보안 모니터링 및 공격 탐지 계획 가이드
부록 A - 불필요한 이벤트 제외
업데이트 날짜: 2005년 5월 23일
다음 표에서는 발생 빈도가 낮고 유용한 정보를 제공하지 않기 때문에 보안 모니터링 쿼리에서 자주 제외되는 이벤트를 나열합니다.
참고: 특정 정보를 감사 대상에서 제외시키면 다소 위험할 수 있으므로 이벤트의 빈도와 분석 에이전트의 결과 로드를 고려하여 이러한 위험 수준을 평가해야 합니다.
표 A.1: 이벤트를 제거하여 저장소 로드 줄이기
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 538 | 사용자 로그오프 | 이 이벤트는 반드시 사용자가 컴퓨터 사용을 중지했음을 나타내지는 않습니다. 예를 들어 사용자가 로그오프하지 않은 채 컴퓨터를 끄거나 공유 위치로의 네트워크 연결이 끊어지면 컴퓨터는 로그오프를 기록하지 않거나 연결이 끊어졌음을 감지할 때만 로그오프를 기록할 수 있습니다. |
| 551 | 사용자가 로그오프 시작 | 로그오프를 확인하는 이벤트 538을 대신 사용하십시오. |
| 562 | 개체에 대한 핸들이 닫힘 | 항상 성공만 기록됩니다. |
| 571 | 권한 부여 관리자에 의해 클라이언트 컨텍스트가 삭제됨 | 권한 부여 관리자를 사용 중인 경우 정상적인 이벤트입니다. |
| 573 | 프로세스가 AuthZ API(권한 부여 응용 프로그래밍 인터페이스)를 통해 비시스템 감사 이벤트 생성 | 일반적인 동작입니다. |
| 577 578 | 권한 서비스 호출, 권한 있는 개체 작업 | 이러한 고용량 이벤트는 일반적으로 발생한 상황을 이해하거나 조치를 취하는 데 필요한 충분한 정보를 포함하지 않습니다. |
| 594 | 개체에 대한 핸들이 복제됨 | 일반적인 동작입니다. |
| 595 | 개체에 대한 간접 액세스 권한 획득 | 일반적인 동작입니다. |
| 596 | 데이터 보호 마스터 키 백업 | 기본 설정을 사용할 경우 90일마다 자동으로 발생합니다. |
| 597 | 데이터 보호 마스터 키 복구 | 일반적인 동작입니다. |
| 624 642 | 사용자가 시스템과 동일한 이벤트 624가 발생한 후 대상 계정 이름이 IUSR_machinename 또는 IWAM_machinename와 같고 호출자 사용자 이름이 machinename$와 같은 642 발생 | 이 연속 이벤트는 관리자가 컴퓨터에 IIS를 설치했음을 나타냅니다. |
| 624 630 642 | 사용자가 시스템과 같고 세 이벤트의 타임 스탬프가 모두 동일하며 새/대상 계정 이름이 HelpAssistant와 같고 호출자 사용자 이름이 DCname$과 같음 | 이 연속 이벤트는 관리자가 Windows Server 2003가 실행되는 컴퓨터에 Active Directory를 설치할 때 생성됩니다. |
| 624 또는 642 | 사용자가 ExchangeServername$과 같고 대상 계정 이름이 GUID(Globally Unique Identifier)임 | 이 이벤트는 Exchange Server가 처음 온라인 상태가 되어 시스템 사서함을 자동으로 생성할 때 발생합니다. |
| 624 | 호출자 사용자 이름이 임의의 사용자이고 새 계정 이름이 machinename$과 같음 | 도메인의 사용자가 도메인에 새 컴퓨터 계정을 만들었거나 연결했습니다. 이 이벤트는 사용자가 도메인에 컴퓨터를 가입시킬 권한이 있는 경우에는 허용되고 그렇지 않은 경우에는 조사가 필요합니다. |
| 627 | 사용자가 시스템과 같고 대상 계정 이름이 TsInternetUser와 같고 호출자 사용자 이름이 보통 DCname$임 | 이러한 이벤트는 터미널 서비스가 실행되는 컴퓨터가 정상적으로 동작할 때 발생합니다. |
| 672 | Kerberos AS 티켓 요청 | 모든 컴퓨터에서 로그온 이벤트 528 및 540을 수집하는 경우 이벤트 672는 단지 Kerberos TGT가 부여되었음을 기록하므로 유용한 정보를 포함하지 않을 것입니다. 또한 액세스가 발생하려면 서비스 티켓이 부여되어야 합니다(이벤트 673). |
| 680 | 계정 로그온 | 모든 컴퓨터에서 로그온 이벤트 528 및 540을 수집하는 경우 이벤트 680은 계정 자격 증명의 유효성 검사만 기록하므로 유용한 정보를 포함하지 않을 것입니다. 사용자가 액세스한 대상은 별도의 로그온 이벤트에 기록됩니다. |
| 697 | 암호 정책 확인 API 호출 | 일반적인 동작입니다. |
| 768 | 포리스트 네임스페이스 충돌 | 보안과 관련이 없습니다. |
| 769 770 771 | 트러스트된 포리스트 정보 추가, 삭제 또는 수정 | 이러한 이벤트는 포리스트 간 트러스트가 정상적으로 작동함을 의미합니다. 이러한 이벤트를 트러스트 자체의 추가, 삭제 또는 수정과 혼동하지 마십시오. |
| 832 - 841 | 다양한 Active Directory 복제 문제 | 보안과 관련이 없습니다. |