GRR은 ( Google Rapid Response ) 원격 포렌식에 중점을 둔 침해 사고 대응 도구 입니다.
구글에서 오픈소스로 전체를 공개 했고, KISA등 세미나에서 소개되어 알려드리고자 글을 작성합니다.
GRR은 리눅스, MAC, Windows 클라이언트를 지원하며, 클라이언트의 하드웨어 모니터링 및 메모리 분석이 가능하다고 합니다.
거의 모든 포렌식이 가능하다고 소개되어 있습니다.
GRR은 도커 이미지를 제공하고있습니다. 이미지를 올리면 바로 사용 가능합니다.
도커 이미지 URL : https://github.com/google/grr-doc/blob/master/docker.adoc
도커 이미뿐 아니라 자동 인스톨도 지원합니다. 지원 OS는 Ubuntu 16.04에서만 가능합니다.
해당 방법은 아래와 같습니다.
wget https://raw.githubusercontent.com/google/grr/master/scripts/install_script_ubuntu.sh sudo bash install_script_ubuntu.sh |
스크립트는 bash로 실행해야 정상적으로 실행 될수 있으며, 설치 중간에 도메인과 admin 패스워드만 기입해 주면 됩니다.
설치가 완료 된 상태에서 8000번 포트로 웹에서 접근하면 관리 페이지를 확인 할 수 있습니다.
서버 설치가 완료되면 클라이언트 Agent를 서버에서 받아서 점검 할 대상에 설치를 합니다.
점검 방법은 테스트 이후 포스팅하도록 하겠습니다.