[보안] 시스템 로그 분석 1

 

 

 

시스템 로그 분석

 

 

감사로그분석

 

• 시스템 보안뿐만 아니라 프로세스 및 규정 준수를 위한 보안의 중요 부분
• 로그 검사는 시스템이나 응용 프로그램에서 발생하는 문제를 찾고 문제를 해결하기 위해 가장 효과적인 방법

 

 

윈도우에도 여러가지 로그가 있습니다.

이벤트 뷰어를 열어보면 다음과 같이 확인 가능합니다:)

 

특히 Windows 로그를 늘려보시면 응용 프로그램, 보안, 시스템이 기본 로그입니다.

 

수준, 날짜 및 시간, 성능 관련, 에러, 보안에 대한 로그까지 확인이 가능하쥬!!

 

 

 

 

장치간에 시간 동기화

 

• NTP (Network Time Protocol) 에 의해 동기화시킴
  
  패킷을 1초 간격으로 보내고 패킷 내부에 타임 스탬프 찍어서 보내줌
  거의 1000분의 1초까지 맞게 됨.
  
  
• 로그 분석의 경우 시스템 및 네트워크 장비, 보안 장비와 상호 연계 분석이 필요하며 이에 따른 시간 동기화가 필요
• Timeline 분석
• 로깅이 올바르게 수행되지 않으면 공격자는 시스템에서 자신의 활동을 숨길 수 있음.

 

 

 

 

침해사고 발생 시 사고분석자가 취해야 할 단계별 침해사고 분석절차

 

 

분석 프로그램 및 시스템 준비 --> 백업 --> 초기분석 --> 상세분석 -> 초기 대응 조치

--> 피해 범위 파악 --> 피해 시스템 복구 --> 공격 사이트 대응 --> 분석 보고서 작성

 

 

 

 

 

 

 

---

 

 

 

시스템 로그 분석_WINDOWS

 

 

 

 

• WINDOWS 이벤트 로그 : 문제 분석을 위한 첫 번째 도구
• 이벤트에는 세 가지 범주로 분류 : 응용-시스템-보안
  
    - 응용 : 프로그램, 응용 프로그램 로그는 드라이버와 같은 windows 구성요소와 관련된 이벤트 기록
    - 시스템 : 시스템 로그는 설치된 프로그램에 대한 이벤트 기록
    - 보안 : 보안로깅 활성화될 경우 로그인 시도 및 액세스된 리소스 같은 보안 관련 이벤트 기록

 

 

 

 

1. Windows 보안 로그 검사

 

 

Windows + R 버튼 누르면 실행 팝업창이 뜨는데요.

 

eventvwr 입력 후 확인 클릭!!

 

 

 

 

이벤트 뷰어 등장 !!!

 

혹시 좀더 상세한 로그를 남기고 싶다면 로컬 그룹 정책 편집기에서 설정 가능합니다.

AD 환경 사용시 정책 배포를 통해 통합 관리도 가능하쥬!!

 

 

 

 

2. 계정관리 정책 편집기

 

 

Windows + R 버튼 누르면 실행 팝업창이 뜨는데요.

 

secpol.msc 입력 후 확인 클릭!!

 

 

secpol.msc 입력하면 다음과 같이 뜹니다:)

 

로그인 잘못 입력하면 어떻게처리할 것인지 정책들 설정이 가능합니다.

 

 

 

 

 

 

3. 윈도우 이벤트 로그 그래프 (안전성 모니터)

 

• Windows 검색 상자에 RELI 또는 한글 윈도우의 경우 안전성 기록 보기 검색 후 실행
• 안전성 모니터는 중요한 이벤트 및 응용프로그램 및 Windows 오류, 중요 업데이트 및 기타 정보에 대한 그래프 표시