소득공제
PDF
eBook
Splunk를 활용한 시큐리티 모니터링 2/e
보안 운영을 위한 SIEM 구축 및 활용
스마트한 PDF 필기 기능을 사용해 보세요!
- PDF 안내
-
이 상품은 구매 후 지원 기기에서 예스24 eBook앱 설치 후 바로 이용 가능한 상품입니다.
소개
목차
|
1장. Splunk 소개1.1 Splunk와 정보보호1.2 공격 패러다임의 전환1.3 공격 동향 분석1.3.1 사이버 킬체인1.3.2 마이터 어택1.4 위협사냥1.4.1 로그 수집1.4.2 수집 대상____네트워크 계층 로그 ____엔드포인트 계층 로그 ____사용자 인증 로그 ____위협정보 로그 1.4.3 수집 로그 저장1.5 실습용 데이터 추가1.5.1 튜토리얼 데이터 다운로드1.5.2 데이터 추가 방법업로드 1.6 요약2장. 검색2.1 장 소개2.2 Splunk 검색 기본2.2.1 시간 연산자2.2.2 검색에서 필드 활용하기2.2.3 검색 처리 언어 및 파이프2.3 검색 명령어2.3.1 데이터 나열, 변환______table ______rename ______fields ______dedup ______sort 2.3.2 통계 계산______stats ______top ______rare ______len(X) 2.3.3 차트 시각화______timechart ______chart 2.3.4 비교 분석______eval ______case(X,"Y", ______cidrmatch("X",Y) ______if(X, Y, Z) ______like(X,"Y") ______match(X,"Y") 2.3.5 다중 문자열과 시간______mvindex(X,Y,Z) ______split(X,"Y") ______substr(X,Y,Z) ______round(X,Y) ______urldecode(X) ______strftime(X, Y) ______strptime(X, Y) ______now( ) 2.4 검색어 작성2.5 검색 효율성 높이기2.5.1 시간 범위 지정하기2.5.2 인덱스 이름 지정하기2.5.3 최대한 자세한 검색어 사용하기2.5.4 검색 필터는 검색어 처음에 사용2.5.5 와일드카드 사용 자제2.5.6 fields 명령어 적극 사용2.6 요약3장. Splunk 지식 관리3.1 장 소개3.2 Splunk 지식 개요3.3 이벤트 타입3.4 룩업3.5 태그와 별칭3.5.1 태그3.5.2 별칭3.6 워크플로3.7 검색 매크로3.8 요약4장. 보고서와 대시보드4.1 장 소개4.2 보고서 4.2.1 보고서 생성하기______설정 메뉴에서 신규 보고서 추가하기 ______검색 결과를 보고서로 저장하기 ______대시보드 패널을 보고서로 변환하기 4.2.2 보고서 편집4.2.3 보고서 복제4.2.4 보고서 예약4.3 클래식 대시보드4.3.1 시각화 종류______이벤트 리스트 ______테이블 ______차트 ______단일 값 ______지도 4.3.2 대시보드 패널 생성하기______막대 차트 ______원형 차트 ______꺾은선형 ______단일 값 4.3.3 클래식 대시보드 구축______새 대시보드 만들기 ______패널 추가하기 ______드릴다운 4.4 대시보드 스튜디오4.4.1 대시보드 스튜디오 특징______추가된 시각화 차트 ______배경 그림을 활용한 시각화 ______패널 배치 자유도 증가 ______패널 설정 창 위치 ______기본 및 체인 검색 4.4.2 대시보드 스튜디오 실습______대시보드 레이아웃 디자인 ______새 대시보드 만들기 ______게임 카테고리 선택 ______총 매출액 패널 ______구매 이력 현황 ______홈페이지 로그인 실패 계정 ______메일 서버 로그인 실패 계정 ______비정상 접근 현황 4.5 요약5장. SIEM이란?5.1 소개5.2 SIEM의 이해5.2.1 SIEM의 정의5.2.2 주요 기능5.2.3 구성 요소5.3 SIEM 구축5.3.1 구축 전 고려사항______단일 기능의 SIEM을 도입하지 않기 ______SIEM을 통해 얻고자 하는 것 확인하기 ______외부 위협정보 활용 필수 5.3.2 로그 수집 전략______수집 범위, 대상 ______수집 로그 용량 산정 5.3.3 로그 검색 및 분석 전략5.3.4 경고 구축 전략5.4 Splunk SIEM 구축 방안5.4.1 로그 수집5.4.2 로그 검색/분석5.4.3 경고5.5 요약6장. 