Security. unlimited possibilities

이 도구는 Windows에 기본 방화벽을 사용하는 사용자에게 꽤나(?) 유용한 도구이다. 방화벽의 복잡한 로그를 간편한 GUI를 통해 점검&확인할 수 있게 지원해 준다.

만약 이 도구를 사용하고자 한다면, 기본 방화벽의 로깅 기능을 활성화하는 것을 잊지 말아야 한다.

기본 방화벽의 로깅 설정은, 아래의 경로에서 설정/확인 가능하다.

제어판 > windows 방화벽 > 고급 설정 > Windwos 방화벽 속성 > 도메인 프로필 > 로깅 > 사용자 지정

참고로, 방화벽 로그파일의 기본 Path는 아래와 같다.

▷ %SYSTEMROOT%\system32\logfies\firewall\pfirewall.log

<시스템 요구사양>

Windwos XP / Vista / Windows 7 - 32bit/64bit

다운로드:

WinFWLogAnalyser.zip

보안업무와 관련된 로그를 점검&분석할 때 가장 많이 혼란스러워 하는 이유는 어떤 로그를 점검&분석해야 하는지를 목록화하는 것이다. 이는 상당한 경험이 있는 사람일지라도 마찬가지가 아닐까 생각한다.

아래의 보안 점검 체크리스트가 이와같은 혼란을 감소시킬 수 있을지는 모르지만, 참고하여 로그 점검&분석을 일상화하는데에는 좋은 자료가 될 수 있을 것이라는 생각이든다.

security-incident-log-review-checklist.docx

위 문서는 아래와 같은 구성으로 되어있다. ( 분석 대상에 맞는 타입의 체크리스트를 활용할 것 )

□ General Approach

□ Potential Security Log Sources

□ Typical Log Locations

□ What to Look for on Linux

□ What to Look for on Windows

□ What to Look for on Network Devices

□ What to Look for on Web Servers

□ Other Resources

또한, 위 체크리스트와 함께 윈도우 관련된 로그 점검&분석 때 항상 검색하게되는 이벤트ID가 잘 정리된 사이트 정보를 이 글에 함께 기록한다.

http://eventopedia.cloudapp.net/Events/?/Operating+System/Microsoft+Windows/Built-in+logs/Windows+2000-2003/Security+Log

The open source log management tools are:

1. OSSEC (ossec.net) an open source tool for analysis of real-time log data from Unix systems, Windows servers and network devices. It includes a set of useful default alerting rules as well as a web-based graphical user interface. This is THE tool to use, if you are starting up your log review program. It even has a book written about it.
   
2. Snare agent (intersectalliance.com/projects/index.html) and ProjectLasso remote collector (sourceforge.net/projects/lassolog) are used to convert Windows Event Logs into syslog, a key component of any log management infrastructure today (at least until Visa/W7 log aggregation tools become mainstream).
   
3. syslog-ng (balabit.com/network-security/syslog-ng/) is a replacement and improvement of classic syslog service - it also has a Windows version that can be used the same way as Snare
   
4. rsyslog (rsyslog.com) is another notable replacement and improvement of syslog service that uses traditional (rather than ng-style) format for syslog.conf configuration files. No Windows version, but it has an associated front-end called phpLogCon
5. Among the somewhat dated tools, Logwatch (logwatch.org), Lire (logreport.org) and LogSurfer (crypt.gen.nz/logsurfer) can all be used to summarize logs into readable reports.
   
6. sec (simple-evcorr.sourceforge.net) can be used for correlating logs, even though most people will likely find OSSEC correlation a bit easier to use
7. LogHound (ristov.users.sourceforge.net/loghound) and slct (ristov.users.sourceforge.net/slct) are more "research-grade" tools, that are still very useful for going thru a large pool of barely-structured log data.
8. Log2timeline (log2timeline.net/) is a useful tool for investigative review of logs; it can create a timeline view out of raw log data.
   
9. LogZilla (aka php-syslog-ng) (code.google.com/p/php-syslog-ng) is a simple PHP-based visual front-end for a syslog server to do searches, reports, etc

[책소개]

시스템을 운영함에 있어서 부수적으로 생성되던 각 기능별 로그의 기능을 설명하고 있다는 점과 해당 로그들을 제대로 분석할 수 있는 실질적인 방법을 제시하고 있다. 또한 관련 로그를 통하여 얻어낼 수 있는 정보의 메시지를 파악하여 시스템의 운영 실무에 바로 바로 적용하거나 문제점을 유추해낼 수 있도록 한다.

