SlideShare uma empresa Scribd logo

기술6기 3조

Kangwook Lee
Kangwook Lee
1 de 21
Baixar para ler offline
빅데이터 기술전문가 6기 3조 (Audit Log Analysis) 조원 : 김용문, 김태형, 윤재문, 김종회, 정하권
목차 1. 개요 2. 적용기술 3. 시스템 구성 4. 수집 데이터 5. 분석 결과 6. 기대효과
1. 개요 • 프로젝트 명: Windows Server Audit Log Analysis • 대상고객 : Windows Server를 운영하는 모든 고객 • 프로젝트 목적 : Windows Server의 Audit Log를 수집하고 통합 분석하여 보안 위협 요소를 사전 에 발견하고 대응 함. • 가정 • 사내 중요서비스가 Windows Server로 운영됨 • 중요 Windows Server의 감사 이벤트 로그들이 관리되고 있지 않음
2. 적용기술 • 기술 구성 – 데이터 수집/가공 기술 (LogStash) – 메시지 Queue (Redis) – 실시간 데이터 처리 기술 (Storm) – 데이터 저장 및 검색 기술 (Elastic Search) 로그수집 메시지 큐 로그검색/저장 로그분석 LogStash Elastic Search StormRedis
2. 적용기술 • 로그 수집 : Logstash • 분산 메시지 큐: Redis • 로그 수집 설치 서버 : Windows Server 2012 R2 • 수집 로그 : Windows Server Audit Event Log • 계정로그온 (자격증명 유효성, 계정 로그온 이벤트) • 계정관리 (사용자, 보안그룹, 컴퓨터, 메일그룹 관리 감사) • 로그온/로그오프 (로그온, 로그오프, 특수로그온, 계정잠금 감사) • 개체액세스 (파일공유, 파일 시스템, 레지스트리, 이동식 저장소 감사) • 권한사용 (중요한 권한 사용 감사) • 정책변경 (인증정책, 감사정책, 권한부여 정책 변경 감사) • 시스템 (시스템 무결성 감사, 보안상태 변경 감사) • 로그 전달 간격 : Event 발생 즉시
2. 적용기술 • 로그 저장 및 검색 : Elastic Search(ES) • 로그 저장 및 검색 방식 • Logstash로 전달된 로그를 Elastic Search에 저장 • ES의 Plugin(Kibana)을 통한 로그 검색
2. 적용 기술 • 로그 분석 : Storm • 로그 수집 및 출력상태 실시간 처리 및 표시 • 실시간 로그 분석 내용 • 사용자 액세스 이상 탐지 • 시스템 변경 이상 감지 • 중요파일 액세스 감지 • 확장을 고려해 분산처리 진행 Redis Storm Elastic Search
3. 시스템 구성 • 시스템 구성 (초기 설계)
3. 시스템 구성 • 시스템 구성 (데이터 수집/가공) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Redis Forward F O
3. 시스템 구성 • 시스템 구성 (메시지 Queue= 데이터 버스) Source LogStash Redis Elastic Search Storm Bolt Storm Spout publish Subscribe 1 : N
3. 시스템 구성 • 시스템 구성 (실시간 데이터 처리 기술) Source LogStash Redis Elastic Search Storm Bolt Storm Spout
3. 시스템 구성 • 시스템 구성 (데이터 저장 및 검색) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Elastic Search Forward F O
3. 시스템 구성 • 시스템 구성 (최종) Source LogStash Redis Elastic Search Storm Bolt Storm Spout Local 97 97 99 100 100 101
4. 수집 데이터 Windows Local Security Audit Policy (Ex : Audit account logon events)
4. 수집 데이터 Audit account Failed logon events(Ex : Status = 0xC000006A )
4. 수집 데이터
4. 수집 데이터
5. 분석 결과
5. 분석 결과 • Storm Console Test 출력결과 : 이전 3초동안 시도한 Client의 실패 Count
6. 기대효과 • Compliance 측면에서의 로그 통합관리 • 계정 및 개체 접근의 실시간 감시를 통한 내부 정보 유출 위협 예방 • 실시간 로그온 시스템 이벤트를 감시를 통한 시스템 침입 위협 예방 • 실시간 정책 변경 감사 관리를 통한 시스템 변조 위협 예방
별첨 • Logstash 설치 및 구성 • Redis 설치 및 구성 • Elastic Search 설치 및 구성 • Storm 소스 파일

