희망도서 신청

Splunk를 활용한 시큐리티 모니터링 2/e

<서진원> 저 | 에이콘출판사

출간일: 2024-11-11

파일포맷: ePub

용량: 13 M

지원기기

현황: 신청 건수 : 0 건

간략 신청 메세지

2021년 세종도서 학술부문 선정도서 『Splunk를 활용한 시큐리티 모니터링』의 개정판!

Splunk에서 정보보안 로그를 수집/분석하고 내부 침해 행위를 찾아내는 과정을 보여준다. 정보보안 사전 지식을 갖추고, Splunk 검색어를 작성할 수 있는 사용자를 대상으로 서술했지만, 초보자도 책의 내용을 쉽게 따라올 수 있게 작성했다. 특별히 Splunk를 활용해서 정보보안 전용 앱 구축, 정보보안 관련 로그 분석 등 많은 업무를 효율적으로 개선하기 원하는 정보보안 담당자를 위해서 쓰였다. 이번 개정판에서는 내용 및 화면 캡쳐를 최신 버전으로 반영했으며, 책 안의 화면은 모두 한글판으로 통일했다. 또한 Splunk 대시보드 스튜디오를 새롭게 추가해서 대시보드 영역을 보강했다.

현재 구글 클라우드에서 시큐리티 스페셜리스트 업무를 수행하고 있다. 이전에는 eBay 글로벌 정보보호실에서 아시아태평양 지역 정보보호 담당자로 근무했다. 그리고 한국인터넷진흥원(Korea Internet & Security Agency)에서 정보보호 제품 평가, 국내 인터넷 보안 모니터링, 국가 수준의 주요 침해사고 대응을 수행했다. 다양한 보안 운영 상황실 및 국가정보자원관리원 정보보호 환경 구축 프로젝트에 참여했으며, IT와 정보보호 분야에서 많은 경험을 쌓았다. 아주대학교사이버보안학과 겸임교수를 역임했으며, 현재 고려대학교 정보보호대학원 겸임교수로 활동하고 있다.

1장. Splunk 소개

1.1 Splunk와 정보보호
1.2 공격 패러다임의 전환
1.3 공격 동향 분석
1.3.1 사이버 킬체인
1.3.2 마이터 어택
1.4 위협사냥
1.4.1 로그 수집
1.4.2 수집 대상
____네트워크 계층 로그
____엔드포인트 계층 로그
____사용자 인증 로그
____위협정보 로그
1.4.3 수집 로그 저장
1.5 실습용 데이터 추가
1.5.1 튜토리얼 데이터 다운로드
1.5.2 데이터 추가 방법
업로드
1.6 요약

2장. 검색

2.1 장 소개
2.2 Splunk 검색 기본
2.2.1 시간 연산자
2.2.2 검색에서 필드 활용하기
2.2.3 검색 처리 언어 및 파이프
2.3 검색 명령어
2.3.1 데이터 나열, 변환
______table
______rename
______fields
______dedup
______sort
2.3.2 통계 계산
______stats
______top
______rare
______len(X)
2.3.3 차트 시각화
______timechart
______chart
2.3.4 비교 분석
______eval
______case(X,"Y",
______cidrmatch("X",Y)
______if(X, Y, Z)
______like(X,"Y")
______match(X,"Y")
2.3.5 다중 문자열과 시간
______mvindex(X,Y,Z)
______split(X,"Y")
______substr(X,Y,Z)
______round(X,Y)
______urldecode(X)
______strftime(X, Y)
______strptime(X, Y)
______now( )
2.4 검색어 작성
2.5 검색 효율성 높이기
2.5.1 시간 범위 지정하기
2.5.2 인덱스 이름 지정하기
2.5.3 최대한 자세한 검색어 사용하기
2.5.4 검색 필터는 검색어 처음에 사용
2.5.5 와일드카드 사용 자제
2.5.6 fields 명령어 적극 사용
2.6 요약

3장. Splunk 지식 관리

3.1 장 소개
3.2 Splunk 지식 개요
3.3 이벤트 타입
3.4 룩업
3.5 태그와 별칭
3.5.1 태그
3.5.2 별칭
3.6 워크플로
3.7 검색 매크로
3.8 요약

4장. 보고서와 대시보드

4.1 장 소개
4.2 보고서
4.2.1 보고서 생성하기
______설정 메뉴에서 신규 보고서 추가하기
______검색 결과를 보고서로 저장하기
______대시보드 패널을 보고서로 변환하기
4.2.2 보고서 편집
4.2.3 보고서 복제
4.2.4 보고서 예약
4.3 클래식 대시보드
4.3.1 시각화 종류
______이벤트 리스트
______테이블
______차트
______단일 값
______지도
4.3.2 대시보드 패널 생성하기
______막대 차트
______원형 차트
______꺾은선형
______단일 값
4.3.3 클래식 대시보드 구축
______새 대시보드 만들기
______패널 추가하기
______드릴다운
4.4 대시보드 스튜디오
4.4.1 대시보드 스튜디오 특징
______추가된 시각화 차트
______배경 그림을 활용한 시각화
______패널 배치 자유도 증가
______패널 설정 창 위치
______기본 및 체인 검색
4.4.2 대시보드 스튜디오 실습
______대시보드 레이아웃 디자인
______새 대시보드 만들기
______게임 카테고리 선택
______총 매출액 패널
______구매 이력 현황
______홈페이지 로그인 실패 계정
______메일 서버 로그인 실패 계정
______비정상 접근 현황
4.5 요약

5장. SIEM이란?

