보안 모니터링 및 공격 탐지 계획 가이드
4장 - 솔루션 설계
업데이트 날짜: 2005년 5월 23일
이 페이지에서
소개
솔루션 요소
정책 위반 탐지
외부 공격의 식별
법적 분석의 구현
요약
소개
보안 모니터링 및 공격 탐지 시스템에 대한 계획을 작성하는 최종 단계는 솔루션 요구 사항을 처리하는 솔루션을 설계하는 것입니다. 이 솔루션 설계는 다음과 같이 정의된 세 가지 시나리오에 대한 문제점을 고려해야 합니다.
정책 위반 탐지
외부 공격의 식별
법적 분석의 구현
솔루션의 기본 목적은 공격을 식별하고 파악하는 것이므로 이 장에서는 주로 공격이 진행 중임을 나타낼 수 있는 이벤트에 대해 설명합니다. 이러한 공격 프로필은 3장, "문제 및 요구 사항"에 나오는 각 시나리오에 대한 보안 문제와 연결됩니다. 이 솔루션의 정확한 구현은 조직의 네트워크 토폴로지에 따라 달라집니다.
솔루션 요소
솔루션 설계에서는 세 가지 시나리오에 대해 동일한 기본 구성 요소를 사용합니다. 법적 요인을 분석하려면 온라인, 오프라인 및 보관 저장소에 대한 추가 리소스가 필요하지만 해당 솔루션 아키텍처는 다른 두 시나리오에 대한 구현과 크게 다르지 않습니다.
솔루션 개념
보안 모니터링 및 공격 탐지에 대한 솔루션 개념을 구축하려면 다음 영역에 대해 적절한 보안 감사 수준을 검토하고 계획해야 합니다.
사용자 만들기 및 그룹에 사용자 추가 등과 같은 계정 관리 작업
보호된 파일에 대한 액세스
보안 정책 변경
트러스트 생성 및 삭제
사용자 권한 사용
시스템 다시 시작 및 시스템 시간 변경
레지스트리 설정 변경
알 수 없는 프로그램 실행
보안 모니터링 및 공격 탐지 시스템은 보안 이벤트 로그에서 정보를 수집하고 이 정보를 중앙에 통합합니다. 관리자는 이 데이터를 분석하여 의심스러운 활동이 있는지 확인할 수 있습니다. 또한 나중에 법적 분석에 사용하기 위해 정보를 저장하고 보관할 수 있습니다.
이 솔루션의 주요 구성 요소는 Microsoft Windows Server 2003 서비스 팩 1(SP1)과 Microsoft Windows XP 서비스 팩 2(SP2)의 기능인 사용자 기준 감사를 구성하는 기능입니다. 사용자 기준 감사를 사용하면 의심스러운 사람이나 중요한 계정에 대해 더 높은 감사 수준을 지정하는 등 특정 사용자 계정에 대해 다른 감사 수준을 지정할 수 있습니다.
솔루션 전제 조건
보안 모니터링 및 공격 탐지 시스템 구성의 솔루션 전제 조건은 다음과 같습니다.
서버는 Active Directory 디렉터리 서비스 도메인의 일부로 Windows Server 2003 SP1 이상을 실행해야 합니다.
클라이언트 컴퓨터는 Active Directory 도메인의 구성원으로 Windows XP 서비스 팩 2 이상을 실행해야 합니다.
참고: 주변 네트워크의 컴퓨터가 도메인이 아닌 작업 그룹의 구성원일 수도 있으므로 이러한 컴퓨터는 Active Directory 그룹 정책 설정으로 구성할 수 없습니다. 그러나 로컬 정책 및 템플릿 파일을 사용하여 이러한 컴퓨터를 구성할 수 있습니다.
이 가이드에서는 보안 이벤트를 중앙에 통합하는 특정 기술을 권장하지 않으며 대신 공격의 징후를 식별하는 데 주안점을 둡니다. 적절한 수집 메커니즘을 결정한 후에 이 장에서 설명하는 이벤트 및 이벤트 시퀀스를 사용하여 공격을 식별하는 쿼리를 만들 수 있습니다.
솔루션 계획
보안 모니터링 및 공격 탐지 시스템을 구현하기 전에 다음을 수행해야 합니다.
현재 보안 감사 설정을 검토합니다.
관리자 역할 및 사용자 작업을 평가합니다.
조직의 정책 및 절차를 검토합니다.
취약한 컴퓨터를 식별합니다.
고가치 자산을 식별합니다.
중요하거나 의심스러운 계정을 식별합니다.
허가된 프로그램을 식별합니다.
저장소 요구 사항에 대한 자세한 내용은 이 장 뒷부분의 "법적 분석의 구현" 섹션을 참조하십시오.
현재 보안 감사 설정 검토
조직에서는 현재의 보안 감사 및 보안 이벤트 로그 파일 설정을 검토하여 이 장에서 권장하는 변경 작업의 기준을 제공해야 합니다. 검토할 사항은 다음과 같습니다.