Recomendados

분석7기 5조
분석7기 5조분석7기 5조
분석7기 5조Kangwook Lee
 
기술8기 2조
기술8기 2조기술8기 2조
기술8기 2조Kangwook Lee
 
분석6기 4조
분석6기 4조분석6기 4조
분석6기 4조Kangwook Lee
 
기술5기 1조
기술5기 1조기술5기 1조
기술5기 1조Kangwook Lee
 
기술7기 2조
기술7기 2조기술7기 2조
기술7기 2조Kangwook Lee
 
분석8기 4조
분석8기 4조분석8기 4조
분석8기 4조Kangwook Lee
 
빅데이터 구축 사례
빅데이터 구축 사례빅데이터 구축 사례
빅데이터 구축 사례Taehyeon Oh
 
NiFi 시작하기
NiFi 시작하기NiFi 시작하기
NiFi 시작하기Byunghwa Yoon
 

Recomendados

분석7기 5조
분석7기 5조분석7기 5조
분석7기 5조Kangwook Lee
 
기술8기 2조
기술8기 2조기술8기 2조
기술8기 2조Kangwook Lee
 
분석6기 4조
분석6기 4조분석6기 4조
분석6기 4조Kangwook Lee
 
기술5기 1조
기술5기 1조기술5기 1조
기술5기 1조Kangwook Lee
 
기술7기 2조
기술7기 2조기술7기 2조
기술7기 2조Kangwook Lee
 
분석8기 4조
분석8기 4조분석8기 4조
분석8기 4조Kangwook Lee
 
빅데이터 구축 사례
빅데이터 구축 사례빅데이터 구축 사례
빅데이터 구축 사례Taehyeon Oh
 
NiFi 시작하기
NiFi 시작하기NiFi 시작하기
NiFi 시작하기Byunghwa Yoon
 
빅데이터전문가교육 3학기 1
빅데이터전문가교육 3학기 1빅데이터전문가교육 3학기 1
빅데이터전문가교육 3학기 1Kangwook Lee
 
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법datasciencekorea
 
트렌드분석사례 마인즈랩 축제페스티벌
트렌드분석사례 마인즈랩 축제페스티벌트렌드분석사례 마인즈랩 축제페스티벌
트렌드분석사례 마인즈랩 축제페스티벌Taejoon Yoo
 
INFRASTRUCTURE
INFRASTRUCTUREINFRASTRUCTURE
INFRASTRUCTURELee Sangboo
 
RHive tutorial - Installation
RHive tutorial - InstallationRHive tutorial - Installation
RHive tutorial - InstallationAiden Seonghak Hong
 
Storm - understand by coding
Storm - understand by codingStorm - understand by coding
Storm - understand by codingTaewoo Kim
 
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)성호(Kevin) 나
 
기술사 답안작성 방법_102회 실전답안 중심으로
기술사 답안작성 방법_102회 실전답안 중심으로기술사 답안작성 방법_102회 실전답안 중심으로
기술사 답안작성 방법_102회 실전답안 중심으로Insik Shin
 
R_datamining
R_dataminingR_datamining
R_datamining주영 송
 
[경북] I'mcloud information
[경북] I'mcloud information[경북] I'mcloud information
[경북] I'mcloud informationstartupkorea
 
스톰 미리보기
스톰 미리보기스톰 미리보기
스톰 미리보기June Yi
 
Storm - parallel and distributed
Storm - parallel and distributedStorm - parallel and distributed
Storm - parallel and distributedTaewoo Kim
 
빅데이터 개요
빅데이터 개요빅데이터 개요
빅데이터 개요beom kyun choi
 
빅데이터 기본개념
빅데이터 기본개념빅데이터 기본개념
빅데이터 기본개념현주 유
 
Real-time Big Data Analytics Practice with Unstructured Data
Real-time Big Data Analytics Practice with Unstructured DataReal-time Big Data Analytics Practice with Unstructured Data
Real-time Big Data Analytics Practice with Unstructured DataTed Won
 
빅데이터, big data
빅데이터, big data빅데이터, big data
빅데이터, big dataH K Yoon
 
빅데이터 분석활용 가이드 (1)
빅데이터 분석활용 가이드 (1)빅데이터 분석활용 가이드 (1)
빅데이터 분석활용 가이드 (1)Kangwook Lee
 
