이벤트 로깅 및 위협 탐지에 대한 최적의 방법 노트

이벤트 로깅 및 위협 탐지에 대한 최적의 방법

사이버 위협 완화를 위한 이벤트 로깅 모범 사례이 가이드는 사이버 보안과 네트워크 가시성을 향상시키기 위한 이벤트 로깅 모범 사례를 정의하며, 악의적인 행위자가 사용하는 "지상에서 살기" 기술과 같은 도전을 해결합니다.효과적인 로깅을 위한 4가지 핵심 요소- 기업 승인 이벤트 로깅 정책: 환경 전체에 걸쳐 일관된 로깅 접근 방식을 설정합니다. - 중앙 집중식 이벤트 로그 액세스 및 상관 관계: 효율적인 이벤트 로그 모니터링 및 분석을 허용합니다. - 보안 저장소 및 이벤트 로그 무결성: 이벤트 로그의 무결성과 접근성을 보존합니다. - 관련 위협에 대한 탐지 전략: 악의적인 활동과 위협 탐지를 위한 로깅에 초점을 맞춥니다.이벤트 로그 품질- 고품질 로그는 보안 이벤트에 대한 자세한 정보를 제공하여 사건 식별 및 위협 탐지를 지원합니다. - LOTL(지상에서 살기) 탐지에는 악의적인 행위자가 사용하는 명령 및 도구에 대한 로그를 캡처하는 것이 포함됩니다.캡처된 이벤트 로그 세부 정보- 로그에는 네트워크 방어자가 사건을 조사하고 대응하기 위해 충분한 정보가 포함되어야 합니다. 이는 타임스탬프, 이벤트 유형 및 시스템 식별자와 같은 정보를 포함합니다. - 데이터 형식화에 키-값 쌍을 사용하면 로그 분석을 단순화할 수 있습니다.운용 기술 고려 사항- OT(운용 기술) 장치는 일반적으로 제한된 로깅 기능을 가지고 있으므로 보완 솔루션 또는 밴드 로그 통신이 필요할 수 있습니다.일관성 및 동기화- 시스템 전체에 걸쳐 일관된 로그 형식 및 타임스탬프는 로그 검색 및 상관 관계를 용이하게 합니다. - 정확한 시간 소스는 사건 간의 연결을 식별하는 데 도움이 됩니다.추가 리소스- ASD의 정보 보안 매뉴얼: 이벤트 로그 기록에 대한 지침을 제공합니다. - CISA의 M-21-31 가이드: 로그 수집에 대한 우선순위를 정의합니다. - NIST의 OT 보안 가이드: OT 특정 이벤트 로깅 고려 사항에 대해 다룹니다.