실전 LOG 분석과 체계적인 관리 가이드

책 이미지

eBook 미리보기

책 정보

· 제목 : 실전 LOG 분석과 체계적인 관리 가이드 (개발자와 운영자의 트러블슈팅과 보안 담당자의 이상행위 탐지를 위한)
· 분류 : 국내도서 > 컴퓨터/모바일 > OS/Networking > 네트워크 보안/해킹
· ISBN : 9788960775763
· 쪽수 : 528쪽
· 출판일 : 2014-06-30

책 소개

에이콘 해킹.보안 시리즈. 이 책은 IT 분야에 종사하는 사람이라면 매우 친숙하지만 소홀히 할 수 있는 로그(log)에 관해 광범위한 내용을 다룬다.

1장 로그와 나무, 숲: 전체 그림
___1.1 소개
___1.2 로그 데이터의 기초
______1.2.1 로그 데이터의 개념
______1.2.2 로그 데이터의 수집과 전송
______1.2.3 로그 메시지의 개념
______1.2.4 로깅 환경
___1.3 학습할 내용
___1.4 과소평가된 로그
___1.5 유용한 로그
______1.5.1 자원 관리
______1.5.2 침입 탐지
______1.5.3 트러블슈팅
______1.5.4 포렌식
______1.5.5 따분한 감사, 흥미로운 발견
___1.6 사람, 프로세스, 기술
___1.7 보안 정보와 이벤트 관리
___1.8 요약
___1.9 참고문헌

2장 로그
___2.1 소개
______2.1.1 정의
___2.2 로그? 무슨 로그?
______2.2.1 로그 포맷과 유형
______2.2.2 로그 문법
______2.2.3 로그 내용
___2.3 좋은 로깅의 범주
______2.3.1 이상적인 로깅 시나리오
___2.4 요약
___2.5 참고문헌

3장 로그 데이터 소스
___3.1 소개
___3.2 로깅 소스
______3.2.1 Syslog
______3.2.2 SNMP
______3.2.3 윈도우 이벤트 로그
___3.3 로그 소스 분류
______3.3.1 보안 관련 호스트 로그
______3.3.2 보안 관련 네트워크 로그
______3.3.3 보안 호스트 로그
___3.4 요약

4장 로그 저장 기법
___4.1 소개
___4.2 로그 보관 정책
___4.3 로그 저장 포맷
______4.3.1 텍스트 기반 로그 파일
______4.3.2 바이너리 파일
______4.3.3 압축 파일
___4.4 로그 데이터 데이터베이스 저장
______4.4.1 장점
______4.4.2 단점
______4.4.3 데이터베이스 저장 목표 정의
___4.5 하둡 로그 저장소
______4.5.1 장점
______4.5.2 단점
___4.6 클라우드와 하둡
______4.6.1 아마존 탄력적 MapReduce을 이용한 시작
______4.6.2 아마존 탐색
______4.6.3 아마존 단순 저장 서비스로 업로드
______4.6.4 아파치 액세스 로그 분석 Pig 스크립트 생성
______4.6.5 아마존 탄력적 MapReduce 로그 데이터 처리
___4.7 로그 데이터 검색과 압축
______4.7.1 온라인
______4.7.2 온오프 중간 저장
______4.7.3 오프라인
___4.8 요약
___4.9 참고문헌

5장 사례 연구: syslog-ng
___5.1 소개
___5.2 SYSLOG-NG 다운로드
___5.3 SYSLOG-NGSYSLOG-NG의 개념
___5.4 예제 구성
______5.4.1 설정
___5.5 SYSLOG-NG 트러블슈팅
___5.6 요약
___5.7 참고문헌

