ݺߣ

ݺߣShare a Scribd company logo

기술6기 3조

Kangwook Lee
Kangwook Lee
1 of 21
Downloaded 40 times
빅데이터 기술전문가 6기 3조 (Audit Log Analysis) 조원 : 김용문, 김태형, 윤재문, 김종회, 정하권
목차 1. 개요 2. 적용기술 3. 시스템 구성 4. 수집 데이터 5. 분석 결과 6. 기대효과
1. 개요 • 프로젝트 명: Windows Server Audit Log Analysis • 대상고객 : Windows Server를 운영하는 모든 고객 • 프로젝트 목적 : Windows Server의 Audit Log를 수집하고 통합 분석하여 보안 위협 요소를 사전 에 발견하고 대응 함. • 가정 • 사내 중요서비스가 Windows Server로 운영됨 • 중요 Windows Server의 감사 이벤트 로그들이 관리되고 있지 않음
2. 적용기술 • 기술 구성 – 데이터 수집/가공 기술 (LogStash) – 메시지 Queue (Redis) – 실시간 데이터 처리 기술 (Storm) – 데이터 저장 및 검색 기술 (Elastic Search) 로그수집 메시지 큐 로그검색/저장 로그분석 LogStash Elastic Search StormRedis
2. 적용기술 • 로그 수집 : Logstash • 분산 메시지 큐: Redis • 로그 수집 설치 서버 : Windows Server 2012 R2 • 수집 로그 : Windows Server Audit Event Log • 계정로그온 (자격증명 유효성, 계정 로그온 이벤트) • 계정관리 (사용자, 보안그룹, 컴퓨터, 메일그룹 관리 감사) • 로그온/로그오프 (로그온, 로그오프, 특수로그온, 계정잠금 감사) • 개체액세스 (파일공유, 파일 시스템, 레지스트리, 이동식 저장소 감사) • 권한사용 (중요한 권한 사용 감사) • 정책변경 (인증정책, 감사정책, 권한부여 정책 변경 감사) • 시스템 (시스템 무결성 감사, 보안상태 변경 감사) • 로그 전달 간격 : Event 발생 즉시
2. 적용기술 • 로그 저장 및 검색 : Elastic Search(ES) • 로그 저장 및 검색 방식 • Logstash로 전달된 로그를 Elastic Search에 저장 • ES의 Plugin(Kibana)을 통한 로그 검색
2. 적용 기술 • 로그 분석 : Storm • 로그 수집 및 출력상태 실시간 처리 및 표시 • 실시간 로그 분석 내용 • 사용자 액세스 이상 탐지 • 시스템 변경 이상 감지 • 중요파일 액세스 감지 • 확장을 고려해 분산처리 진행 Redis Storm Elastic Search
3. 시스템 구성 • 시스템 구성 (초기 설계)
3. 시스템 구성 • 시스템 구성 (데이터 수집/가공) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Redis Forward F O
3. 시스템 구성 • 시스템 구성 (메시지 Queue= 데이터 버스) Source LogStash Redis Elastic Search Storm Bolt Storm Spout publish Subscribe 1 : N
3. 시스템 구성 • 시스템 구성 (실시간 데이터 처리 기술) Source LogStash Redis Elastic Search Storm Bolt Storm Spout
3. 시스템 구성 • 시스템 구성 (데이터 저장 및 검색) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Elastic Search Forward F O
3. 시스템 구성 • 시스템 구성 (최종) Source LogStash Redis Elastic Search Storm Bolt Storm Spout Local 97 97 99 100 100 101
4. 수집 데이터 Windows Local Security Audit Policy (Ex : Audit account logon events)
4. 수집 데이터 Audit account Failed logon events(Ex : Status = 0xC000006A )
4. 수집 데이터
4. 수집 데이터
5. 분석 결과
5. 분석 결과 • Storm Console Test 출력결과 : 이전 3초동안 시도한 Client의 실패 Count
6. 기대효과 • Compliance 측면에서의 로그 통합관리 • 계정 및 개체 접근의 실시간 감시를 통한 내부 정보 유출 위협 예방 • 실시간 로그온 시스템 이벤트를 감시를 통한 시스템 침입 위협 예방 • 실시간 정책 변경 감사 관리를 통한 시스템 변조 위협 예방
별첨 • Logstash 설치 및 구성 • Redis 설치 및 구성 • Elastic Search 설치 및 구성 • Storm 소스 파일