현재 적용되는 보안 감사 설정
이러한 설정이 적용되는 수준(로컬 컴퓨터, 사이트, 도메인 또는 조직 구성 단위)
현재 로그 파일 설정(크기 및 최대 로그 크기에 도달할 때의 동작)
적용되는 추가 보안 감사 설정(예: 백업 및 복원 권한의 사용 감사)
부록 B, "그룹 정책 설정 구현"을 참조하여 기록해야 하는 설정을 식별할 수 있습니다. 보안 감사 설정에 대한 자세한 내용은 Windows Server 2003 Security Guide (영문)을 참조하십시오.
관리자 역할 및 사용자 작업 평가
효과적인 보안 모니터링을 구현하기 위한 핵심 요소는 담당 관리자와 관리자가 수행하는 역할 및 책임을 파악하는 것입니다. 예를 들어 대부분의 조직에는 Domain Admins 그룹의 관리자가 있습니다. 도메인 관리자는 도메인에 새 사용자 계정을 만들 수 있습니다. 그러나 조직 정책은 구축 시스템에서만 새 계정을 만들 수 있도록 지정할 수 있습니다. 이러한 상황에서 관리자가 사용자 계정을 만들면 바로 철저한 검토가 필요합니다.
사용자는 관리자보다 네트워크 리소스에 훨씬 더 적게 액세스하므로 사용자 작업은 좀 더 간단하게 평가할 수 있습니다. 예를 들어 사용자는 일반적으로 주변 네트워크의 컴퓨터 파일 시스템에 액세스할 수 있는 권한이 없으므로 이러한 서버에서 사용자의 활동을 모니터링할 필요는 별로 없습니다.
조직의 정책 및 절차 검토
조직 절차의 검토 작업은 관리자 역할 및 책임의 평가와 동일합니다. 예를 들어 그룹에 사용자를 추가할 때는 신중한 검토가 필요합니다. 관련 부서에서는 변경 요청 절차를 설정하고 이러한 요청의 구현 방법을 정의해야 합니다. 승인된 절차를 따르지 않고 그룹에 사용자를 추가하려는 경우에도 역시 철저한 검토가 필요합니다.
취약한 컴퓨터 식별
취약한 컴퓨터는 외부 공격자가 조직의 네트워크에서 처음으로 액세스를 시도할 가능성이 가장 높은 컴퓨터를 말합니다. 대부분의 공격 시나리오에서 이러한 컴퓨터는 주변 네트워크에 속합니다.
모든 취약한 컴퓨터를 포괄적으로 검토하여 다음을 구현해야 합니다.
모든 서비스 팩 및 보안 업데이트 적용
불필요한 서비스 및 사용자 계정 비활성화
가능한 경우 서비스를 로컬 서비스 또는 네트워크 서비스 계정으로 실행하도록 구성
사용자 계정 자격 증명(특히 관리 권한이 있는 경우)으로 실행되는 서비스에서 사용자 계정을 요구하는지 확인
보안이 강화된 컴퓨터 정책 템플릿 적용
참고: 이 검토 프로세스를 취약한 컴퓨터에만 수행해야 하는 것은 아닙니다. 보안 유지를 위해 네트워크의 모든 컴퓨터에서 이러한 작업을 수행하는 것이 좋습니다.
서비스를 안전하게 실행하는 방법에 대한 자세한 내용은 서비스 및 서비스 계정 보안 계획 가이드를 참조하십시오.
고가치 자산 식별
조직에서 이미 고가치 자산을 식별했을 수도 있지만 이러한 자산 및 각 자산에 대한 보호 체계를 조직 정책의 일부로 문서화할 필요가 있습니다. 예를 들어 기업에서는 ACL(액세스 제어 목록) 및 암호화를 사용하여 NTFS 파일 시스템 파티션에 재무 기록을 안전하게 저장할 수 있습니다. 그러나 조직 정책에 따라 이러한 레코드를 허가되지 않은 사용자나 관리자가 액세스할 수 없도록 보호된 파일로 식별해야 하며 관리자와 사용자는 이러한 제한 사항을 명확히 알고 있어야 합니다.
조직에서는 이러한 보호된 파일에 대한 ACL 변경 내용을 잘 검토해야 합니다. 특히 소유권 변경은 공격자가 적절한 인증 없이 파일에 액세스를 시도했음을 나타낼 수 있으므로 매우 중요합니다. 소유권 변경은 자주 발생하지 않으므로 쉽게 알아낼 수 있습니다.
중요하거나 의심스러운 계정 식별
모든 중요 계정을 검토하여 더 높은 감사 수준이 필요한 계정을 식별해야 합니다. 이러한 계정에는 기본 Administrator 계정, Enterprise, Schema 및 Domain Admins 그룹의 구성원, 서비스가 로그온하는 데 사용하는 계정이 포함됩니다.
개인의 의심스러운 활동이 포착되면 보안 정책에서 해당 사용자에 대해 더 높은 감사 수준을 요구해야 합니다. 사용자 계정의 감사 수준 변경 방법에 대한 자세한 내용은 이 장 뒷부분의 "선택적 감사 사용" 섹션을 참조하십시오.