Storm 훑어보기
Storm 훑어보기Storm 훑어보기
Storm 훑어보기beom kyun choi
 
Realtime Big data Anaytics and Exampes of Daum (2013)
Realtime Big data Anaytics and Exampes of Daum (2013)Realtime Big data Anaytics and Exampes of Daum (2013)
Realtime Big data Anaytics and Exampes of Daum (2013)Channy Yun
 
빅데이터
빅데이터빅데이터
빅데이터Kangwook Lee
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensicsINSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)INSIGHT FORENSIC
 

Mais conteúdo relacionado

Destaque

빅데이터전문가교육 3학기 1
빅데이터전문가교육 3학기 1빅데이터전문가교육 3학기 1
빅데이터전문가교육 3학기 1Kangwook Lee
 
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법datasciencekorea
 
트렌드분석사례 마인즈랩 축제페스티벌
트렌드분석사례 마인즈랩 축제페스티벌트렌드분석사례 마인즈랩 축제페스티벌
트렌드분석사례 마인즈랩 축제페스티벌Taejoon Yoo
 
Storm - understand by coding
Storm - understand by codingStorm - understand by coding
Storm - understand by codingTaewoo Kim
 
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)성호(Kevin) 나
 
기술사 답안작성 방법_102회 실전답안 중심으로
기술사 답안작성 방법_102회 실전답안 중심으로기술사 답안작성 방법_102회 실전답안 중심으로
기술사 답안작성 방법_102회 실전답안 중심으로Insik Shin
 
[경북] I'mcloud information
[경북] I'mcloud information[경북] I'mcloud information
[경북] I'mcloud informationstartupkorea
 
스톰 미리보기
스톰 미리보기스톰 미리보기
스톰 미리보기June Yi
 
Storm - parallel and distributed
Storm - parallel and distributedStorm - parallel and distributed
Storm - parallel and distributedTaewoo Kim
 
빅데이터 기본개념
빅데이터 기본개념빅데이터 기본개념
빅데이터 기본개념현주 유
 
Real-time Big Data Analytics Practice with Unstructured Data
Real-time Big Data Analytics Practice with Unstructured DataReal-time Big Data Analytics Practice with Unstructured Data
Real-time Big Data Analytics Practice with Unstructured DataTed Won
 
빅데이터, big data
빅데이터, big data빅데이터, big data
빅데이터, big dataH K Yoon
 
빅데이터 분석활용 가이드 (1)
빅데이터 분석활용 가이드 (1)빅데이터 분석활용 가이드 (1)
빅데이터 분석활용 가이드 (1)Kangwook Lee
 
Realtime Big data Anaytics and Exampes of Daum (2013)
Realtime Big data Anaytics and Exampes of Daum (2013)Realtime Big data Anaytics and Exampes of Daum (2013)
Realtime Big data Anaytics and Exampes of Daum (2013)Channy Yun
 

Destaque (20)

빅데이터전문가교육 3학기 1
빅데이터전문가교육 3학기 1빅데이터전문가교육 3학기 1
빅데이터전문가교육 3학기 1
 
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
온라인 물가지수 분석을 위한 빅데이터 융합분석 방법
 
트렌드분석사례 마인즈랩 축제페스티벌
트렌드분석사례 마인즈랩 축제페스티벌트렌드분석사례 마인즈랩 축제페스티벌
트렌드분석사례 마인즈랩 축제페스티벌
 
INFRASTRUCTURE
INFRASTRUCTUREINFRASTRUCTURE
INFRASTRUCTURE
 
RHive tutorial - Installation
RHive tutorial - InstallationRHive tutorial - Installation
RHive tutorial - Installation
 
Storm - understand by coding
Storm - understand by codingStorm - understand by coding
Storm - understand by coding
 
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
빅데이터 아카데미 연말평가발표자료 분석5기 우수팀(최종)
 
기술사 답안작성 방법_102회 실전답안 중심으로
기술사 답안작성 방법_102회 실전답안 중심으로기술사 답안작성 방법_102회 실전답안 중심으로
기술사 답안작성 방법_102회 실전답안 중심으로
 
R_datamining
R_dataminingR_datamining
R_datamining
 
[경북] I'mcloud information
[경북] I'mcloud information[경북] I'mcloud information
[경북] I'mcloud information
 
