보안 이벤트를 위한 Windows 서버 모니터링 및 감사하는 방법

튜토리얼
Monitoring Windows

보안 이벤트를 모니터링하고 감사하는 방법. IT 인프라의 동적인 환경에서는 Windows Server 환경의 무결성과 보안을 보호하는 것이 중요합니다. 효과적인 모니터링과 감사는 예방적인 조치뿐만 아니라 잠재적인 위협과 무단 접근에 대한 주시하는 수호자 역할을 합니다. 이 기사에서는 Windows Server에서의 모니터링과 감사의 중요한 요소를 탐색하며, 보안 이벤트를 인식하고 대응하는 데 필요한 도구와 실천 방법에 대한 소중한 통찰력을 제공합니다. 이를 통해 서버 환경의 디지털 방어력을 강화합니다.

또한 읽기 Windows Server 보안 모범 사례: Windows Server 환경을 안전하게 보호하기

보안 이벤트를 모니터링하고 감사하는 방법

조직의 네트워크에서는 모든 시스템이 어떤 유형의 로그 파일을 생성합니다. 이러한 로그 데이터를 관리하고 모니터링하는 것은 네트워크 내에서 발생하는 문제를 식별하는 데 중요합니다. 로그는 사고 발생 시 법의학적 증거의 초기 소스로 기능합니다. 이외에도, 로그 모니터링은 규정 준수 요구 사항을 충족시키는 데 도움이 됩니다. 대부분의 기업에서 사용하는 ID 액세스 관리 및 지배 플랫폼인 Active Directory(AD)는 정기적으로 모니터링되어야 합니다. AD 환경(Windows 플랫폼)에서 발생하는 이벤트는 세 가지 주요 카테고리로 분류되어 로그로 기록됩니다:

보안 로그에는 사용자 계정 로그온로그오프와 같은 이벤트에 대한 세부 정보, 특권 그룹 수정, 예약된 작업의 생성, 삭제 또는 수정 등이 포함됩니다. 이러한 로그는 사고 발생 시 타임라인을 만들고 공격 경로를 추적하기 위해 검토하는 최초의 법의학적 증거 중 하나입니다. 일관되게 보안 이벤트를 모니터링하고 로그를 분석하는 것은 네트워크 관리자가 조직의 IT 인프라를 위협하는 잠재적인 공격에 대한 통찰력을 얻고 보안 포지션을 개선하는 데 도움이 됩니다.

또한 읽기 Windows Server Hardening: Windows Server를 위한 보안 설정 및 정책 구성

다양한 유형의 보안 이벤트 로그

디지털 보안에서 다양한 이벤트 로그의 세세한 점을 이해하는 것이 매우 중요합니다. 이 부분은 인증에서 감사 로그까지 시스템 무결성을 모니터링하고 보호하는 데 필수적인 범주에 대해 다룹니다. 각 로그 유형이 보안 풍경을 포괄적으로 파악하고 사이버 보안 전략을 강화하는 방법을 탐색합니다. 이 기사에서는 주로 보안 로그에 초점을 맞추고 있습니다. 다음은 우리 환경에서 모니터링을 시작하는 몇 가지 필수 보안 이벤트입니다:

사용자 로그인 이벤트

사용자 로그인 이벤트를 모니터링하는 것은 특정 사용자가 언제 활동했는지 확인하는 데 중요합니다. 침입 발생 시 네트워크 리소스에 접근한 특정 사용자를 식별하는 것은 조사를 시작하는 좋은 지점입니다. 다음은 사용자 로그인 이벤트와 관련된 Windows 이벤트 로그 ID 중 일부입니다:

사용자 속성 변경

사용자 속성에 대한 변경 사항을 확인하는 것이 매우 중요합니다. 사용자 속성에 무단으로 변경이 발생하면 계정 침해나 내부자 공격의 전조가 될 수 있습니다. 중요 변경 사건과 관련된 일부 이벤트 ID는 다음과 같습니다:

    • 사용자가 암호를 변경함 – 이벤트 ID 4723
    • 사용자 계정이 변경됨 – 이벤트 ID 4738

계정 잠금 이벤트

직원의 계정 잠금 문제 해결은 IT 관리자가 수행하는 일상 업무 중 하나입니다. 계정 잠금 이벤트 감사는 잠금 원인을 식별하고 문제를 신속히 해결하는 데 도움이 됩니다. 계정 잠금 이벤트와 관련된 일부 이벤트 ID는 다음과 같습니다:

    • 사용자 계정 잠김이벤트 ID 4740
    • 사용자 계정 잠금 해제됨 – 이벤트 ID 4767

또한 읽기 InfraSOS Active Directory 사용자 보고서 시도

그룹 관리 이벤트

활성 디렉터리 그룹 멤버십 추적 변경은 리소스에 대한 무단 액세스와 권한 상승을 식별하는 데 중요합니다. 그룹에 악의적인 변경이 가해지면 조직의 작동이 방해되어 사용자가 효율적으로 작업하는 데 필요한 리소스에 액세스를 상실할 수 있습니다. 다음은 중요한 그룹 변경 이벤트와 관련된 일부 이벤트 ID입니다:

    • 특권 그룹에 사용자 추가 – 이벤트 ID 4728, 4732, 4756
    • 표준 그룹에 멤버 추가 – 이벤트 ID 4728, 4732, 4756, 4761, 4746, 4751
    • 그룹에서 멤버 제거 – 이벤트 ID 4729, 4733, 4757, 4762, 4747, 4752