허가된 프로그램 식별
공격자는 네트워크에 대한 정보를 알아내기 위해 프로그램을 실행해야 하므로 네트워크에서 실행될 수 있는 프로그램을 제한하면 외부 공격자의 위협을 크게 줄일 수 있습니다. 허가된 모든 프로그램에 대한 감사를 수행해야 하며 알 수 없는 프로그램은 모두 의심스러운 프로그램으로 간주해야 합니다. Microsoft Systems Management Server 2003을 사용하여 대기업 환경에 대한 소프트웨어 감사를 수행할 수 있습니다.
참고: 개발자가 만드는 실행 파일은 승인된 목록에 없으므로 개발자 워크스테이션 같은 특정 컴퓨터에 대해서는 예외를 설정해야 합니다. 보다 안전한 방법은 개발자들이 기업 네트워크에 연결되어 있지 않은 가상 컴퓨터를 사용하여 프로그램을 개발하고 테스트하도록 하는 것입니다.
솔루션 아키텍처
보안 모니터링 및 공격 탐지 솔루션에는 보안 경고를 제공하는 데 필요한 몇 가지 구성 요소가 있습니다. 이러한 구성 요소에는 다음이 포함됩니다.
Active Directory 도메인 컨트롤러
이벤트 상관 관계 인프라
모니터링 및 분석 워크스테이션
온라인 저장소 데이터베이스
백업 미디어
단기 온사이트 보관 저장소
장기 오프사이트 보관 저장소
로컬 보안 설정을 사용하여 보안 감사 수준을 구성할 수도 있기 때문에 Active Directory 도메인 컨트롤러가 반드시 필요한 것은 아닙니다. 그러나 그룹 정책을 사용하여 보안 감사를 구현하려는 경우에는 이 솔루션을 사용할 때 Active Directory가 필요합니다.
솔루션 작동 방식
솔루션 아키텍처 구성 요소는 다음과 같은 방식으로 작동됩니다.
관리자가 그룹 정책 설정을 사용하여 감사 수준에 필요한 변경 내용을 적용합니다. 권장되는 그룹 정책 설정 목록은 부록 B, "그룹 정책 설정 구현"을 참조하십시오.
그룹 정책이 지정된 컴퓨터로 이러한 변경 내용을 전파합니다.
관리자가 주변 네트워크에 있는 컴퓨터처럼 도메인에 속하지 않는 컴퓨터에 대해 로컬 보안 정책의 변경 내용을 적용합니다.
보안 이벤트 로그가 그룹 정책의 설정에 따라 이벤트를 수집합니다.
이벤트 상관 관계 시스템이 정기적으로 보안 이벤트 로그를 검색하고 이 정보를 적절한 데이터베이스에 저장합니다.
보안 관리자가 데이터베이스의 정보를 직접 분석하거나 Lakeside Software의 SysTrack 3과 같은 유틸리티를 사용하여 의심스러운 활동을 식별할 수 있습니다.
법적 분석을 위해 보안 모니터링을 구현하려면 다음과 같은 추가 작업이 필요합니다.
이벤트 상관 관계 시스템이 정기적으로 관련 이벤트를 추출하고 온라인 데이터베이스에 추가합니다.
온라인 데이터베이스의 백업 시스템이 미리 결정된 간격(일반적으로 매일)으로 온라인 데이터베이스에서 레코드를 보관하고 더 이상 사용하지 않는 레코드는 제거합니다.
백업 미디어가 지정된 시간 동안 단기 온사이트 저장소에 남아 있습니다.
정기적으로(일반적으로 매주) 해당 담당자가 이전 백업 미디어를 장기 오프사이트 저장소에 보관합니다.
복원 작업을 담당하는 관리자가 매월 시험 복원을 수행하여 백업이 제대로 작동하는지 확인합니다.
선택적 감사 사용
Windows Server 2003 서비스 팩 1에는 사용자 계정에 대해 선택적 감사 수준을 설정할 수 있는 새로운 기능이 있습니다. 예를 들어 모든 사용자의 로그온 및 로그오프 활동을 감사하고 특정 사용자의 모든 활동을 감사할 수 있습니다. 또는 특정 사용자 계정을 제외한 모든 사용자의 모든 활동을 감사할 수도 있습니다. 선택적 감사 수준을 지정하면 필터링해야 하는 일상적인 이벤트의 수를 줄이거나 의심스러운 개인을 추적할 수 있으며, 보안 또는 메일 그룹이 아닌 사용자 계정만 선택적으로 감사할 수 있습니다.
auditusr.exe 명령줄 유틸리티를 사용하여 선택적 감사 수준을 구현할 수 있습니다. Windows Server 2003 SP1과 Windows XP SP2는 둘 다 이 유틸리티가 있습니다. 사용자 기준 감사를 구성하는 방법에 대한 자세한 내용을 보려면 명령 프롬프트에서 **auditusr.exe /?**를 실행하십시오.
참고: 사용자 기준 감사를 사용할 경우 기본 제공된 Administrators 그룹의 구성원에 대한 이벤트는 제외할 수 없습니다.
