보안업무와 관련된 로그를 점검&분석할 때 가장 많이 혼란스러워 하는 이유는 어떤 로그를 점검&분석해야 하는지를 목록화하는 것이다. 이는 상당한 경험이 있는 사람일지라도 마찬가지가 아닐까 생각한다.
아래의 보안 점검 체크리스트가 이와같은 혼란을 감소시킬 수 있을지는 모르지만, 참고하여 로그 점검&분석을 일상화하는데에는 좋은 자료가 될 수 있을 것이라는 생각이든다.
security-incident-log-review-checklist.docx
위 문서는 아래와 같은 구성으로 되어있다. ( 분석 대상에 맞는 타입의 체크리스트를 활용할 것 )
□ General Approach
□ Potential Security Log Sources
□ Typical Log Locations
□ What to Look for on Linux
□ What to Look for on Windows
□ What to Look for on Network Devices
□ What to Look for on Web Servers
□ Other Resources
또한, 위 체크리스트와 함께 윈도우 관련된 로그 점검&분석 때 항상 검색하게되는 이벤트ID가 잘 정리된 사이트 정보를 이 글에 함께 기록한다.
'침해사고대응 > 윈도우계열' 카테고리의 다른 글
[이벤트로그분석] Log Parser 도구 활용 (0) | 2012.09.24 |
---|---|
윈도우 방화벽 로그분석 도구(WinFirewallLogAnalyser) (0) | 2012.09.21 |
[윈도우 로그분석]1. 오픈소스 로그관리&분석 도구 (0) | 2012.09.21 |