-
[Carbon Black] 최신 리눅스에 CBC Sensor 설치 시 미동작 (bypass) 현상
엔드포인트 보안을 위한 에이전트 동작 시에는 커널 단 혹은 사용자 단에서 시스템을 감시하게 된다. Carbon Black은 사용자 단 감시의 한계를 극복하기 위해 커널 단 감시 또한 지원한다. 최신 버전의 상용 리눅스도 슬슬 안전성이 입증 되면서 CB Sensor 설치가 늘어나고 있는데, 관련 문의도 늘었다. CB Sensor를 설치하였지만 통제가 안되며 Sensor Bypass (Admin Action)이라 표기 된다. 리눅스…
-
[vSphere] vCenter 잃고 vSAN 고치기
자금이 여유롭지 않거나 인프라 요구 수준이 통합되지 않았거나 홈 랩 구축의 경우, HCI는 보통 3대~5대의 호스트로 구축한다. 이 수량의 HCI를 추축했다면 전력이 안정되고 네트워크가 이중화되어 있지 않아 종종 불의의 사고로 인해 통제 권한을 잃는 때가 있다. 특히 VMware는 vCenter를 통해 vSAN을 관리하므로 당황하기 쉽다. 이 때문에 매뉴얼 숙독 없이 동호 수준으로 이용하는 아마츄어 관리자 중…
-
[vSphere] VM – vSAN 연동 reclamation
vSAN은 VM의 TRIM 요청에 따라 vmdk를 reclamation하는 TRIM/UNMAP 기능을 갖추고 있다. 늘어난 thin 디스크의 크기를 실제 크기만큼 다시 줄여준다. 이 기능은 6.7 에 공개 및 적용되었지만, 7.0에서도 기본 비활성화 되어 있으며, CLI를 통해서만 활성 가능하다. VMware Docs에는 vSphere 및 Horizon 문서 일부에만 언급되며, VMware 소속 블로거들의 설명이 보다 나은 편이다. 이 기술에 대해서는 VMware Tech…
-
[Carbon Black] MS Exchange 설치 시 alert 없이 프로세스 차단하는 문제
행위기반탐지 엔진이 애플리케이션을 차단했지만 차단을 인식 못하는 문제는 어느 벤더든 흔한 문제이기는 하다. 공격 또는 차단 행위로 인식하지 않았으나 엔진이 켜져있으면 소프트웨어 프로세스가 거절 되어 다음 단계로 나아가지 못하거나, 프로세스 완료가 되지 못할 정도로 느려지는 때도 있다. 이 경우 벤더에 리포트하여 보안운영자가 아닌 보안 제품 단에서 예외처리가 되어야 한다. Carbon Black 또한 마찬가지이며, 꽤나 빈번하게…