정책 위반 탐지
3장, "문제 및 요구 사항"에서는 네트워크의 가장 큰 위협이 조직 내의 내부 사용자에서 비롯된다는 사실을 보여 줍니다. 엄격한 절차에 따라 까다롭게 사원을 뽑는 조직이라도 가장 신뢰할 수 있는 내부 사용자의 감시를 소홀히 해서는 안 됩니다. 이 장에는 다양한 내부 위협 시나리오와 이러한 상황을 탐지하는 방법을 설명합니다.
의도하지 않은 시스템 또는 네트워크 구성 오류는 일반적으로 관리자 작업으로 인해 발생합니다. 예를 들어 한 관리자가 승인 프로세스를 수행한 후 구성 변경을 구현한 다음 올바른 관리자 자격 증명을 사용하여 다른 사용자가 볼 수 있는 워크스테이션에 로그온했다고 가정할 경우 관리자는 자신의 행동을 숨기려고 하지 않았다는 것을 알 수 있습니다. 관리자가 자신의 활동을 숨기려고 하는지 여부와 같은 요인을 통해 우연히 발생한 구성 오류와 고의적인 공격 행위를 구분할 수 있습니다.
참고: 적절한 변경 관리 프로세스를 만들어 구현한 경우 보안 모니터링을 훨씬 더 효과적으로 구현할 수 있습니다. 변경 관리 프로세스가 적절히 구현되지 않으면 확인 기준이 모호하므로 올바른 절차를 사용하여 변경을 수행했는지 파악하기가 훨씬 어렵습니다.
정책을 위반한 공격 행위를 식별하는 능력은 잠재적인 공격을 의미할 수 있는 이벤트 또는 이벤트 시퀀스를 제대로 식별하는가에 따라 좌우됩니다. 이벤트 상관 관계 시스템에서 이 정보를 사용하여 공격 징후를 포착할 수 있습니다.
정책 위반 탐지 작업은 다음과 같은 활동을 감시합니다.
파일 사용 권한을 변경하여 리소스에 액세스
암호를 다시 설정하여 리소스에 액세스
사용자 계정의 작성, 변경 또는 삭제
그룹에 사용자 추가
허가되지 않은 계정 사용 시도
서비스 계정 자격 증명을 사용하여 대화형으로 로그온
허가되지 않은 프로그램 실행
허가되지 않은 리소스에 액세스
허가된 파일 손상(디스크 오류로 인한 손상 제외)
허가되지 않은 운영 체제 도입
다른 사용자의 자격 증명 도용
감사 회피 시도
트러스트 관계 생성 또는 삭제
보안 정책의 허가되지 않은 변경
파일 사용 권한을 변경하여 리소스에 액세스
관리자는 파일의 소유권을 변경한 후 해당 파일에 대한 읽기 권한 목록에 자신을 추가하여 읽기 권한이 없는 파일을 볼 수 있습니다. Windows Server 2003 이상에서는 소유권 및 사용 권한을 원래 상태로 다시 변경하여 이러한 동작을 숨길 수 있습니다.
모든 파일에 대해 개체 액세스 감사를 수행하도록 구성하는 것은 효과적이지 못합니다. 이벤트 수가 너무 많아서 불법 활동을 놓칠 수 있기 때문입니다. 대신 중요한 파일과 이러한 파일이 포함되어 있는 폴더에 대한 모든 액세스 또는 변경 내용을 확인하도록 보안 감사 수준을 설정해야 합니다. ACL 항목만으로는 무단 액세스를 적절히 방지하기 어렵습니다.
불법적인 활동을 효과적으로 막으려면 모든 중요 파일에 대해 다음 요인을 파악해야 합니다.
액세스하려 시도한 대상 개체는 무엇입니까?
어떤 사용자가 액세스를 요청했습니까?
사용자에게 해당 개체에 대한 액세스 권한이 있습니까?
사용자가 어떠한 유형의 액세스(읽기, 쓰기, 나열 등)를 시도했습니까?
이벤트가 성공으로 감사되었습니까 아니면 실패로 감사되었습니까?
사용자가 어떤 컴퓨터에서 액세스를 시도했습니까?
이벤트 뷰어는 이러한 정보를 식별하기 위한 충분한 필터 설정을 제공하지 않으므로 EventComb MT 또는 기타 타사 유틸리티를 사용하여 이러한 분석을 수행해야 합니다.
다음 표에서는 파일 사용 권한 변경으로 인해 야기될 수 있는 감사 이벤트를 보여 줍니다. 감사 범주는 개체 액세스입니다.
