희망도서 신청

Splunk를 활용한 시큐리티 모니터링

<서진원> 저 | 에이콘출판사

출간일: 2020-09-23

파일포맷: ePub

용량: 11 M

지원기기

현황: 신청 건수 : 0 건

간략 신청 메세지

『Splunk를 활용한 시큐리티 모니터링』은 Splunk에서 정보보안 로그를 수집/분석하고 내부 침해 행위를 찾아내는 과정을 보여준다. 정보보안 사전 지식을 갖추고, Splunk 검색어를 작성할 수 있는 사용자를 대상으로 서술했지만, 초보자도 책의 내용을 쉽게 따라올 수 있게 작성했다. 특별히 Splunk를 활용해서 정보보안 전용 앱 구축, 정보보안 관련 로그 분석 등 많은 업무를 효율적으로 개선하기 원하는 정보보안 담당자를 위해서 쓰였다.

eBay 글로벌 정보보호실에서 아시아태평양 지역, 정보보호 담당자로 근무하고 있으며, 한국인터넷진흥원(Korea Internet & Security Agency)에서 정보보호 제품 평가, 국내 인터넷 모니터링, 주요 침해사고 대응을 수행했다. 다양한 정보보호 시스템 구축, 정부 데이터센터 구축 프로젝트에 참여해서 IT와 정보보호 분야에서 많은 경험을 쌓았다. 아주대학교 사이버보안학과, 고려대학교 정보보호대학원 겸임교수로 활동하고 있으며 경험을 공유한다는 마음으로 학생들을 만나고 있다.

1장. Splunk 소개
1.1 Splunk와 정보보호
1.2 공격 패러다임의 전환
1.2 공격 동향 분석
1.2.1 사이버 킬체인
1.22 MITRE ATT&CK
1.3 위협사냥
1.3.1 로그 수집
1.3.2 수집 대상
1.3.3 수집 로그 저장
1.4 실습용 데이터 추가
1.4.1 튜토리얼 데이터 다운로드 받기
1.4.2 데이터 추가 방법
1.5 요약

2장. 검색
2.1 장 소개
2.2 Splunk 검색 기본
2.2.1 시간 연산자
2.2.2 검색에서 필드 활용하기
2.2.3 검색 처리 언어 및 파이프
2.3 검색 명령어
2.3.1 데이터 나열, 변환
2.3.2 통계 계산
2.3.3 차트 시각화
2.3.4 비교 분석
2.3.5 다중 문자열과 시간
2.4 검색어 작성
2.5 검색 효율성 높이기
2.5.1 시간 범위 지정하기
2.5.2 인덱스 이름 지정하기
2.5.3 최대한 자세한 검색어 사용하기
2.5.4 검색 필터는 검색어 처음에 사용
2.5.5 와일드카드 사용 자제
2.5.6 fields 명령어 적극 사용
2.6 요약

3장. Splunk 지식 관리
3.1 장 소개
3.2 Splunk 지식 개요
3.3 이벤트 타입
3.4 룩업
3.5 태그와 별칭
3.5.1 태그
3.5.2 별칭
3.6 워크플로
3.7 검색 매크로
3.8 요약

4장. 보고서와 대시보드
4.1 장 소개
4.2 보고서
4.2.1 보고서 생성하기
4.2.2 보고서 편집
4.2.3 보고서 복제
4.2.4 보고서 예약
4.3 대시보드
4.3.1 시각화 종류
4.3.2 차트 패널 생성하기
4.3.3 대시보드 구축
4.4 요약

5장. SIEM이란?
5.1 소개
5.2 SIEM의 이해
5.2.1 SIEM의 정의
5.2.2 주요 기능
5.2.3 구성 요소
5.3 SIEM 구축
5.3.1 구축 전 고려사항
5.3.2 로그 수집 전략
5.3.3 로그 검색 및 분석 전략
5.3.4 경고 구축 전략
5.4 Splunk SIEM 구축 방안
5.4.1 로그 수집
5.4.2 로그 검색/분석
5.4.3 경고
5.5 요약

6장. 로그 수집
6.1 장 소개
6.2 Zeek
6.2.1 Zeek 설치 및 운영
6.2.2 환경설정 및 실행
6.2.3 Zeek 로그 형식
6.3 Sysmon
6.3.1 Sysmon 설치하기
6.3.2 이벤트 확인 및 운영
6.3.3 Sysmon 생성 이벤트 목록
6.4 Splunk 로그 저장
6.4.1 로컬에서 직접 수집
6.4.2 원격 로그 수집 - 리눅스
6.4.3 원격 로그 수집 - 윈도우
6.4.4 예제 로그 업로드
6.5 요약

7장. 네트워크 로그 분석
7.1 장 소개
7.2 주요 서비스 프로토콜
7.2.1 DNS
7.2.2 HTTP
7.2.3 SSL/X509
7.3 네트워크 현황 분석
7.3.1 DNS
7.3.2 HTTP 프로토콜
7.3.3 SSL & X509 프로토콜
7.4 이상징후 분석
7.4.1 DNS 이상징후
7.4.2 HTTP 이상징후
7.4.3 SSL & X509
7.5 요약

8장. 엔드포인트 로그 분석
8.1 장 소개
8.2 엔드포인트 로그
8.2.1 엔드포인트 로그의 필요성 및 대상
8.2.2 윈도우 이벤트
8.2.3 Sysmon
8.3 PC 이상징후 분석
8.3.1 비정상 폴더에서 exe 파일 실행
8.3.2 파일 실행 후 원본 파일 삭제
8.3.3 실행 후 네트워크 접속 다수 발생
8.3.4 네트워크 셸 실행
8.4 요약

9장. SIEM 구축하기
9.1 장 소개
9.2 Splunk SIEM 앱 설계
9.2.1 구축 목적
9.2.2 구축 범위
9.2.3 구축 전략
9.2.4 메뉴 설계 및 구성
9.2.5 메뉴 설명
9.3 SIEM 구축
9.3.1 Splunk 앱 생성
9.3.2 SIEM 메뉴 구성
9.3.3 SIEM Insights
9.3.4 네트워크 현황
9.3.5 이상징후
9.3.6 정보 검색
9.4 패널 시각화
9.5 드릴 다운을 활용한 대시보드 강화
9.5.1 해시 값 기반 검색
9.5.2 도메인 기반 검색
9.5.3 대시보드 내부 토큰 활용
9.6 요약

10장. SIEM 운영 강화
10.1 장 소개
10.2 OSINT
10.2.1 위협정보 수집
10.2.2 OSINT 정보 수집 활용하기
10.2.3 룩업 테이블 활용
10.3 경고 설정
10.3.1 네트워크 계층 경고
10.3.2 엔드포인트 경고
10.3.3 악성 도메인 접속 경고
10.4 위협사냥 구현
10.4.1 명령제어 서버 탐지
10.4.2 비정상 파일명 탐지
10.5 상황 대응 대시보드 운영
10.5.1 상황 대응 전략 수립
10.5.2 상황 판단 대시보드 제작
10.6 요약
10.7 이 책의 요약