윈도우

"SIEM과 SOAR로 모자랄 때" 윈도우 서버에서 이벤트 수집을 활성화하는 방법

Tim Ferrill | CSO 2022.12.22
이벤트 로그는 시스템에서 발생하는 소프트웨어 및 하드웨어 이벤트에 대한 정보를 등록하는 컴퓨터 보안 팀의 핵심 무기다. 윈도우 서버는 현재 여러 버전의 서로 다른 시스템에서 중앙 이벤트 로그 서버로 시스템 이벤트 로그를 집계하기 위한 윈도우 이벤트 전달(WEF)을 제공해왔다.

하이엔드 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM) 또는 보안/오케스트레이션/자동화/대응(Security, Orchestration, Automation, and Response, SOAR) 시스템은 로그 이벤트 데이터를 수집하고 상관 관계를 파악할 수 있을 뿐만 아니라 컨텍스트를 추가하고 심층 분석을 수행하며 사고 대응을 시작할 수 있기 때문에 엔터프라이즈 환경에서 이상적이다.
 
ⓒ Getty Images Bank
 

SIEM과 SOAR로 충분하지 않은 경우

타사 SIEM 도구로는 이벤트 로그 요구사항을 모두 충족하지 못하는 경우가 많다. 보통은 단순히 비용 문제다. SIEM과 SOAR 도구의 가격은 각각 다르지만, 모니터링되는 호스트, 수집되는 이벤트 데이터 볼륨, 사용자 수 또는 분석을 위한 CPU 사용 비용의 일부 조합에 따르는 경우가 많다. 

엔터프라이즈 이벤트 로그 시스템 액세스가 부족한 두 번째 보안이다. 이벤트 로그 데이터에는 시스템 구성, 호스트 이름, 사용자 이름 및 잠재적으로 시스템 취약성 세부 정보가 포함된다. 이러한 데이터는 악의적인 사용자가 공격의 첫 단계로 시스템을 프로파일링 하는 데 있어서 매우 유용하므로 이벤트 로그 데이터를 보호할 가치가 있는 리소스로 만들 수 있다.

SIEM 유형 솔루션이 이상적이지 않은 세 번째 이유는 인터넷에 액세스할 수 없는 폐쇄형 네트워크에 있다. 보안상 폐쇄형 네트워크가 필요한 이유는 여러 가지다. SIEM 도구는 오프라인에서 사용할 수 있지만 클라우드 지원 제품과 거의 동일한 기능세트를 제공하지는 않는다.
 

윈도우 이벤트 전달

대안으로는 윈RM(Windows Remote Management)을 사용하는 윈도우 이벤트 전달이 있다. 윈RM은 윈도우 파워셸 리모트(Windows PowerShell Remote) 또는 윈도우 관리 센터(Windows Admin Center)와 같은 도구에서 사용하는 프로토콜과 동일하다. 윈RM을 WEF의 기본 기반으로 사용하면 확실한 이점이 있다. 첫째, 현대의 많은 윈도우 네트워크는 이미 윈RM을 활성화하고 구성하도록 되어 있다(서비스 활성화, 권한 관리 등). 둘째, 윈도우 도메인 내의 윈RM 트래픽은 기본적으로 커베로스를 사용하여 암호화되므로 본질적으로 보안 선택지가 된다. 동일한 도메인에 있지 않은 시스템은 설정이 조금 더 복잡하지만 HTTPS 및 인증서를 사용하여 보안을 확보할 수도 있다.

또한 SIEM 또는 SOAR 솔루션과 독립적으로 WEF를 사용할 필요가 없다는 것도 언급할 만하다. 실제로 WEF는 전체 설정을 간소화하기 위해 중앙 로그 서버에 이벤트를 수집하는 첫 번째 단계다. 그룹 정책을 활용하여 전달을 구성한 다음 이벤트를 타사 로깅 솔루션에 제출할 수 있다.
 

이벤트 수집의 전제조건 구성하기

몇 가지 단계를 수행하면 전달된 이벤트를 수신할 수 있는 수집기 서버가 확보될 것이다. 일부 요건은 (몇 가지 요인에 따라) 이미 완료되었을 수도 있지만, 어쨌든 기본적인 순서는 다음과 같다.

첫 번째 단계는 윈RM가 작동하도록 활성화하고 구성하는 것이다. 여기에는 서비스가 시작되고 올바른 시작 유형으로 구성되었는지 확인하고, 윈RM 수신기를 만들고, 윈도우 방화벽에서 예외를 구성하고, 사용 권한을 설정하는 것 등이 포함된다. 단일 컴퓨터에서 이 모든 작업을 수행하는 가장 간단한 방법은 상승된 프롬프트에서 Enable-PSRemoting PowerShell cmdlet을 실행하는 것이다. 윈도우 도메인에서는 모든 컴퓨터에서 또는 최소한 모든 서버에서 윈RM을 사용하도록 설정할 수 있으므로 그룹 정책을 사용하여 작업을 처리할 수도 있다.

 Tags 윈도우서버 이벤트로그 기업윈도우관리 SIEM SOAR 윈도우이벤트

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.