BeyondTrust EPM

다운로드 0
업데이트 2026. 7. 10.

사용 매뉴얼

개요

대상 사용자: BeyondTrust BeyondInsight을 운영하며 EPM(엔드포인트 권한 관리)·애플리케이션 감사 로그를 로그프레소 소나에서 조회·분석하려는 보안 담당자.

이 앱은 BeyondInsight Event Forwarder가 전송한 이벤트를 수집해, 아래 업무를 지원합니다.

  • EPM 권한 상승·룰 적용 이벤트 조회
  • BeyondInsight 웹 콘솔의 애플리케이션 감사(로그인·객체 작업) 추적
  • 로그 유형별 위험도(risk) 기준 이벤트 선별

기본 개념·용어

용어의미관련 리소스
로그유형로그를 분류하는 값. EPM, APPAUDIT, TEST, UNKNOWN 중 하나로그 스키마
위험도이벤트 심각도를 LOW, MEDIUM, HIGH로 정규화한 값로그 스키마
가변필드(msg)고정 필드 외 항목이 저장됨. 로그 유형별 가변 필드를 담는 맵(Key-Value) 타입 필드.로그 스키마

주요 화면·메뉴 경로

기능경로
앱 관리
쿼리 실행분석 > 쿼리
로그 스키마수집 > 로그 스키마
수집기수집 > 수집기

작업 시나리오

시나리오 1: EPM 권한 관리 이벤트 조회

목적: BeyondTrust EPM이 적용한 권한 상승·룰 적용 이벤트를 확인해, 엔드포인트에서 어떤 권한 정책이 동작했는지 파악합니다.

사전 조건:

  • BeyondTrust EPM 수집기가 동작 중이며 EPM_BEYONDTRUST 테이블에 로그가 적재되어 있어야 합니다. (설치 매뉴얼 참고)

수행 절차:

  1. 분석 > 쿼리로 이동합니다.
  2. 아래 쿼리를 실행합니다.
table EPM_BEYONDTRUST
| search log_type == "EPM"
| fields _time, user, category, event_description, risk

결과 확인:

아래와 같이 EPM 이벤트가 조회됩니다.

_timeusercategoryevent_descriptionrisk
2026-06-29 16:07:47test_userEPM for WindowsCustom Rule AppliedLOW
  • event_description으로 적용된 룰·동작을, risk로 심각도를 확인합니다.

실패 대응:

증상원인해결
결과 0건수집 미동작 또는 테이블명 오류설치 매뉴얼의 수집 설정·테이블명 재확인

시나리오 2: 애플리케이션 감사(관리자 활동) 추적

목적: BeyondInsight 웹 콘솔에서 발생한 로그인·객체 작업 등 관리자 활동을 추적해, 누가 언제 어떤 작업을 했는지 확인합니다.

사전 조건:

  • EPM_BEYONDTRUST 테이블에 APPAUDIT 유형 로그가 적재되어 있어야 합니다.

수행 절차:

  1. 분석 > 쿼리로 이동합니다.
  2. 아래 쿼리를 실행합니다.
table EPM_BEYONDTRUST
| search log_type == "APPAUDIT"
| fields _time, user, event_name, src_ip

결과 확인:

아래와 같이 감사 이벤트가 조회됩니다.

_timeuserevent_namesrc_ip
2026-06-29 10:29:00test_userLogin192.0.2.1
  • event_name으로 수행된 작업(Login 등)을, src_ip로 접속 출발지를 확인합니다.

실패 대응:

증상원인해결
결과 0건감사 로그 미전송BeyondInsight Event Forwarder 전송 설정 확인

주의사항

  • UNKNOWN 로그: 알려진 유형(EPM·APPAUDIT·TEST)으로 분류되지 않은 로그입니다. 신규 에이전트 유형이 유입되면 여기에 적재되므로 주기적으로 확인합니다.
  • 가변 필드: 고정 필드 외 항목은 msg(맵)에 저장됩니다. 특정 가변 필드로 조회하려면 msg.{필드명} 형태로 참조합니다.

관련 문서