빅데이터 기술전문가 6기 3조 (Audit Log Analysis)

조원 : 김용문, 김태형, 윤재문, 김종회, 정하권

목차

1. 개요

2. 적용기술

3. 시스템 구성

4. 수집 데이터

5. 분석 결과

6. 기대효과

1. 개요

• 프로젝트 명: Windows Server Audit Log Analysis

• 대상고객 : Windows Server를 운영하는 모든 고객

• 프로젝트 목적 : Windows Server의 Audit Log를 수집하고 통합 분석하여 보안 위협 요소를 사전 에 발견하고 대응 함.

• 가정

• 사내 중요서비스가 Windows Server로 운영됨

• 중요 Windows Server의 감사 이벤트 로그들이 관리되고 있지 않음

2. 적용기술

• 기술 구성

– 데이터 수집/가공 기술 (LogStash)

– 메시지 Queue (Redis)

– 실시간 데이터 처리 기술 (Storm)

– 데이터 저장 및 검색 기술 (Elastic Search)

로그수집 메시지 큐 로그검색/저장 로그분석

LogStash Elastic Search Storm Redis

2. 적용기술

• 로그 수집 : Logstash

• 분산 메시지 큐: Redis

• 로그 수집 설치 서버 : Windows Server 2012 R2

• 수집 로그 : Windows Server Audit Event Log • 계정로그온 (자격증명 유효성, 계정 로그온 이벤트)

• 계정관리 (사용자, 보안그룹, 컴퓨터, 메일그룹 관리 감사)

• 로그온/로그오프 (로그온, 로그오프, 특수로그온, 계정잠금 감사)

• 개체액세스 (파일공유, 파일 시스템, 레지스트리, 이동식 저장소 감사)

• 권한사용 (중요한 권한 사용 감사)

• 정책변경 (인증정책, 감사정책, 권한부여 정책 변경 감사)

• 시스템 (시스템 무결성 감사, 보안상태 변경 감사)

• 로그 전달 간격 : Event 발생 즉시

2. 적용기술

• 로그 저장 및 검색 : Elastic Search(ES)

• 로그 저장 및 검색 방식

• Logstash로 전달된 로그를 Elastic Search에 저장

• ES의 Plugin(Kibana)을 통한 로그 검색

2. 적용 기술

• 로그 분석 : Storm

• 로그 수집 및 출력상태 실시간 처리 및 표시

• 실시간 로그 분석 내용

• 사용자 액세스 이상 탐지

• 시스템 변경 이상 감지

• 중요파일 액세스 감지

• 확장을 고려해 분산처리 진행

Redis Storm Elastic Search

3. 시스템 구성

• 시스템 구성 (초기 설계)

3. 시스템 구성

• 시스템 구성 (데이터 수집/가공)

Source

LogStash

Redis

Elastic Search

Storm Bolt

Storm Spout

O

F I

I Windows Audit Event

Event Log Filter

Redis Forward

F

O

3. 시스템 구성

• 시스템 구성 (메시지 Queue= 데이터 버스)

Source

LogStash

Redis

Elastic Search

Storm Bolt

Storm Spout

publish

Subscribe

1 : N

3. 시스템 구성

• 시스템 구성 (실시간 데이터 처리 기술)

Source

LogStash

Redis

Elastic Search

Storm Bolt

Storm Spout

3. 시스템 구성

• 시스템 구성 (데이터 저장 및 검색)

Source

LogStash

Redis

Elastic Search

Storm Bolt

Storm Spout

O

F I

I Windows Audit Event

Event Log Filter

Elastic Search Forward

F

O

3. 시스템 구성

• 시스템 구성 (최종)

Source

LogStash

Redis

Elastic Search

Storm Bolt

Storm Spout

Local

97

97 99

100 100

101

4. 수집 데이터

Windows Local Security Audit Policy (Ex : Audit account logon events)

4. 수집 데이터

Audit account Failed logon events(Ex : Status = 0xC000006A )

4. 수집 데이터

4. 수집 데이터

5. 분석 결과

5. 분석 결과

• Storm Console Test 출력결과 : 이전 3초동안 시도한 Client의 실패 Count

6. 기대효과

• Compliance 측면에서의 로그 통합관리

• 계정 및 개체 접근의 실시간 감시를 통한 내부 정보 유출 위협 예방

• 실시간 로그온 시스템 이벤트를 감시를 통한 시스템 침입 위협 예방

• 실시간 정책 변경 감사 관리를 통한 시스템 변조 위협 예방

별첨

• Logstash 설치 및 구성

• Redis 설치 및 구성

• Elastic Search 설치 및 구성

• Storm 소스 파일