로그 수집6.1 장 소개6.2 Zeek6.2.1 Zeek 설치 및 운영6.2.2 환경설정 및 실행6.2.3 Zeek 로그 형식6.3 Sysmon6.3.1 Sysmon 설치하기6.3.2 이벤트 확인 및 운영6.3.3 Sysmon 생성 이벤트 목록6.4 Splunk 로그 저장6.4.1 로컬에서 직접 수집6.4.2 원격 로그 수집 - 리눅스______수집 환경설정 ______로그 수집 확인 ______필드 추출 6.4.3 원격 로그 수집 - 윈도우______수집 환경설정 ______로그 수집 확인 6.4.4 예제 로그 업로드______Zeek 로그 업로드 ______스캐너 로그 업로드 ______sysmon 로그 추가 6.5 요약7장. 네트워크 로그 분석7.1 장 소개7.2 주요 서비스 프로토콜7.2.1 DNS7.2.2 HTTP7.2.3 SSL/X5097.3 네트워크 현황 분석7.3.1 DNS______Top 10 도메인 현황 ______TOP 10 도메인 요청 IP 현황 ______도메인 응답코드 현황 7.3.2 HTTP 프로토콜______TOP 10 접속 도메인, 국가별 접속 ______HTTP 메서드 ______TOP 10 클라이언트 오류 ______TOP 10 서버 오류 ______HTTP 상태코드 7.3.3 SSL & x509 프로토콜______Top 10 접속 도메인 ______인증서 만료 임박 사이트 7.4 이상징후 분석7.4.1 DNS 이상징후______비정상적인 서브 도메인 길이 ______비허가 DNS 사용/DNS 터널링 ______도메인 엔트로피 값을 이용한 탐지 7.4.2 HTTP 이상징후______비정상 메서드 사용 ______외부행 데이터 전송 ______사이트 이동 후 실행 파일 다운로드 ______프록시 서버 접속 7.4.3 SSL & X509______인증서 만료 SSL 통신 ______self-signed 인증서 사용 7.5 요약8장. 엔드포인트 로그 분석8.1 장 소개8.2 엔드포인트 로그8.2.1 엔드포인트 로그의 필요성 및 대상8.2.2 윈도우 이벤트8.2.3 Sysmon8.3 PC 이상징후 분석8.3.1 비정상 폴더에서 exe 파일 실행8.3.2 파일 실행 후 원본 파일 삭제8.3.3 실행 후 네트워크 접속 다수 발생8.3.4 네트워크 셸 실행8.4 요약9장. SIEM 구축하기9.1 장 소개9.2 Splunk SIEM 앱 설계9.2.1 구축 목적9.2.2 구축 범위9.2.3 구축 전략9.2.4 메뉴 설계 및 구성9.2.5 메뉴 설명______SIEM Insight ______네트워크 현황 ______이상징후 ______고급 검색 9.3 SIEM 구축9.3.1 Splunk 앱 생성9.3.2 SIEM 메뉴 구성9.3.3 SIEM Insight______TCP 목적지 포트 현황 ______UDP 목적지 포트 현황 ______서비스 현황 ______출발지, 목적지 현황 9.3.4 네트워크 현황______DNS ______HTTP 9.3.5 이상징후DNS HTTP 9.3.6 정보 검색______IP, 도메인 검색 ______CVE 검색 ______악성코드 정보 검색 9.4 패널 시각화9.5 드릴다운을 활용한 대시보드 강화9.5.1 해시 값 기반 검색9.5.2 도메인 기반 검색9.5.3 대시보드 내부 토큰 활용9.6 요약10장. SIEM 운영 강화10.1 장 소개10.2 오픈 소스 인텔리전스10.2.1 위협정보 수집10.2.2 OSINT 정보 수집 활용하기10.2.3 룩업 테이블 활용10.3 경고 설정10.3.1 네트워크 계층 경고10.3.2 엔드포인트 경고10.3.3 악성 도메인 접속 경고10.4 위협사냥 구현10.4.1 명령제어 서버 탐지10.4.2 비정상 파일명 탐지10.5 상황 대응 대시보드 운영10.5.1 상황 대응 전략 수립10.5.2 상황 판단 대시보드 제작10.6 요약10.7 이 책의 요약
|
저자 소개1
현재 구글 클라우드에서 시큐리티 스페셜리스트 업무를 수행하고 있다. 이전에는 eBay 글로벌 정보보호실에서 아시아태평양 지역 정보보호 담당자로 근무했다. 그리고 한국인터넷진흥원(Korea Internet & Security Agency)에서 정보보호 제품 평가, 국내 인터넷 보안 모니터링, 국가 수준의 주요 침해사고 대응을 수행했다. 다양한 보안 운영 상황실 및 국가정보자원관리원 정보보호 환경 구축 프로젝트에 참여했으며, IT와 정보보호 분야에서 많은 경험을 쌓았다. 아주대학교사이버보안학과 겸임교수를 역임했으며, 현재 고려대학교 정보보호대학원 겸임교수로 활동하고 있다.
