칙은 적용되지 않지만 AppLocker 로그에 기록된 감사 이벤트 데이터를 생성하도록 평가됩니다.
로컬 관리자 그룹의 멤버 자격 또는 이와 동등한 멤버 자격은 이 절차를 완료하는 데 필요한 최소값입니다.
이벤트 뷰어 사용하여 AppLocker 로그에서 이벤트를 보려면
- 이벤트 뷰어 열려면 시작 메뉴로 이동하여 eventvwr.msc를 입력한 다음 Enter 키를 선택합니다.
- 애플리케이션 및 서비스 로그\Microsoft\Windows 아래의 콘솔 트리에서 AppLocker를 두 번 클릭합니다.
AppLocker 이벤트는 EXE 및 DLL 로그, MSI 및 스크립트 로그 또는 패키지된 앱 배포 또는 패키지된 앱 실행 로그에 나열됩니다. 이벤트 정보에는 적용 설정, 파일 이름, 날짜 및 시간 및 사용자 이름이 포함됩니다. 추가 분석을 위해 로그를 다른 파일 형식으로 내보낼 수 있습니다.