6장 비밀 로깅
___6.1 소개
___6.2 완전 비밀 로그 설정
______6.2.1 비밀 로그 생성
______6.2.2 비밀 로그 선택
______6.2.3 IDS 로그 소스
______6.2.4 로그 수집 서버
______6.2.5 가짜 서버나 허니팟
___6.3 허니팟 로깅
______6.3.1 허니넷 셀상의 비밀 키 로거
______6.3.2 허니넷의 Sebek2 사례 연구
___6.4 간단한 로깅 은닉 채널
___6.5 요약
___6.6 참고문헌

7장 분석 목표와 계획, 준비, 검색 대상
___7.1 소개
___7.2 목표
______7.2.1 과거에 발생한 좋지 않은 사건
______7.2.2 미래에 발생할 좋지 않은 사건, 처음 보는 사건, 알려진 문제가 없는 사건 외 모든 사건
___7.3 계획
______7.3.1 정확성
______7.3.2 무결성
______7.3.3 신뢰성
______7.3.4 보관
______7.3.5 가공처리___
______7.3.6 정규화
______7.3.7 시간 정보 처리에 관한 난점
___7.4 준비
______7.4.1 로그 메시지 분리
______7.4.2 파싱
______7.4.3 데이터 축소
___7.5 요약

8장 간단한 분석 기법
___8.1 소개
___8.2 개별 행 검토: 매우 험난한 여정
___8.3 간단한 로그 뷰어
______8.3.1 실시간 검토
______8.3.2 기존 로그 검토
______8.3.3 간단한 로그 조작
___8.4 수동 로그 검토의 한계점
___8.5 분석 결과 대응
______8.5.1 중대 로그 조치
______8.5.2 중요하지 않은 로그 요약
______8.5.3 조치 계획 수립
______8.5.4 조치 자동화
___8.6 예제
______8.6.1 사고 대응 시나리오
______8.6.2 일상적인 로그 검토
___8.7 요약
___8.8 참고문헌

9장 필터링과 정규화, 상관 관계
___9.1 소개
___9.2 필터링
______9.2.1 인위적인 무시
___9.3 정규화
______9.3.1 IP 주소 유효성 확인
______9.3.2 스노트
______9.3.3 윈도우 스네어
______9.3.4 일반적인 시스코 IOS 메시지
______9.3.5 정규식 성능 문제
___9.4 상관 관계
______9.4.1 마이크로 레벨 상관 관계
______9.4.2 매크로 레벨 상관 관계
______9.4.3 작업 환경에서 데이터 직접 사용
______9.4.4 단순 이벤트 상관 관계자
______9.4.5 상태 기반 규칙 예제
______9.4.6 규칙 엔진 직접 구축
___9.5 일반 패턴 조사
___9.6 향후
___9.7 요약
___9.8 참고문헌

10장 통계적 분석
___10.1 소개
___10.2 빈도
___10.3 베이스라인
______10.3.1 기준치
______10.3.2 이상행위 탐지
______10.3.3 윈도잉
___10.4 기계 학습
______10.4.1 k개 최근접 규칙
______10.4.2 k-NN 알고리즘 로그 적용
___10.5 통계적 분석과 규칙 기반 상관 관계 연결
___10.6 요약
___10.7 참고문헌

11장 로그 데이터 마이닝
___11.1 소개
___11.2 데이터 마이닝 소개
___11.3 로그 마이닝 소개
___11.4 로그 마이닝 요구사항
___11.5 마이닝 목표
___11.6 관심 분야 살펴보기
___11.7 요약___
___11.8 참고문헌

12장 보고와 요약
___12.1 소개
___12.2 최상의 보고서 정의
______12.2.1 인증과 인가 보고서
___12.3 네트워크 행위 보고서
______12.3.1 중요한 이유
______12.3.2 보고서 내용
______12.3.3 이 보고서를 이용하는 사람
___12.4 자원 접근 보고서
______12.4.1 중요한 이유
______12.4.2 보고서 내용
______12.4.3 이 보고서를 이용하는 사람
___12.5 악성코드 행위 보고서
______12.5.1 중요한 이유
______12.5.2 보고서 내용
______12.5.3 이 보고서를 이용하는 사람
___12.6 치명적인 에러와 실패 보고서
______12.6.1 중요한 이유
______12.6.2 보고서 내용
______12.6.3 이 보고서를 이용하는 사람
___12.7 요약

