해당 포스팅은 LetsDefend에서 무료로 제공되는 SIEM101 코스를 공부하며 정리한 글입니다.
Log Collection 로그 수집
Log, Logging
로그 파일은 운영체제에서 발생한 이벤트나 다른 소프트웨어 실행 과정에서 발생한 이벤트를 기록, 혹은 사용자 간의 메시지 등을 기록한 파일이다. 로깅은 로그를 기록하는 행위를 뜻함. 기본적인 로그에는 시간, source system, 메시지가 포함되는데 예를 들어 우분투에서 /var/log/auth.log 파일을 보면 아래와 같다.
호스트, 방화벽, 서버 로그, 프록시 등에서 수집한 로그를 SIEM으로 보내야 하는데, 로그가 수집되는 경로는 주로 두 가지다
- Log Agents
- Agentless
Log Agents
로그 에이전트 소프트웨어가 필요한데, 로그를 다른 대상한테 전달하기 전에 구문 분석, 버퍼링, 로그 무결성, 암호화 등의 작업을 할 수 있다. 자동 구문분석이나 암호화 같은 추가 기능이 있지만 리소스 소비로 비용이 든다는 단점이 있음
Syslog
로그 전송에서 많이 사용되는 네트워크 프로토콜이고, UDP TCP 모두에서 작동 가능하다.(TLS 암호화도 가능)
스위치, 라우터, IDS, 방화벽 등에서 Syslog를 지원함. 로그 에이전트로 syslog를 전송하려면 형식에 맞게 구문 분석을 한다.
타임스탬프 - 소스 장치 - 기능 - 심각도 - 메시지 번호 - 메시지 텍스트
timestamp hostname process[pid]: message header messageThird-Party Agent
syslog보다 더 많은 기능을 가지고 있는 자체 에이전트 소프트웨어들인데 대표적으로는 Splunk, ArcSight이 있다
Agentless
에이전트리스 로그 전송 방식은 설치 및 업데이트 비용이 없음. 일반적으로 SSH나 WMI를 통해 타깃에 연결해서 로그를 전송함. 이 방법에서는 로그 서버의 사용자 이름과 비밀번호가 필요하므로 비밀번호가 도난당할 위험이 있고 기능이 제한적이며 credentials이 네트워크에서 전달됨.
Log Aggregation and Parsing
로그 데이터를 표준화, 통합하는 과정을 거치며 간소화시킨다. 로그 집계가 없으면 소스에서 로그 데이터를 수동으로 검색해야 하므로 집계와 파싱이 중요함
Aggregator EPS
EPS: 이벤트 수/시간 공식으로 계산하는데 EPS 값이 증가하면 집계기와 저장소 크기도 증가
Aggregation 집계 과정
rsync, cron 같은 도구로 로그 파일을 중앙 위치로 복제
key:value 구문 규칙을 적용해서 표준화된 형식으로 변환하거나 날짜, 시간 등 필드를 일관성 있게 표기하고 익명화, 마스킹등을 할 수 있다
지리적 위치, DNS 조회 등의 정보를 보강해서 로그의 효율성을 높이는 방법도 있다
로그 집계기의 기능: 필터링, 파싱, 보강
Log Storage 로그 저장
SIEM의 구조를 다룰 때 흔한 실수가 저장소 크기에만 초점을 맞추는 것인데, waf/방화벽/프록시 등에서 수집한 로그들에서 특정 정보에 액세스 하려면 오래 걸리고 이는 비효율적이므로 데이터 액세스 속도도 중요하다.
속도를 가장 중요하게 보는 관점에서는 WORM(Write once read many)가 SIEM에서 사용되기 적합함.
Alert 경고 생성
수집된 데이터를 사용해서 비정상적인 행동을 탐지하고 경고를 생성해야 한다. 위험한 상황이 생기면 바로 경고가 발생해야 하므로 적절한 스토리지가 필요하고, SIEM에서 발생한 경고들은 조사를 거쳐야 한다.
ex) 동일 IP주소에서 3분 동안 15번의 로그인 실패라던가 비정상적인 징후가 보이는 경우
- 블랙리스트: 금지된 프로세스 이름(예: mimikatz.exe)을 리스트에 작성한 후, 이 리스트의 프로세스가 로그에서 발견되면 경고를 생성하는 방식인데 우회가 쉬움. 예를 들어, mimikatz.exe 대신 mimikatz2.exe를 사용하면 경고가 발생 X
- 화이트리스트: 블랙리스트와 반대로, 정상적인 상황을 정의한다. 정상적인 통신을 하는 IP 주소를 리스트에 작성한 후, 이 리스트에 없는 주소와의 통신이 발생하면 경고를 생성한다. 리스트를 지속적으로 업데이트해야 한다는 단점
- 롱테일 로그 분석: 자주 발생하는 행동은 정상으로 간주하는 방법. 예를 들어, 특정 장치에서 "Event ID 4624: 계정이 성공적으로 로그인되었습니다" 로그가 계속 발생한다면, 이 로그는 정상으로 보고, 발생 빈도가 적은 로그는 의심함
실습이 없는 이론코스여서 좀 아쉽다
다음 SIEM 코스에서 더 하는 걸로...
'Defensive' 카테고리의 다른 글
| Vulnerability Management :: Metasploitable 2 실습 (0) | 2025.02.28 |
|---|---|
| [LetsDefend] How to Investigate a SIEM Alert? SIEM 경고 분석조사 (0) | 2025.02.25 |
| Phishing Email Analysis 피싱 이메일 분석 (0) | 2025.02.24 |
| Vulnerability Management :: WordPress 취약점 스캐너 WPScan 문제풀이 (0) | 2025.02.22 |
| Vulnerability Management :: WordPress 취약점 스캐너 WPScan (0) | 2025.02.22 |