표 4.1: 파일 사용 권한 변경 이벤트
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 560 | 기존 개체에 액세스 권한이 부여됨 | 이러한 이벤트는 개체의 나열, 읽기, 작성 및 삭제와 같은 요청에 대해 액세스 권한이 부여되었음을 나타냅니다. 기본 로그온 ID, 클라이언트 사용자 이름 및 기본 사용자 이름 필드를 확인하여 무단으로 파일 사용 권한을 변경하려는 시도를 탐지하십시오. 액세스 필드를 확인하여 작업 유형을 식별하십시오. 이 이벤트는 액세스가 요청되었거나 허가되었음을 나타낼 뿐이며 액세스가 발생했음을 의미하지는 않습니다. 활동 중인 사용자는 클라이언트 사용자(있는 경우)이고 그렇지 않으면 기본 사용자입니다. |
| 567 | 핸들과 연관된 사용 권한이 사용됨 | 이 이벤트는 개체에 대한 특정 액세스 유형(나열, 읽기, 작성 등)이 처음 시도될 때 발생합니다. 이벤트 560과의 연관 관계를 파악하려면 두 이벤트의 핸들 ID 필드를 비교하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 627 | 암호 변경 시도 | 이 이벤트는 사용자가 계정에 이전 암호를 제공하도록 되어 있는 암호 변경 요청 시에 발생합니다. 기본 계정 이름과 대상 계정 이름을 비교하여 암호 변경을 계정 소유자가 시도했는지 아니면 다른 사용자가 시도했는지 확인하십시오. 기본 계정 이름이 대상 계정 이름과 다르면 계정 소유자 이외의 사용자가 암호를 변경하려고 한 것입니다. Microsoft Windows Me 또는 Windows NT가 실행되는 컴퓨터에서는 변경을 요청한 계정을 익명 계정으로 간주하는 것이 일반적입니다. 인증된 사용자가 아닐 수도 있기 때문입니다. 그러나 요청자는 이전 암호를 제공해야 하므로 심각한 보안 위험이 되지는 않습니다. |
| 628 | 사용자 계정 암호 설정 또는 다시 설정 | 사용자나 프로세스가 암호 변경 프로세스가 아닌 Active Directory 사용자 및 컴퓨터 같은 관리 인터페이스를 통해 계정 암호를 다시 설정하는 경우에 기록됩니다. 이 프로세스는 지원 부서 또는 사용자 셀프 서비스 암호 다시 설정과 같이 허가된 프로세스 또는 사용자만 수행해야 합니다. |
| 698 | 디렉토리 서비스 복원 모드 암호 변경 | 누군가가 도메인 컨트롤러에서 디렉토리 서비스 복원 모드 암호를 변경하려고 시도하는 경우에 기록됩니다. 워크스테이션 IP 및 계정 이름을 확인하고 즉시 조사하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 624 | 사용자 계정 만들기 | 허가된 사용자 및 프로세스만 네트워크 계정을 만들어야 합니다. 기본 사용자 이름 필드를 검토하여 허가된 사용자나 프로세스가 계정을 만들었는지 여부를 확인하십시오. 이 이벤트는 관리자가 조직의 정책 지침을 벗어나 계정을 만들었는지 여부도 탐지합니다. |
| 630 | 사용자 계정 삭제 | 허가된 사용자 및 프로세스만 네트워크 계정을 삭제해야 합니다. 이러한 이벤트를 검색하고 기본 계정 이름 필드를 검토하여 허가되지 않은 사용자가 계정을 삭제했는지 확인하십시오. |
| 642 | 사용자 계정 변경 | 이 이벤트는 사용자 계정의 보안 관련 속성 변경 내용 중 이벤트 627 - 630에 해당되지 않는 내용을 기록합니다. |
| 685 | 계정 이름 변경 | 기본 계정 이름이 허가된 사용자나 프로세스에 해당하는지 확인하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 631 - 634 | 보안 사용 글로벌 그룹 변경 | Domain Admins 그룹과 같이 글로벌 또는 광범위한 액세스 권한을 갖는 그룹에 대해 이 이벤트를 검토하여 조직 정책 제한 사항에 위배되는 변경이 수행되지 않도록 하십시오. 그룹 이름은 대상 계정 이름 필드에 있습니다. |
| 635 - 638 | 보안 사용 로컬 그룹 변경 | Administrators, Server Operators 및 Backup Operators와 같은 그룹에 대해 이 이벤트를 검토하여 정책 제한 사항에 위배되는 변경이 수행되지 않도록 하십시오. 그룹 이름은 대상 계정 이름 필드에 있습니다. |
| 639 641 668 | 보안 사용 그룹 변경 | 이러한 이벤트는 삭제, 작성 또는 구성원 변경 이외의 변경 작업이 그룹에 수행되었음을 나타냅니다. 권한 수준이 높은 그룹에 대해 이러한 이벤트를 검토하여 정책 제한 사항에 위배되는 변경이 수행되지 않도록 하십시오. 그룹 이름은 대상 계정 이름 필드에 있습니다. |