품목정보
- 발행일
- 2024년 11월 11일
- 지원기기
- 크레마, PC(윈도우 - 4K 모니터 미지원), 아이폰, 아이패드, 안드로이드폰, 안드로이드패드, 전자책단말기(저사양 기기 사용 불가), PC(Mac)
- 파일/용량
- PDF(DRM) | 13.24MB ?
- 글자 수/ 페이지 수
- 약 412쪽 ?
- ISBN13
- 9791161752112
출판사 리뷰
|
◈ 이 책에서 다루는 내용 ◈◆ Splunk 입문자를 위한 기초부터 고급 활용 방안◆ 기업 보안 담당자에게 필요한 시큐리티 모니터링의 주요 관점◆ 네트워크, 엔드포인트 계층별 시큐리티 모니터링 기법◆ 계층별 로그 특성 및 정보보안 관점의 분석 기법◆ SIEM(Security Information & Event Management)의 개념 및 운영◆ Splunk를 활용한 SIEM 설계 및 구축◆ Splunk 대시보드 스튜디오 활용 ◈ 이 책의 대상 독자 ◈◆ 시큐리티 모니터링을 이해하고 기초를 쌓고 싶은 학생, 직장인◆ Spunk를 처음 접하거나 관리 지식을 얻고 싶은 학생, 직장인◆ Splunk를 정보보안 분야에 활용하고 싶은 보안 담당자◆ Splunk를 활용해서 정보보호 업무를 개선하거나 성과를 얻고자 하는 보안 담당자◆ Splunk로 자사 전용 앱을 구축하고 실무에 적용하고자 하는 보안 담당자◈ 이 책의 구성 ◈Splunk 활용 방안을 고민하는 사용자나 Splunk를 이용해서 정보보호 업무를 수행하려는 보안 담당자를 위한 내용을 담고 있는 책으로, 총 2부 10장으로 구성됐다. 1부는 Splunk의 기본 사항을 다루고 2부에서는 Splunk를 활용한 실제 SIEM 구축 과정을 설명한다. 각 장의 내용은 다음과 같다.1장. ‘Splunk 소개’에서는 Splunk 소개와 정보보호 분야의 공격자 동향을 소개한다. 이에 대응하기 위한 방어 모델인 사이버 킬체인과 MITRE ATT&CK을 알아본다.2장. ‘검색’에서는 Splunk 검색 및 검색 명령을 살펴본다. 매우 방대한 Splunk 검색 명령어에서 보안 장비 로그 검색에 주로 사용하는 명령어 위주로 소개한다.3장. ‘Splunk 지식 관리’에서는 Splunk 검색 명령어 결과에 의미를 부여하는 Splunk 지식 객체를 설명한다. 설명하는 지식 객체는 이벤트 타입(Event Type), 태그, 룩업(lookup), 워크플로와 검색 매크로다. 이런 지식 객체를 사용해 검색 결과 및 성능을 개선할 수 있다.4장. ‘보고서와 대시보드’에서는 Splunk의 리포트와 대시보드 기능을 소개하고 각각을 생성하고 관리하는 방법을 살펴본다. 리포트는 검색어를 저장하는 방법과 동일한 효과를 가지며, 향후 재사용이 가능한 방법이다. 리포트를 사용해서 대시보드를 구축하는 다양한 방법도 설명한다.5장. ‘SIEM이란?’에서는 SIEM(Security Information & Event Management)을 설명한다. 또 SIEM을 활용한 로그 수집 전략과 경고 생성 등 SIEM의 핵심 항목을 살펴보고 이를 기반으로 SIEM을 구축하는 전략을 살펴본다.6장. ‘로그 수집’에서는 Splunk에서 로그 분석을 위해서 로그를 수집하는 방법과 전략을 살펴본다. 수집 대상 로그는 네트워크 계층 로그와 엔드포인트 계층인 윈도우C P 로그 수집 방법도 알아본다.7장. ‘네트워크 로그 분석’에서는 네트워크 계층 로그에서 이상징후를 추출하는 분석기법을 살펴본다. 