5.1 소개
5.2 SIEM의 이해
5.2.1 SIEM의 정의
5.2.2 주요 기능
5.2.3 구성 요소
5.3 SIEM 구축
5.3.1 구축 전 고려사항
______단일 기능의 SIEM을 도입하지 않기
______SIEM을 통해 얻고자 하는 것 확인하기
______외부 위협정보 활용 필수
5.3.2 로그 수집 전략
______수집 범위, 대상
______수집 로그 용량 산정
5.3.3 로그 검색 및 분석 전략
5.3.4 경고 구축 전략
5.4 Splunk SIEM 구축 방안
5.4.1 로그 수집
5.4.2 로그 검색/분석
5.4.3 경고
5.5 요약

6장. 로그 수집

6.1 장 소개
6.2 Zeek
6.2.1 Zeek 설치 및 운영
6.2.2 환경설정 및 실행
6.2.3 Zeek 로그 형식
6.3 Sysmon
6.3.1 Sysmon 설치하기
6.3.2 이벤트 확인 및 운영
6.3.3 Sysmon 생성 이벤트 목록
6.4 Splunk 로그 저장
6.4.1 로컬에서 직접 수집
6.4.2 원격 로그 수집 - 리눅스
______수집 환경설정
______로그 수집 확인
______필드 추출
6.4.3 원격 로그 수집 - 윈도우
______수집 환경설정
______로그 수집 확인
6.4.4 예제 로그 업로드
______Zeek 로그 업로드
______스캐너 로그 업로드
______sysmon 로그 추가
6.5 요약

7장. 네트워크 로그 분석

7.1 장 소개
7.2 주요 서비스 프로토콜
7.2.1 DNS
7.2.2 HTTP
7.2.3 SSL/X509
7.3 네트워크 현황 분석
7.3.1 DNS
______Top 10 도메인 현황
______TOP 10 도메인 요청 IP 현황
______도메인 응답코드 현황
7.3.2 HTTP 프로토콜
______TOP 10 접속 도메인, 국가별 접속
______HTTP 메서드
______TOP 10 클라이언트 오류
______TOP 10 서버 오류
______HTTP 상태코드
7.3.3 SSL & x509 프로토콜
______Top 10 접속 도메인
______인증서 만료 임박 사이트
7.4 이상징후 분석
7.4.1 DNS 이상징후
______비정상적인 서브 도메인 길이
______비허가 DNS 사용/DNS 터널링
______도메인 엔트로피 값을 이용한 탐지
7.4.2 HTTP 이상징후
______비정상 메서드 사용
______외부행 데이터 전송
______사이트 이동 후 실행 파일 다운로드
______프록시 서버 접속
7.4.3 SSL & X509
______인증서 만료 SSL 통신
______self-signed 인증서 사용
7.5 요약

8장. 엔드포인트 로그 분석

8.1 장 소개
8.2 엔드포인트 로그
8.2.1 엔드포인트 로그의 필요성 및 대상
8.2.2 윈도우 이벤트
8.2.3 Sysmon
8.3 PC 이상징후 분석
8.3.1 비정상 폴더에서 exe 파일 실행
8.3.2 파일 실행 후 원본 파일 삭제
8.3.3 실행 후 네트워크 접속 다수 발생
8.3.4 네트워크 셸 실행
8.4 요약
9장. SIEM 구축하기
9.1 장 소개
9.2 Splunk SIEM 앱 설계
9.2.1 구축 목적
9.2.2 구축 범위
9.2.3 구축 전략
9.2.4 메뉴 설계 및 구성
9.2.5 메뉴 설명
______SIEM Insight
______네트워크 현황
______이상징후
______고급 검색
9.3 SIEM 구축
9.3.1 Splunk 앱 생성
9.3.2 SIEM 메뉴 구성
9.3.3 SIEM Insight
______TCP 목적지 포트 현황
______UDP 목적지 포트 현황
______서비스 현황
______출발지, 목적지 현황
9.3.4 네트워크 현황
______DNS
______HTTP
9.3.5 이상징후
DNS
HTTP
9.3.6 정보 검색
______IP, 도메인 검색
______CVE 검색
______악성코드 정보 검색
9.4 패널 시각화
9.5 드릴다운을 활용한 대시보드 강화
9.5.1 해시 값 기반 검색
9.5.2 도메인 기반 검색
9.5.3 대시보드 내부 토큰 활용
9.6 요약

10장. SIEM 운영 강화

10.1 장 소개
10.2 오픈 소스 인텔리전스
10.2.1 위협정보 수집
10.2.2 OSINT 정보 수집 활용하기
10.2.3 룩업 테이블 활용
10.3 경고 설정
10.3.1 네트워크 계층 경고
10.3.2 엔드포인트 경고
10.3.3 악성 도메인 접속 경고
10.4 위협사냥 구현
10.4.1 명령제어 서버 탐지
10.4.2 비정상 파일명 탐지
10.5 상황 대응 대시보드 운영
10.5.1 상황 대응 전략 수립
10.5.2 상황 판단 대시보드 제작
10.6 요약
10.7 이 책의 요약