주력하고자 한 내용의 핵심은 현장에서 문제가 발생하였을 때의 답만 제공해 주기보다는 문제를 스스로 해결할 수 있는 방법을 제시함으로써 사용자 스스로의 능력을 배양시킬 수 있도록 하였다. 아울러 예제로 준비한 시스템은 다양한 UNIX 계열(SunOS, HP-UX, Solaris, Linux)의 시스템과 WINDOWS 시스템을 기준으로 하였고, 이러한 시스템들을 중심으로 사용되는 로그(LOG)에 대해 중점을 두었다.

[목차]

Part 01 시스템 로그 분석을 위한 준비
Section 01 로그 분석의 필요성
Section 02 침입자 탐지 체크 리스트 10
Section 03 로그 분석의 자세
Section 04 로그 관리 방법과 로그 파일 관리 지침
Section 05 시스템 관리자를 위한 기초 명령어 활용법

Part 02 로그의 종류와 시스템 별 현황
Section 01 사용자 로그
Section 02 시스템 로그
Section 03 시스템 별 로그 현황

Part 03 운영체제 별 로그의 종류와 분석 방법
Section 01 유닉스 계열 로그
Section 02 윈도우 계열 로그

Part 04 침해사고 발생 처리 시뮬레이션과 추가 정보
Section 01 해킹 피해 시스템 분석 절차
Section 02 Windows 시스템 침해사고 분석
Section 03 Windows IIS 웹 로그를 DB에 넣기
Section 04 리눅스에서 명령어 재설치하기

Part 05 아파치를 기반으로 한 웹 로그 분석
Section 01 웹 로그 분석의 개요
Section 02 접속 로그 분석 방법
Section 03 에러 로그 분석 방법

부록
Snort 설치와 운영
MRTG 설치와 운영
LSOF 설치와 운영

<개요>

[System Center 2012 Configuration Manager]는 Microsoft 플랫폼을 위한 포괄적인 구성 관리를 제공함으로써 IT 조직에서 사용자가 장치 및 응용 프로그램을 효율적으로 사용하여 생산성을 늘리면서 회사의 규정 준수 및 제어 기능을 유지 관리할 수 있도록 지원한다.

SCCM은 물리, 가상, 분산 및 모바일 환경에서도 다양한 클라이언트 컴퓨터, 서버, 장치를 종합적으로 평가, 배포, 업데이트할 수 있기 때문에 매우 매력적인 제품이며, 또한 Windwos에 최적화 되어 있기 때문에 국내 IT시스템 분석/제어에 효과적일 수 있겠다.

<주요이점>

- 물리, 가상 및 모바일 환경의 종합적인 클라이언트 관리가 가능

- Windows 최적화 지원

- 기존 인프라의 투자 극대화

- 관리자가 원하는 구성 상태에 대한 시스템 준수

<기능>

- 자산관리: IT인프라 및 자산에 대한 제어 기능이 뛰어나기 때문에 관리자에 의한 자산 인텔리전스 기술을 통해 하드웨어 및 소프트웨어 자산 보유 현황 및 관련 위치와 자산 사용자에 대해 지속적인 파악이 가능

- 소프트웨어 업그레이드 관리: 전사적인 IT 시스템 업데이트를 구현하고 관리하는데 용이

- 구성관리: 소프트웨어 상태 및 보안설정의 규정 준수 여부확인 가능

- 소프트웨어 배포: 복잡한 소프트웨어 배포과정을 간소화

- 클라이언트 전력 관리 ( 전력소모량을 줄여 재정적이득을 갖게한다네요;;;; )

- 원격 PC 진단 및 수리: AMTv3 통합되어 전원이 꺼져있거나 시작 전 상태에서도 데스크톱 시스템을 원격으로 액세스, 진단 및 수리

위와 같이 SCCM은 Windwos로 구성된 기업이라면 매우 효율적인 기능을 포함하고 있지만, 유지보수 비용이 시스템 소유비용의 70%에 육박하는 수준인 Configuration Manager는 부담이 아니될 수 없다는게 안타까울 뿐이다. (ㅜㅜ)

현재 SCCM은 2012 RC 평가판(베타버전?)이 출시되어 있으니, 자산관리 및 종합적인 클라이언트 관리를 하려는 분들은 베타버전을 사용해보고 판단해보길 바란다.

좀 더 상세한 정보를 확인하고자 하는 경우에는 아래의 페이지를 통해 확인하길 바란다.

http://technet.microsoft.com/en-us/systemcenter/hh880681

아래는, 가이드 페이지이다.

http://social.technet.microsoft.com/wiki/contents/articles/7075.system-center-2012-configuration-manager-survival-guide-en-us.aspx