| 659 - 662 | 보안 사용 유니버설 그룹 변경 | Enterprise Admins 또는 Schema Admins와 같이 권한 수준이 높은 그룹에 대해 이러한 이벤트를 검토하여 정책 제한 사항에 위배되는 변경이 수행되지 않도록 하십시오. 그룹 이름은 대상 계정 이름 필드에 있습니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 528/540 | 로그온 성공 | 대상 계정 이름이 기본 관리자 계정과 동일한 의심스러운 상황입니다. 그러나 이벤트 528은 일반적인 작업에서 흔히 발생하는 이벤트입니다. |
| 529 | 로그온 실패 — 알 수 없는 사용자 이름 또는 암호 | 대상 계정 이름이 Administrator 또는 이름이 바뀐 기본 관리자 계정과 동일한 로그온 시도를 확인하십시오. 여러 번 실패한 로그온 시도 중 계정 잠금 임계값보다 적게 시도한 경우를 확인하십시오. |
| 531 | 로그온 실패 — 비활성화된 계정 | 이 이벤트는 항상 조사하십시오. 대상 계정 이름 값과 워크스테이션 이름을 확인하십시오. 이 이벤트는 권한 없는 이전 내부 사용자의 로그온 시도를 나타낼 수 있습니다. |
| 532 | 로그온 실패 — 만료된 계정 | 이 이벤트는 항상 조사하십시오. 대상 계정 이름 값과 워크스테이션 이름을 확인하십시오. 이 이벤트는 권한 없는 계약 직원 또는 임시 내부 사용자의 로그온 시도를 나타낼 수 있습니다. |
| 576 | 새 로그온에 특수 권한이 지정됨 | 이 이벤트는 새 로그온 세션이 관리자 액세스 권한을 제공하거나 감사 내역을 무단 변경할 수 있는 권한을 얻을 때마다 나타납니다. 이벤트 528과 이벤트 540의 로그온 ID 필드를 비교하여 두 이벤트의 연관 관계를 파악하십시오. 이벤트 576은 로그온 시 계정이 관리자와 동일한 권한을 얻었는지 여부를 빠르게 확인할 수 있는 방법입니다. 이 방법은 그룹 구성원을 파악하는 것보다 더 쉽습니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 528 | 로그온 성공 – 콘솔 공격 또는 터미널 서비스 | 이벤트 로그에 서비스 계정 또는 로컬 시스템에 대해 로그온 유형 2로 이벤트 528이 기록된 경우, 공격이 진행 중이며 공격자가 서비스 계정의 암호를 얻어 해당 콘솔에 로그온한 것입니다. 이벤트 로그에 로그온 유형 10이 기록된 경우 공격자가 터미널 서비스를 사용하여 로그온한 것입니다. 두 경우 모두 즉각적으로 조사를 수행해야 합니다. |
| 534 | 로그온 실패 — 허용되지 않는 로그온 유형 | 대상 계정 이름, 워크스테이션 이름 및 로그온 유형을 확인하십시오. 이 이벤트는 그룹 정책에서 계정이 대화형 로그온을 수행하지 못하도록 설정되어 있는 경우 서비스 계정 자격 증명을 사용하여 대화형으로 로그온하려는 시도가 실패했음을 나타냅니다. |
| 600 | 프로세스에 기본 토큰이 할당됨 | 이 이벤트는 서비스가 명명된 계정을 사용하여 Windows XP 이상이 실행되는 컴퓨터에 로그온할 때 발생합니다. 이 이벤트와 이벤트 672, 673, 528, 592의 연관 관계를 파악하십시오. |
| 601 | 사용자가 서비스를 설치하려고 시도함 | 서비스의 설치는 일상적으로 수행되는 작업이 아니므로 이 이벤트는 아주 드물게 발생합니다. 이 이벤트의 모든 성공 및 실패 결과를 조사해야 합니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 592 | 새 프로세스 만들기 | 새 프로세스에 대한 이미지 파일 이름과 사용자 이름을 확인하십시오. 모든 프로세스는 허가된 프로그램 목록에 속해 있어야 합니다. |
| 602 | 예약된 작업 만들기 | 대상 이름을 확인하여 예약된 프로세스를 실행할 권한이 있는지 확인하고 작업 시간을 확인하여 알려진 작업 일정과의 이벤트 상관 관계를 파악하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 560 | 기존 개체에 대한 액세스가 거부됨 | 감사 실패를 모니터링하십시오. 액세스된 리소스에 대한 개체 이름 필드를 확인하십시오. 기본 사용자 이름 및 기본 도메인 필드 또는 클라이언트 사용자 이름 및 클라이언트 도메인 필드와의 연관 관계를 파악하십시오. |
| 568 | 감사된 파일에 대한 하드 링크를 만들려고 시도함 | 이 이벤트는 사용자나 프로그램이 파일 또는 개체에 대한 하드 링크를 만들려고 시도할 때 발생합니다. 사용자가 하드 링크를 만들면 감사 내역을 만들지 않고도 자신의 권한 내에서 파일을 조작할 수 있습니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 529 | 로그온 실패 — 알 수 없는 사용자 이름 또는 암호 | 대상 계정 이름이 Administrator이고 도메인 이름을 알 수 없거나 대상 계정 이름이 루트인 로그온 시도를 확인하십시오. |