13장 로그 데이터 시각화
___13.1 소개
___13.2 시각적 상관 관계
___13.3 실시간 시각화
___13.4 트리맵
___13.5 로그 데이터 성운
___13.6 예전 로그 데이터 그래프
___13.8 요약
___13.9 참고문헌

14장 로깅 법칙과 실수
___14.1 소개
___14.2 로깅 법칙
______14.2.1 법칙 1. 수집의 법칙
______14.2.2 법칙 2. 보관의 법칙
______14.2.3 법칙 3. 모니터링의 법칙
______14.2.4 법칙 3. 가용성의 법칙
______14.2.5 법칙 4. 보안의 법칙
______14.2.6 법칙 5. 지속적인 변화의 법칙
___14.3 로깅 실수
______14.3.1 비로깅
______14.3.2 로그 데이터를 보지 않음
______14.3.3 너무 짧은 보관 기간
______14.3.4 수집 전 우선순위 표기
______14.3.5 애플리케이션 로그 무시
______14.3.6 알려진 문제가 있는 항목만 추출
___14.4 요약
___14.5 참고문헌

15장 로그 분석과 수집 도구
___15.1 소개
___15.2 아웃소싱, 직접 빌드, 구매
______15.2.1 솔루션 빌드
______15.2.2 구매
______15.2.3 아웃소싱
______15.2.4 당신과 기관, 벤더에게 하는 질문
___15.3 로그 분석 기본 도구
______15.3.1 Grep
______15.3.2 Awk
______15.3.3 마이크로소프트 로그 파서
______15.3.4 고려할 다른 기본 도구
______15.3.5 로그 분석에서 기본 도구의 역할
___15.4 로그 정보 집중화 유틸리티
______15.4.1 시스로그
______15.4.2 Rsyslog
______15.4.3 스네어
___15.5 기본 이상의 로그 분석 도구
______15.5.1 OSSEC
______15.5.2 OSSIM
______15.5.3 고려할 다른 분석 도구
___15.6 상용 벤더
______15.6.1 스플렁크
______15.6.2 NetIQ 센티널
______15.6.3 IBM q1Labs
______15.6.4 로글리
___15.7 요약
___15.8 참고문헌

16장 로그 관리 절차: 로그 검토, 대응, 단계적 보고
___16.1 소개
___16.2 가정사항과 요구항목, 주의사항
______16.2.1 요구항목
______16.2.2 주의사항
___16.3 일반적인 역할과 책임
___16.4 PCI와 로그 데이터
______16.4.1 핵심 요구항목 10
______16.4.2 로깅 관련 다른 요구항목
___16.5 로깅 정책
___16.6 검토와 대응, 단계적 보고 절차, 워크플로
______16.6.1 주기적 로그 검토 실천과 패턴
______16.6.2 로그 관리 도구를 이용한 초기 베이스라인 구축
______16.6.3 수동으로 초기 베이스라인 구축
______16.6.4 주요 워크플로: 일별 로그 검토
______16.6.5 예외 조사와 분석
______16.6.6 사고 대응과 단계적 보고
___16.7 로그 검토 유효성
______16.7.1 로깅 입증
______16.7.2 로그 검토 입증
______16.7.3 예외 처리 입증
___16.8 로그북: 조사 예외처리 증거
______16.7.1 로그북 포맷 추천
______16.7.2 예제 로그북 항목
___16.9 PCI 컴플라이언스 증거 패키지
___16.10 경영진 보고
___16.11 주기적 운영 작업
______16.11.1 일별 작업
______16.11.2 주별 작업
______16.11.3 월별 작업
______16.11.4 분기별 작업
______16.11.5 연간 작업
___16.12 추가 참고자료
___16.13 요약
___16.14 참고문헌

