Security Log6 Windows 이벤트 로그 분석 이벤트로그 확장자 ▶ Windows XP, Server2003 : .evt ▶ Windows 7, Server2007(비스타 이후) : .evtx 저장장소 ▶ C:\Windows\System32\Winevt\logs Windows 이벤트로그를 분석하는 이유? 1) 해킹징후 파악 ▶ 이벤트로그 변조흔적을 조사(관리자권한으로 삭제가능) 2) 시스템에서 발생한 사건 ▶ 로그를 분석하여 침해대응자료 및 포렌식 증거자료로 활용가능 ▶ 이벤트로그로 공격자의 행위를 분석 ▶ 이벤트로그 분석 후 피해 입은 부분을 복구 내 PC에서 원격데스크톱, VPN 접속이력 확인방법 1) LogParser 설치 https://www.microsoft.com/en-us/download/details.aspx?id=24659 Log P.. 2020. 6. 10. 웹 로그 분석 Common Log File Format(CLF) Host Data and Time HTTP Request Status Code Bytes 12.123.234.34 [09/jun/2020:23:59:05] "GET /board/test.jpg HTTP/1.1" 200 1234 ▶ Date and Time은 클라어인트가 서버로 요청한 시간 ▶ 보통 HTTP Requset는 메세지를 제외한 Requset Line만 기록 ▶ bytes는 서버에서 클라이어느로 전송한데이터크기를 의미 / 단, 헤더는 제외 주의 깊게 볼 내용 (1) Request Method가 GET이나 POST가 아닌 경우 (2) Status Code가 404(Not Found)나 500(Server Internal Error)의 경우 (3) .. 2020. 6. 10. 정규표현식 정규표현식이란? ▶ 어떤 문자열의 집합을 묘사하는데 사용 ▶ 텍스트 스트링으로 정해진 구문 규칙 ▶ 특정한 규칙을 가진 문자열집합을 표현 ▶ 아스키코드만 가능 문자 기능 설명 ^ 처음 괄호안에 있으면 not 문자열이나 행의 처음을 의미 괄호 안에 있으면 부정을 의미 $ 마지막 문자열의나 행의 마지막을 의미 . 문자 1개의 문자와 일치 단일 행에서 개행은 제외 [] 문자클래스 ['와 ']' 사이의 문자 중 하나를 선택 '-' 기호와 함께 쓰면 범위지정 \ 특수문자처리 특수문자를 원래 문자의미 그대로 해석 * 0회 이상 0개 이상의 문자를 포함 + 1회 이상 1개 이상의 문자를 포함 "a+b"라면 "aaabbbbb"에서 "aaab"가 해당 ? 0 또는 1회 0개 또는 1개의 문자를 포함 만약 "a?b"라면 .. 2020. 6. 9. Windows event viewer log 분석 윈도우즈 이벤트뷰어에 있는 Windows log를 추출해보려고 합니다. 환경먼저 적어보도록 할게요. OS : Windows 10 pro Language : Python3 lib : virtualenv, python-evtx, bs4, lxml Event viewer path : C:\Windows\System32\winent\Logs [테스트로 setup.evtx만 추출했습니다.] Extractor xml path : C:\%homepath%\Desktop\script_check\test_log 제 기준으로 했기 때문에 xml 추출경로는 수정하셔도 됩니다. 파이썬 라이브러리 설치 및 환경구성을 볼까요? 1. virtualenv evtx 2. call evtx/scripts/activate 3. pip3 .. 2019. 10. 6. 보안로그분석 보안관제와 사고대응의 차이를 아시나요? 1) 보안관제 초기분석을 해서 통합로그에서 탐지되는 룰을 확인합니다. 예를 들면 "어떤 곳에서 1분에 100번 이상 들어올 때 이것이 공격인가?" 판단하는 것이 중요합니다. 판단이라고 하면? 해킹인지 아닌지 확인하는 것까지가 보안관제의 업무지요. 2) 침해사고 대응 로그보는 것이 좋으면 이 파트를 열심히 공부하는 것이 좋답니다! 사고가 접수되면 자료를 수집하고 사고를 분석하지요. 공격은 네트워크, 웹, 백도어 등을 통해 이루어지겠죠? DMZ는 "외부에서 접근이 가능한 별도의 공간" 정도로 정의할 수 있겠네요. 보통의 공격은 웹해킹을 통해 웹을 장악 후 악성코드를 배포하기도 하고, 업데이트서버에 침투 후 악성코드를 올릴 수도 있습니다. 그럼 업무망에서는 어떤 로그를 .. 2019. 9. 29. 보안로그분석2 가끔은 아주 가끔은 늦은밤 집에 가기 전 사람들과 맥주 한 잔하면서 하루를 매듭짓는 것도 좋은 생각인 것 같습니다. 할게 많이 있지만 베짱이 특성상 어쩔 수 없나봅니다..ㅠ 캬아아아아아ㅏㅏㅏ 좋아요. 공부하면서는 하기 그런 얘기.. 같이 느끼고 있었던.. 그리고 나도 생각은 했지만 하지 못한 말을 누군가 대신 해주니 맥주가 더 시원한 것 같은데 과아아연 기분탓일까요? 늦게 들어왔지만 좋은 걸 얻었으니 웃으면서 잠들어보려고 합니다. 오늘 걸었던 길.. 맥주집.. 함께한 사람.. 이야기.. 머리속 어딘가 남아있는 모든 것이 로그겠죠? 이 모든게 따로따로 있다면? 술집모음.. 사람이름.. 의미가 많이 없어지겠네요. 그래서 통합로그 분석이라는 것을 하나 봅니다. 통합로그분석을 하면 시나리오를 그릴 수 있기 때문.. 2019. 9. 28. 이전 1 다음