| 592 | 새 프로세스 만들기 | 새 프로세스에 대한 이미지 파일 이름 및 사용자 이름을 확인하십시오. 모든 프로세스는 허가된 프로그램이어야 합니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 512 | Windows가 시작됨 | 일반적으로 이벤트 513 이후에 나타납니다. 예상치 못한 시스템 다시 시작에 대해 조사하십시오. |
| 513 | Windows가 종료됨 | 일반적으로 이벤트 512 이후에 나타납니다. 중요한 컴퓨터에서는 허가된 직원이 정책에 따라 컴퓨터를 다시 시작해야 합니다. 이 이벤트가 서버에서 발생하면 즉시 조사를 수행해야 합니다. |
| 516 | 감사 실패 | 이 이벤트는 보안 이벤트가 너무 많이 발생하여 이벤트 로그 버퍼가 넘칠 때 발생할 수 있습니다. 감사할 이벤트 수를 제한하십시오. 이 이벤트는 기존 로그를 덮어쓰지 않도록 보안 로그를 구성할 경우에도 발생할 수 있습니다. 높은 감사 로그 수준을 유지해야 하는 구역에 있는 컴퓨터는 철저히 모니터링해야 합니다. 보안 설정으로 인해 보안 로그가 꽉 찰 때 일부 컴퓨터가 종료될 수 있습니다. 보안이 필요한 모든 컴퓨터에서 이벤트 516을 모니터링하십시오. |
| 517 | 보안 이벤트 로그 지우기 | 관리자는 인증 없이 보안 이벤트 로그를 지워서는 안 됩니다. 클라이언트 사용자 이름 및 클라이언트 도메인을 확인한 후 허가된 직원과의 연관 관계를 파악하십시오. |
| 520 | 시스템 시간 변경 | 이 동작이 수행되면 법적 조사가 잘못 진행되거나 공격자가 거짓 알리바이를 확보할 수 있습니다. 프로세스 이름은 %windir %\system32\svchost.exe입니다. 클라이언트 사용자 이름 및 클라이언트 도메인을 확인한 후 허가된 직원과의 연관 관계를 파악하십시오. |
| 521 | 이벤트를 기록할 수 없음 | Windows에서 보안 이벤트 로그에 이벤트를 쓸 수 없습니다. 중요한 컴퓨터에서 이 이벤트가 발생할 경우 즉시 조사를 수행해야 합니다. |
| 608 | 사용자 계정 권한이 할당됨 | 이 동작으로 인해 사용자 계정에 새 권한이 부여됩니다. 이벤트 로그는 사용자 계정 이름이 아닌 사용자 계정 SID(보안 식별자)와 함께 이 동작을 기록합니다. |
| 609 | 사용자 계정 권한이 제거됨 | 이 동작으로 인해 사용자 계정 권한이 제거됩니다. 이벤트 로그는 사용자 계정 이름이 아닌 사용자 계정 SID와 함께 이 동작을 기록합니다. |
| 612 | 감사 정책 변경 | 이 이벤트가 발생했다고 해서 항상 문제가 있는 것은 아닙니다. 그러나 공격자가 컴퓨터 시스템 공격의 일부로 감사 정책을 변경할 수도 있으므로 중요한 컴퓨터 및 도메인 컨트롤러에서는 이 이벤트를 모니터링해야 합니다. |
| 621 | 계정에 시스템 액세스 권한이 부여됨 | 사용자에게 시스템 액세스 권한이 부여되었습니다. 사용자 이름 및 수정된 계정을 확인하십시오. 특히 액세스 권한이 대화형인 경우 반드시 확인해야 합니다. |
| 622 | 계정에서 시스템 액세스 권한이 제거됨 | 이 이벤트는 공격자가 이벤트 621의 증거를 없앴거나 다른 계정에 대한 서비스를 거부하려고 하는 경우를 나타낼 수 있습니다. |
| 643 | 도메인 보안 정책 변경 | 이 이벤트는 암호 정책이나 다른 도메인 보안 정책 설정을 수정하려고 시도했음을 나타냅니다. 주체의 사용자 이름을 확인하고 인증과의 연관 관계를 파악하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 610 611 620 | 다른 도메인과의 트러스트 관계가 생성, 삭제 또는 수정됨 | 이러한 이벤트는 트러스트된 도메인 개체가 생성되는 도메인 컨트롤러에 나타납니다. 이 이벤트는 경고를 생성해야 하며 즉각적인 조사가 필요합니다. 트러스트 작업을 수행한 주체의 사용자 이름을 확인하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 612 | 감사 정책 변경 | 감사 정책 변경을 식별합니다. 허가된 직원이 시스템 정책에 대해 수행한 변경과 이 이벤트와의 연관 관계를 파악하십시오. |
| 613 614 615 | IPSec 정책 변경 | 이러한 이벤트를 모니터링하고 시스템 시작 이외의 경우에 이러한 이벤트가 발생했는지 조사하십시오. |