그리고 예제로 살펴보는 네트워크 계층에서 DNS, HTTP, SSL 등 네트워크에서 사용량이 많은 프로토콜 위주로 이상징후를 탐지하는 방법을 소개한다.8장. ‘엔드포인트 로그 분석’에서는 엔드포인트 계층 로그에서 이상징후를 추출하는 분석기법을 알아본다. 또한 예제 로그인 윈도우 PC에서 발생하는 이상징후를 정의하고 이를 탐지하는 방법을 살펴본다.9장. ‘SIEM 구축하기’에서는 Splunk에서 SIEM 앱(app, application)을 구축한다. 앱 설계, 메뉴 구성, 패널 시각화를 소개하고 대시보드를 구축해서 SIEM을 손쉽게 사용할 수 있게 한다. Splunk 본연의 기능인 검색을 대시보드로 표현함으로써 사용자의 편의성을 높인다.10장. ‘SIEM 운영 강화’에서는 구축한 SIEM 앱에 경고, 드릴다운(drill down)과 같은 사용자 편의 기능을 추가해서 사용성을 높이는 방안을 설명한다.◈ 지은이의 말 ◈처음 Splunk를 접하던 때가 생각난다. 당시에는 나 역시 이 프로그램을 어떻게 활용해야 하는지를 정확히 알지 못했다. 빅데이터라는 용어가 IT 분야에 막 등장하던 때라서 더욱더 그랬던 것 같다. 그러다가 현 직장에서 Splunk를 업무에 적용하기 시작하면서 놀라운 프로그램이라는 것을 아는 데는 그리 오랜 시간이 걸리지 않았다.당시 정보보호 장비에서 생성한 로그는 모두 관계형 데이터베이스에 저장했고 원하는 내용은 SQL 검색만 할 수 있었다. 모든 로그의 필드를 사전에 구별해서 데이터베이스에 입력해야 했기 때문에 신규 장비 연동은 매우 귀찮은 작업이었다. 하지만 Splunk는 이런 고민을 단숨에 해결해줬다. SQL과 비슷한 전용 검색어는 프로그래밍 능력이 훌륭하지 않은 나도 쉽게 배울 수 있었고 인터넷의 다양한 문서는 많은 어려움을 해결하는 데 큰 도움을 줬다.Splunk는 여러 분야에서 활용이 가능하지만 정보보호 분야에서 가장 효과적으로 사용할 수 있다고 생각한다. 빅데이터 기반의 대용량 처리, 자체 검색어를 이용한 실시간 검색과 경고, 대시보드의 통합 지원은 실시간 침해사고 대응 플랫폼에 최적이라고 생각했기 때문이다. 그때부터 나는 Splunk를 이용해서 다양한 로그를 저장하고 분석한 후에 정보보호 관점의 이상징후를 추출하는 데 많은 노력을 기울였다. 이 책은 내 경험을 기반으로 작성했고, 정보보호 담당자의 수고를 조금이라도 덜어주고자 집필하게 됐다.매일 많은 정보보호 장비가 방대한 로그를 생성한다. 방대한 로그는 수집과 분석을 거쳐야 의미 있는 정보로 변환된다. “구슬이 서 말이라도 꿰어야 보배”라는 속담이 있다. 결국 정보보호 담당자는 흩어져 있는 로그를 수집하고 그 속에서 의미 있는 값을 정확히 추출해서 침해사고 예방 또는 대응을 수행해야 한다는 의미다.이 책은 Splunk를 처음 사용하는 독자에게는 구체적인 활용 방법을 제시한다. 이미 사용 중인 독자에게는 더 효율적인 사용 방법을 알려주며, 특히 Splunk를 시큐리티 모니터링 관점에서 사용하는 구체적인 방법을 보여준다.정보보호에서는 누구에게나 적용되는 절대 정답은 없다. 모두 자신만의 방법으로 문제를 해결하기 때문이다. 이 책이 제시하는 방법 역시 수많은 해결책 중 하나일 뿐 절대적인 답은 아니다. 이 책이 항상 과중한 업무를 수행하는 정보보호 담당자에게 올바른 정보를 제공하고, 업무를 조금이라도 경감시켜줄 수 있다면 무척 행복할 것이다.
|
