2016년 4월 4일 월요일

[SANS/ITL] 윈도 이벤트 로그의 이상징후 분석

[SANS/ITL] 윈도 이벤트 로그의 이상징후 분석
윈도 이벤트 로그는 Files, Devices, Software, Hardware 등을 포함한 자원 사용 내역 및 네트워크 접근, 사용자 행위 등 윈도 운영체제에서 발생하는 거의 모든 상태∙활동을 기록하며, 이런 특성 때문에 장애 처리는 물론 해킹에 의한 시스템 피해 내역 확인 시 매우 중요한 아티팩트로 활용되고 있다. 그러나 광범위한 분석 범위(대량의 윈도 PC)의 어려움으로 인해 사전예방 보다는 주로 사고 발생 후 사후대응 측면의 제한적인 접근에 머무르는 한계를 가지고 있다. 본 문서는 사전예방 차원의 윈도 이벤트 로그분석 사례를 다룬다.