메뉴 닫기

GRR : Google Rapid Response 서버 설치

GRR은 ( Google Rapid Response ) 원격 포렌식에 중점을 둔 침해 사고 대응 도구 입니다.

구글에서 오픈소스로 전체를 공개 했고, KISA등 세미나에서 소개되어 알려드리고자 글을 작성합니다.

 

GRR은 리눅스,  MAC, Windows 클라이언트를 지원하며, 클라이언트의 하드웨어 모니터링 및 메모리 분석이 가능하다고 합니다.

거의 모든 포렌식이 가능하다고 소개되어 있습니다.

 

GRR은 도커 이미지를 제공하고있습니다. 이미지를 올리면 바로 사용 가능합니다.

도커 이미지 URL : https://github.com/google/grr-doc/blob/master/docker.adoc

 

도커 이미뿐 아니라 자동 인스톨도 지원합니다.  지원 OS는 Ubuntu 16.04에서만 가능합니다.

해당 방법은 아래와 같습니다.

wget https://raw.githubusercontent.com/google/grr/master/scripts/install_script_ubuntu.sh

sudo bash install_script_ubuntu.sh

스크립트는 bash로 실행해야 정상적으로 실행 될수 있으며, 설치 중간에 도메인과 admin 패스워드만 기입해 주면 됩니다.

 

설치가 완료 된 상태에서 8000번 포트로 웹에서 접근하면 관리 페이지를 확인 할 수 있습니다.

grr1

 

서버 설치가 완료되면 클라이언트 Agent를 서버에서 받아서 점검 할 대상에 설치를 합니다.

grr2

 

점검 방법은 테스트 이후 포스팅하도록 하겠습니다.

 

 

 

 

 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다