윈도우 이벤트 로그 커스텀 문의 (침해사고 관련)

날이좋아서

2023.03.20 (약 일 년 전) | 0 추천 | 4개의 답변

안녕하세요~

기업 보안 담당자로 근무 중인데,

사용자 측 의심행위 발견 시 이벤트 로그 분석 시 적재 기간, 범위 등 제한점이 많아

커스텀을 하시는 담당자 분들이 있으신가해서 문의드립니다.

찾아보니 레지스트리 변경 이력은 기본으로 이벤트 로그에 안남아서, 로그 적재할 수 있도록 설정 변경이 필요하다고 하더라구요.. 그래서 기본적으로 세팅할 때 이벤트 로그 적재 범위, 기간 커스텀 하시는 꿀팁이 있으신지 여쭤봅니다~!

4개의 답변이 있습니다.

topkslee

0 추천 | 약 일 년 전

지속적인 오류 발생하면 이벤트 뷰어 꽉차서 보기 힘들고 기간 짧아져요.

이벤트 로그 관리가 필요하시면 syslog 솔루션으로 별도 로그 관리 추천합니다.

낭만생선

0 추천 | 약 일 년 전

꿀팁이라기 보다는.

의심행위 발견 시 확인하려는 이벤트 로그를 선정하셔서 감사 정책에서 해당 로그를 남기게 설정하시면 됩니다.

침해 사고 추적을 위한 이벤트 로그라면 감사 정책과 레지스트리 감사 설정등이 있겠네요.

보존 주기는 발생하는 로그량을 보고 정하시면 되겠죠?

회사마다 보려는 로그가 다르니 이걸 공통으로 선정하기는 어려울듯 하네요.

wansoo

0 추천 | 약 일 년 전

솔직히...

질문 내요을 이해하지 못하겠네요~

윈도 이벤트 로그에 윈도에서 일어난 모든 행위들이 기록되는 것은 아니겠고요.

특정 행위 기록을 위해 다른 전문 솔루션을 도입해야 가능한 경우도 있을 것이고...

기본적으로 활성화되어 있지 않지만, 로그 기록을 남기기 위해 활성화를 해 줘야 하는 이벤트도 있겠고요.

스크립트를 이용해 이벤트 관리를 자동하 시키고 싶다면, wevtutil 툴을 이용하면 될 걸로 보이고요.

이벤트 로그는 C:\Windows\System32\winevt\Logs 에 기본적으로 생성되겠고...

차바라기

0 추천 | 약 일 년 전

아래 URL참고 해보시기 바랍니다.