17장 로깅 시스템 공격
___17.1 소개
___17.2 공격
______17.2.1 공격 대상
______17.2.2 기밀성 공격
______17.2.3 무결성 공격
______17.2.4 가용성 공격
___17.3 요약
___17.4 참고문헌

18장 프로그래머를 위한 로깅
___18.1 소개
___18.2 역할과 책임
___18.3 프로그래머를 위한 로깅
______18.3.1 로깅해야 하는 내용
______18.3.2 프로그래머를 위한 로깅 API
______18.3.3 로그 순환
______18.3.4 좋지 않은 로그 메시지
______18.3.5 로그 메시지 포맷
___18.4 보안 고려사항
___18.5 성능 고려사항
___18.6 요약
___18.7 참고문헌

19장 로그와 컴플라이언스
___19.1 소개
___19.2 PCI DSS
______19.2.1 핵심 요구항목 10
___19.3 ISO2700X 시리즈
___19.4 HIPAA
___19.5 FISMA
___19.6 NIST 800-53 로깅 가이드라인
___19.7 요약

20장 로그 분석 시스템 계획
___20.1 소개
___20.2 계획
______20.2.1 역할과 책임
______20.2.2 자원
______20.2.3 목표
______20.2.4 로깅 시스템과 장비 선정
___20.3 소프트웨어 선정
______20.3.1 오픈소스
______20.3.2 상용
___20.4 정책 정의
______20.4.1 로깅 정책
______20.4.2 로그 파일 순환
______20.4.3 로그 데이터 수집
______20.4.4 보관/저장소
______20.4.5 대응
___20.5 구조
______20.5.1 기본 방식
______20.5.2 로그 서버와 로그 수집기
______20.5.3 장기 저장할 수 있는 로그 서버와 로그 수집기
______20.5.4 분산 방식
___20.6 확장
___20.7 요약

21장 클라우드 로깅
___21.1 소개
___21.2 클라우드 컴퓨팅
______21.2.1 서비스 제공 모델
______21.2.2 클라우드 구현 모델
______21.2.3 클라우드 인프라 구조의 특성
______21.2.4 표준? 짜증나는 표준은 필요 없다!
___21.3 클라우드 로깅
______21.3.1 예제: 로글리
___21.4 규정과 컴플라이언스, 보안 이슈사항
___21.5 클라우드에서 대용량 데이터
______21.5.1 예제: 하둡
___21.6 클라우드 SIEM
___21.7 클라우드 로깅 찬반
___21.8 클라우드 로깅 공급자 목록
___21.9 추가 리소스
___21.10 요약
___21.11 참고문헌

22장 로그 표준과 미래 동향
___22.1 소개
___22.2 현재 추정에서 미래로
______22.2.1 증가하는 로그 데이터
______22.2.2 추가 동기부여
______22.2.3 추가 분석
___22.3 로그 미래와 표준
______22.3.1 선정 동향
___22.4 바라는 미래상
___22.5 요약

