DB 로그 저장 계획 수립은 다음과 같은 몇가지 주요영역에 초점을 맞추어야 한다.
저장 대상
- 헤더 정보: 이벤트 타임스탬프와 관련 이벤트 IP 정보
- 몸체: 이벤트 메시지
- 분석과 요약 결과: 동향 보고 요약
신속한 검색
- 우선순위: 메시지의 중요도 또는 관련 중요성
- 날짜와 시간: 이벤트가 발생한 시점
- 생성 호스트: 이벤트를 생성한 시스템
- 메시지: 발생한 이벤트 세부 사항
보고
-> 보고서 요청 시 신속히 생성 할 수 있도록 보통 추가 보고 테이블이 필요
- 분석결과: 검토하고 조치가 필요한 흥미로운 사항이 있는 전형적인 로그 항목 모음
- 호스트탕 심각도에 따른 이벤트수: 조직 내 공격 패턴이나 문제점을 신속히 발견하는데 유용
- 시간 기반 요약 수치: 많은 조직은 공유할 일별, 주별, 월별 보고서와 이 기간에 기반한 요약 수치를 자동화하고 신속한 보고가 필요하다.
- 네트워크나 장비 유형 기반 보고: 네트워크의 특정 부분은 다른 보고 형태를 요구하거나 다른 준수 프레임워크에 맞춰야 할 수 있다.
테스트 환경 보안장비 로그
<웹 방화벽 로그>
[비공개_비공개-3333] [Attack_Name=SQL Query Injection-Scan-2] [Time=2015/10/05 14:29:08] [Src_ip=비공개] [Dst_ip=192.168.33.31 {ip-192-168-33-31.ap-northeast-1.compute.internal} ] [Protocol=16/80] [Filter=Inbound] [Action=CHANGE OF PAGE] [Src_port=15652]
<IPS 로그>
[비공개-2222] [Attack_Name=(0006)UDP Flooding], [Time=2015/10/05 10:41:30], [Hacker=192.168.32.224 {ip-192-168-32-224.ap-northeast-1.compute.internal} ], [Victim=192.168.33.31 {ip-192-168-33-31.ap-northeast-1.compute.internal} ], [Protocol=udp/55775], [Risk=High], [Handling=Defence], [Information=], [SrcPort=49458]
보안장비용 DB Table 항목
- 장비명
- Attack_Name
- Time
- Src_ip = Hacker
- Dst_ip = Victim
- Protocol
- SrcPort
웹서버 및 기타 로그에 대한 DB Table 항목은 다음 포스팅에 올리겠습니다.
'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글
| LogAnalyzer message parser 소스 코드 (0) | 2015.10.06 |
|---|---|
| LogAnalyzer Sources 설정 (0) | 2015.10.06 |
| loganalyzer 설치 (0) | 2015.09.26 |
| tcpdump - 네트워크 패킷 덤프 (0) | 2015.09.24 |
| [syslog] Ubuntu rsyslog 및 시스로그 포맷 (0) | 2015.09.24 |