| 618 | 암호화된 데이터 복구 정책 | 암호화된 데이터 복구 정책이 사용 중인 경우 이 이벤트를 모니터링하고 발생한 이벤트가 지정된 정책을 위반하지 않았는지 조사하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 529 | 로그온 실패 — 알 수 없는 사용자 이름 또는 암호 | 대상 계정 이름이 Administrator 또는 이름이 바뀐 기본 관리자 계정과 같은지 확인하십시오. 여러 번 실패한 로그온 시도 중 계정 잠금 임계값보다 적게 시도한 경우를 확인하십시오. 이 이벤트는 허가되지 않은 개인이 로컬 관리자 암호를 추측하려고 시도했음을 나타낼 수 있습니다. 이벤트 529와 이벤트 539와의 연관 관계를 파악하여 연속되는 계정 잠금의 패턴을 식별하십시오. |
| 534 | 로그온 실패 — 허용되지 않는 로그온 유형 | 사용자가 네트워크, 대화형, 일괄 또는 서비스와 같이 허용되지 않는 로그온 유형을 사용하여 로그온을 시도했습니다. 대상 계정 이름, 워크스테이션 이름 및 로그온 유형을 확인하십시오. |
| 539 | 계정이 잠김 | 사용자가 이미 잠겨 있는 계정에 로그온하려고 했습니다. 이벤트 529와의 연관 관계를 파악하여 연속되는 잠금의 패턴을 감지하십시오. |
| 553 | 재생 공격 탐지 | 이 이벤트는 인증 패키지(보통 Kerberos)가 사용자의 자격 증명 재생을 통한 로그온 시도를 탐지했을 때 발생합니다. 즉시 조사하십시오. 또는 네트워크 구성이 잘못되었음을 나타낼 수도 있습니다. |
| 627 | 암호 변경 시도 | 기본 계정 이름과 대상 계정 이름을 비교하여 계정 소유자나 다른 사용자가 계정 암호 변경을 시도했는지 확인하십시오. 기본 계정 이름이 대상 계정 이름과 다르면 계정 소유자 이외의 누군가가 암호를 변경하려고 한 것입니다. |
| 628 | 사용자 계정 암호 설정 또는 다시 설정 | 이 작업은 지원 부서 또는 사용자 셀프 서비스 암호 다시 설정과 같이 허가된 사람이나 프로세스만 수행해야 합니다. 이러한 경우가 아니면 이 이벤트를 즉시 조사하십시오. |
| 644 | 사용자 계정이 자동으로 잠김 | 연속으로 실패한 로그온 시도 횟수가 계정 잠금 제한보다 많아서 사용자 계정이 잠겼습니다. 이 이벤트와 이벤트 529, 675, 676(Windows 2000 Server에만 해당), 681과의 연관 관계를 파악하십시오. 이 표에서 이벤트 12294에 대한 항목도 참조하십시오. |
| 675 | 사전 인증 실패 | 이벤트 529와의 연관 관계를 파악하여 로그온 실패에 대한 추가 원인을 찾으십시오. 가능한 원인에는 시간 동기화 문제 또는 도메인에 제대로 가입하지 않은 컴퓨터 계정인 경우 등이 있습니다. |
| 12294 | 계정 잠금 시도 | 이 이벤트는 기본 Administrator 계정에 대한 무차별 대입(Brute Force) 공격의 가능성을 나타냅니다. 이 계정은 잠기지 않으므로 시스템 이벤트 로그는 대신 SAM 이벤트 12294를 기록합니다. 이 이벤트가 한 번만 발생해도 허가되지 않은 운영 체제가 있는 것이므로 즉시 조사해야 합니다. 도메인 이름 필드에 알 수 없는 도메인이 있는지 확인하십시오. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 528 538 | 로컬 로그온 및 로그오프 | 주변 컴퓨터에서는 로컬 로그온이 거의 발생하지 않습니다. 로그온 ID 필드의 연관 관계를 파악하십시오. 사용자 계정 이름, 시간 또는 워크스테이션 이름 값이 올바른지 확인하십시오. |
| 576 | 권한 있는 로그온 | Windows Server 2003 SP1 이상에서 이 이벤트는 "관리자" 로그온, 즉 TCB(Trusted Computing Base)를 임의로 변경하거나 컴퓨터 작업을 인계받을 수 있는 충분한 권한이 있는 로그온을 나타냅니다. 이전 버전의 Windows에서는 SeSecurityPrivilege 또는 SeDebugPrivilege와 같은 중요한 권한이 포함된 경우에만 이 이벤트가 중요하게 인식됩니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 592 | 새 프로세스 만들기 | 새 프로세스의 이미지 파일 이름과 사용자 이름을 확인하십시오. 모든 프로세스는 허가된 프로그램이어야 합니다. |
| 이벤트 ID | 발생 동작 | 설명 |
|---|---|---|
| 528 | 로그온 성공 | 워크스테이션 이름을 확인한 후 사용자 계정 이름을 확인하십시오. 원본 네트워크 주소가 조직의 IP 주소 범위 내에 있는지 확인하십시오. |
| 530 | 로그온 실패 — 시간 제한 | 이 이벤트는 로그온 시도가 허용되는 시간을 벗어났음을 나타냅니다. 사용자 계정 이름과 워크스테이션 이름을 확인하십시오. |