이벤트 로깅 및 위협 탐지에 대한 최적의 방법

사이버 위협 완화를 위한 이벤트 로깅 모범 사례 이 가이드는 사이버 보안과 네트워크 가시성을 향상시키기 위한 이벤트 로깅 모범 사례를 정의하며, 악의적인 행위자가 사용하는 "지상에서 살기" 기술과 같은 도전을 해결합니다. 효과적인 로깅을 위한 4가지 핵심 요소 - 기업 승인 이벤트 로깅 정책: 환경 전체에 걸쳐 일관된 로깅 접근 방식을 설정합니다. - 중앙 집중식 이벤트 로그 액세스 및 상관 관계: 효율적인 이벤트 로그 모니터링 및 분석을 허용합니다. - 보안 저장소 및 이벤트 로그 무결성: 이벤트 로그의 무결성과 접근성을 보존합니다. - 관련 위협에 대한 탐지 전략: 악의적인 활동과 위협 탐지를 위한 로깅에 초점을 맞춥니다. 이벤트 로그 품질 - 고품질 로그는 보안 이벤트에 대한 자세한 정보를 제공하여 사건 식별 및 위협 탐지를 지원합니다. - LOTL(지상에서 살기) 탐지에는 악의적인 행위자가 사용하는 명령 및 도구에 대한 로그를 캡처하는 것이 포함됩니다. 캡처된 이벤트 로그 세부 정보 - 로그에는 네트워크 방어자가 사건을 조사하고 대응하기 위해 충분한 정보가 포함되어야 합니다. 이는 타임스탬프, 이벤트 유형 및 시스템 식별자와 같은 정보를 포함합니다. - 데이터 형식화에 키-값 쌍을 사용하면 로그 분석을 단순화할 수 있습니다. 운용 기술 고려 사항 - OT(운용 기술) 장치는 일반적으로 제한된 로깅 기능을 가지고 있으므로 보완 솔루션 또는 밴드 로그 통신이 필요할 수 있습니다. 일관성 및 동기화 - 시스템 전체에 걸쳐 일관된 로그 형식 및 타임스탬프는 로그 검색 및 상관 관계를 용이하게 합니다. - 정확한 시간 소스는 사건 간의 연결을 식별하는 데 도움이 됩니다. 추가 리소스 - ASD의 정보 보안 매뉴얼: 이벤트 로그 기록에 대한 지침을 제공합니다. - CISA의 M-21-31 가이드: 로그 수집에 대한 우선순위를 정의합니다. - NIST의 OT 보안 가이드: OT 특정 이벤트 로깅 고려 사항에 대해 다룹니다.