스톰 미리보기
스톰 미리보기스톰 미리보기
스톰 미리보기
 
Storm - parallel and distributed
Storm - parallel and distributedStorm - parallel and distributed
Storm - parallel and distributed
 
빅데이터 개요
빅데이터 개요빅데이터 개요
빅데이터 개요
 
빅데이터 기본개념
빅데이터 기본개념빅데이터 기본개념
빅데이터 기본개념
 
Real-time Big Data Analytics Practice with Unstructured Data
Real-time Big Data Analytics Practice with Unstructured DataReal-time Big Data Analytics Practice with Unstructured Data
Real-time Big Data Analytics Practice with Unstructured Data
 
빅데이터, big data
빅데이터, big data빅데이터, big data
빅데이터, big data
 
빅데이터 분석활용 가이드 (1)
빅데이터 분석활용 가이드 (1)빅데이터 분석활용 가이드 (1)
빅데이터 분석활용 가이드 (1)
 
Storm 훑어보기
Storm 훑어보기Storm 훑어보기
Storm 훑어보기
 
Realtime Big data Anaytics and Exampes of Daum (2013)
Realtime Big data Anaytics and Exampes of Daum (2013)Realtime Big data Anaytics and Exampes of Daum (2013)
Realtime Big data Anaytics and Exampes of Daum (2013)
 
빅데이터
빅데이터빅데이터
빅데이터
 

Semelhante a 기술6기 3조

(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensicsINSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)INSIGHT FORENSIC
 
DeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun Kim
DeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun KimDeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun Kim
DeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun KimGruter
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detectionIlsun Choi
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온시온시큐리티
 
한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개
한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개
한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개HANCOM MDS
 
(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part iINSIGHT FORENSIC
 
(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part iINSIGHT FORENSIC
 
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중ymtech
 
정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드Logpresso
 
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장eungjin cho
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장eungjin cho
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론Youngjun Chang
 
서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...
서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...
서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...Jemin Huh
 

Semelhante a 기술6기 3조 (20)

(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
DeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun Kim
DeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun KimDeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun Kim
DeView2013 Big Data Platform Architecture with Hadoop - Hyeong-jun Kim
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detection
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
 
한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개
한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개
한컴MDS_Splunk 기반의 빅데이터 활용 사례 소개
 
(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i
 
(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i
 
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
 
정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드
 
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...
서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...
서비스 모니터링 구현 사례 공유 - Realtime log monitoring platform-PMon을 ...
 

Mais de Kangwook Lee

Editing textvariables
Editing textvariablesEditing textvariables
Editing textvariablesKangwook Lee
 
Subsetting andsorting
Subsetting andsortingSubsetting andsorting
Subsetting andsortingKangwook Lee
 
Readingfromothersources
ReadingfromothersourcesReadingfromothersources
ReadingfromothersourcesKangwook Lee
 

Mais de Kangwook Lee (20)

분석5기 4조
분석5기 4조분석5기 4조
분석5기 4조
 
Apply교육
Apply교육Apply교육
Apply교육
 
Editing textvariables
Editing textvariablesEditing textvariables
Editing textvariables
 
Summarizing data
Summarizing dataSummarizing data
Summarizing data
 
Subsetting andsorting
Subsetting andsortingSubsetting andsorting
Subsetting andsorting
 
Readingfromothersources
ReadingfromothersourcesReadingfromothersources
Readingfromothersources
 