More Related Content

기술6기 3조

  • 1. 빅데이터 기술전문가 6기 3조 (Audit Log Analysis) 조원 : 김용문, 김태형, 윤재문, 김종회, 정하권
  • 2. 목차 1. 개요 2. 적용기술 3. 시스템 구성 4. 수집 데이터 5. 분석 결과 6. 기대효과
  • 3. 1. 개요 • 프로젝트 명: Windows Server Audit Log Analysis • 대상고객 : Windows Server를 운영하는 모든 고객 • 프로젝트 목적 : Windows Server의 Audit Log를 수집하고 통합 분석하여 보안 위협 요소를 사전 에 발견하고 대응 함. • 가정 • 사내 중요서비스가 Windows Server로 운영됨 • 중요 Windows Server의 감사 이벤트 로그들이 관리되고 있지 않음
  • 4. 2. 적용기술 • 기술 구성 – 데이터 수집/가공 기술 (LogStash) – 메시지 Queue (Redis) – 실시간 데이터 처리 기술 (Storm) – 데이터 저장 및 검색 기술 (Elastic Search) 로그수집 메시지 큐 로그검색/저장 로그분석 LogStash Elastic Search StormRedis
  • 5. 2. 적용기술 • 로그 수집 : Logstash • 분산 메시지 큐: Redis • 로그 수집 설치 서버 : Windows Server 2012 R2 • 수집 로그 : Windows Server Audit Event Log • 계정로그온 (자격증명 유효성, 계정 로그온 이벤트) • 계정관리 (사용자, 보안그룹, 컴퓨터, 메일그룹 관리 감사) • 로그온/로그오프 (로그온, 로그오프, 특수로그온, 계정잠금 감사) • 개체액세스 (파일공유, 파일 시스템, 레지스트리, 이동식 저장소 감사) • 권한사용 (중요한 권한 사용 감사) • 정책변경 (인증정책, 감사정책, 권한부여 정책 변경 감사) • 시스템 (시스템 무결성 감사, 보안상태 변경 감사) • 로그 전달 간격 : Event 발생 즉시
  • 6. 2. 적용기술 • 로그 저장 및 검색 : Elastic Search(ES) • 로그 저장 및 검색 방식 • Logstash로 전달된 로그를 Elastic Search에 저장 • ES의 Plugin(Kibana)을 통한 로그 검색
  • 7. 2. 적용 기술 • 로그 분석 : Storm • 로그 수집 및 출력상태 실시간 처리 및 표시 • 실시간 로그 분석 내용 • 사용자 액세스 이상 탐지 • 시스템 변경 이상 감지 • 중요파일 액세스 감지 • 확장을 고려해 분산처리 진행 Redis Storm Elastic Search
  • 8. 3. 시스템 구성 • 시스템 구성 (초기 설계)
  • 9. 3. 시스템 구성 • 시스템 구성 (데이터 수집/가공) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Redis Forward F O
  • 10. 3. 시스템 구성 • 시스템 구성 (메시지 Queue= 데이터 버스) Source LogStash Redis Elastic Search Storm Bolt Storm Spout publish Subscribe 1 : N
  • 11. 3. 시스템 구성 • 시스템 구성 (실시간 데이터 처리 기술) Source LogStash Redis Elastic Search Storm Bolt Storm Spout
  • 12. 3. 시스템 구성 • 시스템 구성 (데이터 저장 및 검색) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Elastic Search Forward F O
  • 13. 3. 시스템 구성 • 시스템 구성 (최종) Source LogStash Redis Elastic Search Storm Bolt Storm Spout Local 97 97 99 100 100 101
  • 14. 4. 수집 데이터 Windows Local Security Audit Policy (Ex : Audit account logon events)
  • 15. 4. 수집 데이터 Audit account Failed logon events(Ex : Status = 0xC000006A )
  • 19. 5. 분석 결과 • Storm Console Test 출력결과 : 이전 3초동안 시도한 Client의 실패 Count
  • 20. 6. 기대효과 • Compliance 측면에서의 로그 통합관리 • 계정 및 개체 접근의 실시간 감시를 통한 내부 정보 유출 위협 예방 • 실시간 로그온 시스템 이벤트를 감시를 통한 시스템 침입 위협 예방 • 실시간 정책 변경 감사 관리를 통한 시스템 변조 위협 예방
  • 21. 별첨 • Logstash 설치 및 구성 • Redis 설치 및 구성 • Elastic Search 설치 및 구성 • Storm 소스 파일