그룹 정책 객체 변경

그룹 정책 객체 (GPO)은 활성 디렉터리 환경에서 사용자 설정, 응용 프로그램 및 운영 체제를 구성하고 관리하는 통합 플랫폼을 제공합니다. 계정 잠금 및 암호 정책 변경과 같은 중요 정책 변경 사항을 주시하여 악의적 활동을 즉시 감지하고 대응하는 것이 중요합니다. 중요한 GPO 변경 이벤트와 관련된 일부 이벤트 ID는 다음과 같습니다:

    • 그룹 정책 변경 – 이벤트 ID 5136

      • GPO 생성 – 이벤트 ID 5137

    • GPO 삭제 – 이벤트 ID 5141

특권 사용자 활동

특권 사용자의 활동을 모니터링하면 조직이 중요 자산을 보호하고 이상 활동을 감지하며 외부 및 내부 위협을 완화할 수 있습니다. 다음은 중요 특권 사용자 활동 이벤트와 관련된 일부 이벤트 ID입니다:

    • 디렉터리 서비스 개체가 수정되었습니다 – 이벤트 ID 5236
    • 계정 암호 재설정 시도 – 이벤트 ID 4724

또한 읽기 InfraSOS Active Directory GPO 보고서 도구 사용해보기

Windows 이벤트 뷰어를 사용하여 이벤트 보기

감사 로깅을 활성화한 후, 아래 단계를 따라 로그를 보고 이벤트를 조사하기 위해 이벤트 뷰어를 사용합니다:

  • 클릭 시작 ➔ 관리 도구 ➔ 이벤트 뷰어
  • 클릭 Windows 로그 및 선택 보안. 보안 로그에 기록된 모든 이벤트를 볼 수 있습니다.
  • 원하는 이벤트 ID를 찾기 위해 찾기 옵션을 사용하거나 사용자 지정 보기를 만들기하여 찾고자 하는 이벤트 로그를 찾을 수 있습니다.

대부분의 기업 네트워크에서 주요 플랫폼인 Windows는 이러한 플랫폼에서 생성된 보안 로그가 많습니다. 비정상적인 활동을 식별하기 위해 각 기록된 보안 이벤트를 수동으로 확인하는 것은 사실상 불가능합니다.

또 다른 읽기 인프라SOS 액티브 디렉터리 사용자 로그온 감사 도구 시도

Windows 보안 이벤트 로그 최상의 방법

계획 없이 우리의 Windows 감사 정책은 압도적인 데이터 양을 생성합니다. 보안 및 규정 준수에 효율적으로 Windows 보안 이벤트 로그를 사용하기 위해 몇 가지 기본 전략을 따라야합니다. 최고 수준에서는 감사가 필요한 리소스 및 활동의 논리적 그룹화를 이해해야합니다.

Windows 로그 관리

  1. 관련 감사 정책 활성화: 조직의 보안 요구에 따라 계정 로그온/로그오프, 권한 사용, 객체 접근, 정책 변경 및 시스템 이벤트와 같은 주요 감사 정책이 활성화되었는지 확인하십시오.
  2. 정기적인 로그 검토 및 정리: 용량 문제를 방지하기 위해 주기적으로 이벤트 로그를 검토하고 지우세요. 효율적인 로그 관리를 위해 자동 로그 회전 및 보관 프로세스를 구현하십시오.
  3. 중앙 집중화
  4. 이벤트 로그 보존 정책: 규정 요구사항과 조직 보안 표준을 준수하는 명확한 이벤트 로그 보존 정책 수립.
  5. 실시간 모니터링 및 경보: 중요한 보안 이벤트에 대한 실시간 모니터링을 구현하고 특정 이벤트 ID 또는 패턴에 대한 경보를 구성하여 적극적인 위협 탐지를 용이하게 함.
  6. 안전한 접근 제어: 권한이 있는 인원에게 이벤트 로그 접근을 제한하여 무단 조작을 방지하기 위해 최소한의 권한 원칙을 따름.
  7. 이벤트 로그 백업: 시스템 장애나 보안 사건 발생 시 데이터를 보존하기 위해 정기적으로 보안 이벤트 로그를 백업함. 백업은 법의학적 분석에 필수적임.
  8. 시스템 업데이트 유지: Microsoft는 최신 패치로 알려진 취약점을 해결하기 위해 Windows 운영 체제와 보안 소프트웨어를 정기적으로 업데이트함.
  9. 인력 양성: 보안 이벤트 로그를 모니터링하고 관리하는 IT 직원에게 교육을 제공합니다. 일상적인 보안 이벤트 및 적절한 대응 조치에 대한 지식을 제공합니다.
  10. SIEM 솔루션 통합: 관련이 있다면, 이벤트 레지스터를 보안 정보 및 이벤트 관리 (SIEM) 솔루션에 통합하여 분석, 상관 및 보고 능력을 향상시킵니다.

귀하의 시간을 감사합니다. 보안 이벤트를 모니터링하고 감사하는 방법에 대한 기사를 마칩니다. 

또한 읽기 Windows Server 보호 방법: 악성 코드, 랜섬웨어, DDoS 공격 및 기타 위협 

보안 이벤트를 모니터링하고 Windows Server를 감사하는 방법 결론

결론적으로, Windows Server 모니터링 및 감사의 세심한 조율은 단순히 최상의 실천 방법뿐만 아니라 사이버 보안에서 전략적 필수 요소입니다. 강력한 모니터링 도구와 적극적인 감사 관행을 시행함으로써 조직은 잠재적 보안 위협에 대한 탄탄한 방어를 구축하며, 서버 환경의 지속적 무결성을 보장합니다. 디지털 풍경이 진화함에 따라 모니터링과 감사를 통한 경계에 대한 헌신은 안전하고 신뢰할 수 있는 Windows Server 인프라의 기초를 견고히 하는 보호막이자 기둥이 됩니다.

Source:
https://infrasos.com/how-to-monitor-and-audit-your-windows-server-for-security-events/