Readingfromapis
ReadingfromapisReadingfromapis
Readingfromapis
 
Reading files4
Reading files4Reading files4
Reading files4
 
Reading files3
Reading files3Reading files3
Reading files3
 
Reading files2
Reading files2Reading files2
Reading files2
 
Reading files1
Reading files1Reading files1
Reading files1
 
Down loadingfiles
Down loadingfilesDown loadingfiles
Down loadingfiles
 
9
99
9
 
8
88
8
 
7
77
7
 
6
66
6
 
5
55
5
 
4
44
4
 
3
33
3
 
2
22
2
 

기술6기 3조

  • 1. 빅데이터 기술전문가 6기 3조 (Audit Log Analysis) 조원 : 김용문, 김태형, 윤재문, 김종회, 정하권
  • 2. 목차 1. 개요 2. 적용기술 3. 시스템 구성 4. 수집 데이터 5. 분석 결과 6. 기대효과
  • 3. 1. 개요 • 프로젝트 명: Windows Server Audit Log Analysis • 대상고객 : Windows Server를 운영하는 모든 고객 • 프로젝트 목적 : Windows Server의 Audit Log를 수집하고 통합 분석하여 보안 위협 요소를 사전 에 발견하고 대응 함. • 가정 • 사내 중요서비스가 Windows Server로 운영됨 • 중요 Windows Server의 감사 이벤트 로그들이 관리되고 있지 않음
  • 4. 2. 적용기술 • 기술 구성 – 데이터 수집/가공 기술 (LogStash) – 메시지 Queue (Redis) – 실시간 데이터 처리 기술 (Storm) – 데이터 저장 및 검색 기술 (Elastic Search) 로그수집 메시지 큐 로그검색/저장 로그분석 LogStash Elastic Search StormRedis
  • 5. 2. 적용기술 • 로그 수집 : Logstash • 분산 메시지 큐: Redis • 로그 수집 설치 서버 : Windows Server 2012 R2 • 수집 로그 : Windows Server Audit Event Log • 계정로그온 (자격증명 유효성, 계정 로그온 이벤트) • 계정관리 (사용자, 보안그룹, 컴퓨터, 메일그룹 관리 감사) • 로그온/로그오프 (로그온, 로그오프, 특수로그온, 계정잠금 감사) • 개체액세스 (파일공유, 파일 시스템, 레지스트리, 이동식 저장소 감사) • 권한사용 (중요한 권한 사용 감사) • 정책변경 (인증정책, 감사정책, 권한부여 정책 변경 감사) • 시스템 (시스템 무결성 감사, 보안상태 변경 감사) • 로그 전달 간격 : Event 발생 즉시
  • 6. 2. 적용기술 • 로그 저장 및 검색 : Elastic Search(ES) • 로그 저장 및 검색 방식 • Logstash로 전달된 로그를 Elastic Search에 저장 • ES의 Plugin(Kibana)을 통한 로그 검색
  • 7. 2. 적용 기술 • 로그 분석 : Storm • 로그 수집 및 출력상태 실시간 처리 및 표시 • 실시간 로그 분석 내용 • 사용자 액세스 이상 탐지 • 시스템 변경 이상 감지 • 중요파일 액세스 감지 • 확장을 고려해 분산처리 진행 Redis Storm Elastic Search
  • 8. 3. 시스템 구성 • 시스템 구성 (초기 설계)
  • 9. 3. 시스템 구성 • 시스템 구성 (데이터 수집/가공) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Redis Forward F O
  • 10. 3. 시스템 구성 • 시스템 구성 (메시지 Queue= 데이터 버스) Source LogStash Redis Elastic Search Storm Bolt Storm Spout publish Subscribe 1 : N
  • 11. 3. 시스템 구성 • 시스템 구성 (실시간 데이터 처리 기술) Source LogStash Redis Elastic Search Storm Bolt Storm Spout
  • 12. 3. 시스템 구성 • 시스템 구성 (데이터 저장 및 검색) Source LogStash Redis Elastic Search Storm Bolt Storm Spout O FI I Windows Audit Event Event Log Filter Elastic Search Forward F O
  • 13. 3. 시스템 구성 • 시스템 구성 (최종) Source LogStash Redis Elastic Search Storm Bolt Storm Spout Local 97 97 99 100 100 101
  • 14. 4. 수집 데이터 Windows Local Security Audit Policy (Ex : Audit account logon events)
  • 15. 4. 수집 데이터 Audit account Failed logon events(Ex : Status = 0xC000006A )
  • 19. 5. 분석 결과 • Storm Console Test 출력결과 : 이전 3초동안 시도한 Client의 실패 Count
  • 20. 6. 기대효과 • Compliance 측면에서의 로그 통합관리 • 계정 및 개체 접근의 실시간 감시를 통한 내부 정보 유출 위협 예방 • 실시간 로그온 시스템 이벤트를 감시를 통한 시스템 침입 위협 예방 • 실시간 정책 변경 감사 관리를 통한 시스템 변조 위협 예방
  • 21. 별첨 • Logstash 설치 및 구성 • Redis 설치 및 구성 • Elastic Search 설치 및 구성 • Storm 소스 파일