저자소개

앤톤 츄바킨 (지은이) 정보 더보기

로그 관리, SIEM, PCI DSS 컴플라이언스 분야에서 저명한 보안 전문가다. 앤톤은 『보안 전사(Security Warrior)』라는 서적의 공동 저자이고, 『적을 알라: 보안 위협에 관해 알아두기, 2판(Know Your Enemy: Learning About Security Threats, Second Edition)』, 『정보보안 관리 핸드북, 6판 (Information Security Management Handbook)』, 『해커 챌린지 3: 20가지 신규 포렌식 시나리오와 솔루션(Hacker's Challenge 3: 20 Brand-New Forensic Scenarios & Solutions)』, 『OSSEC 호스트 기반 침입 탐지 가이드(OSSEC Host-Based Intrusion Detection Guide)』 등 여러 도서의 기여 저자다. 로그 관리, 상관관계, 데이터 분석, PCI DSS, 보안 관리 등의 다양한 보안 주제에서 다수의 논문을 출판했다. 그가 운영하는 www.securitywarrior.org는 업계에서 가장 인기있는 블로그 중 하나다. 또한 강의도 하며, 최근 미국, 영국, 싱가포르, 스페인, 러시아 등의 국가에서 열린 보안 컨퍼런스에서 발표했다. 신규 보안 표준 분야에서 일하고 여러 신설 보안 기업의 자문을 맡고 있다. 최근까지 시큐리티 워리어(Security Warrior)라는 회사를 직접 운영했다. 그 전에 퀄리스(Qualys) 사의 PCI 컴플라이언스 솔루션 이사였고, 로그로직(LogLogic) 사의 로깅 책임자로 일하며 보안, 컴플라이언스, 운영에서 로깅의 중요성을 전 세계적으로 교육했다. 로그로직에 있기 전에는 전략 제품 관리라는 역할로 보안 벤더사에서 근무했다. 스토니 브룩 대학(Stony Brook University)에서 박사 학위를 받았다.

펼치기

앤톤 츄바킨의 다른 책 >

케빈 슈미트 (지은이) 정보 더보기

델 시큐어웍스(Dell SecureWorks) 사의 수석 관리자로 델 사의 부서에서 업계를 선도하는 MSSP 관련 업무를 하며, 회사의 SIEM 플랫폼 주요 설계와 개발을 맡고 있다. 그가 맡은 업무로는 로그 데이터 수집, 상관관계, 분석 등이 있다. 시큐어웍스 이전에는 리플렉스 시큐리티(Reflex Security) 사에서 근무하면서, IPS 엔진과 안티 바이러스 소프트웨어 관련 일을 했다. 그 이전에는 가디드넷(GuardedNet) 사에서 개발자이자 아키텍처로 업계 첫 SIEM 플랫폼 중 하나를 설계했다. 미국 해군 예비군(USNR, United States Navy Reserve)의 사관이기도 하다. 소프트웨어 개발과 설계에 19년, 네트워크 보안 분야에서 11년 경력을 가지고 있다. 컴퓨터 과학 분야의 학사 학위를 보유하고 있다.

펼치기

케빈 슈미트의 다른 책 >

크리스토퍼 필립스 (지은이) 정보 더보기

델 시큐어웍스 사의 책임 소프트웨어 개발자다. 회사의 지능형 위협 서비스 솔루션(Threat Intelligence service platform) 설계와 개발을 맡고 있다. 또한 델 시큐어웍스 시스템과 보안 전문가가 고객의 정보를 분석할 수 있도록 많은 서드파티 공급자로부터 로그와 이벤트 정보를 통합하는 업무와 관련된 팀도 담당하고 있다. 델 시큐어웍스 이전에는 맥케슨 앤 올스크립트(McKesson and Allscripts) 사에서 근무하면서, HIPPA 컴플라이언스, 보안, 의료 시스템을 통합하는 고객을 위해 일했다. 소프트웨어 개발과 설계 분야에서 18년이 넘는 경력을 보유하고 있다. 컴퓨터 과학 학사학위와 MBA를 취득했다.

펼치기

크리스토퍼 필립스의 다른 책 >

구형준 (옮긴이) 정보 더보기

대기업과 금융 IT 환경에서 보안 프로세스 개선, 서비스 보안 리뷰, 보안 점검, 보안 솔루션 검토, 보안 교육 등 다양한 경험을 쌓았다. 고려대학교 정보보호대학원에서 디지털 포렌식을 전공했고 현재 뉴욕 주립대에서 컴퓨터 사이언스 박사 과정을 밟고 있다. 악성코드, 프라이버시, 바이너리 분석과 메모리 보호기법 등의 분야에 관심을 가지고 있다.

펼치기

구형준의 다른 책 >