[윈도우/로그 관리] 로그의 정기적 검토 및 보고 (W-34)

로그의 정기적 검토 및 보고

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부 를 파악하기 위함

■ 보안 위협
- 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락 될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움

점검 및 조치 방법

■ 판단 기준
- 양호 : 접속기록 등의 보안 로그, 응용 프로그램 및 시스템 로그 기록에 대해 정기 적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우
- 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조 치가 이루어 지지 않는 경우

■ 조치 방법
- 로그 기록 검토 및 분석을 시행하여 리포트를 작성하고 정기적으로 보고함

 

 

 

 

점검 및 조치 사례

■ Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

 

Step 1) 로그 기록에 대한 정기적 검토 및 분석 실시
(1) 시작> 제어판> 관리 도구> 이벤트 뷰어
(2) 응용 프로그램 로그, 보안 로그, 시스템 로그 분석

 

※ OS 구성에 따라 디렉토리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그 등 분석

Step 2) 로그 분석 결과에 대한 일일·월간 보고서 작성 및 보고

■ 스크립트

echo. W-34 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-34 "로그의 정기적 검토 및 보고" ]                                                              >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. # 인터뷰 #                                                                                  >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-34 END                                                                                   >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ======================================================================================     >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt