[보안장비/로그관리] 원격 로그 서버 사용 (S-22)

원격 로그 서버 사용

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 보안 장비 로그를 원격 로그 서버에 별도 보관하도록 설정되어 있는지 점검하여 보안장비에 문제(장비 이상, 비인가자의 공격 및 침해 등)가 생겨 발생할 수 있는 로그 삭제나 변조 위험에 대비하고 있는지 확인하기 위함

■ 보안 위협
- 원격 로그 서버에 로그를 별도 보관하도록 설정되어 있지 않을 경우 보안 장비 문제 발생 시 로그가 삭제되거나 변조되어 사고 원인 분석에 어려움이 발생함

 

 

점검 및 조치 방법

■ 판단 기준
- 양호 : 별도의 로그 서버를 구축하여 통합 로그관리를 하는 경우
- 취약 : 별도의 로그 서버가 없는 경우

■ 조치 방법
- 보안장비 로그 설정 메뉴에서 syslog 설정 또는 주기적으로 별도 저장매체에 백업(syslog 지원하지 않을 경우)

■ 점검 방법
Step 1) 보안장비 로그 설정 메뉴에서 syslog 설정 확인

■ 설정 방법
Step 1) 원격 syslog 로그 수집 서버 설정
Step 2) 로컬에서 별도의 저장매체를 통해 수동으로 로그 백업(syslog를 지원하지 않는 경우)

■ 용어정리/팁
※ 원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버