키워드 : 마이터 어택, 고급감사정책, 이벤트 채널, Windows PowerShell 채널, MITRE ATT&CK, Windows Event Log

본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다.

Q1. 마이터 어택 관점에서 로그 모니터링을 강화하기 위하여 고급감사정책을 활용하는 것이 반드시 필요할까요?

네, 마이터 어택 등 대규모 해킹 공격을 방지하기 위해서는 로그 모니터링을 강화하는 것이 중요합니다. 로그 모니터링은 시스템 내부에서 발생하는 이벤트를 수집하고, 저장하며, 분석하는 과정을 말합니다. 이를 통해 이상 징후나 공격 행위를 탐지하고 대응할 수 있습니다.

고급감사정책은 로그 모니터링을 강화하는 데 도움이 되는 기능 중 하나입니다. 고급감사정책은 Windows 운영체제에서 사용되는 기능으로, 이벤트 로그에서 특정 이벤트를 자동으로 수집하고 분석하는 기능입니다. 이를 통해 관리자는 이벤트 로그를 보다 쉽게 분석하고, 공격 행위에 대한 정보를 빠르게 파악할 수 있습니다.

또한, 고급감사정책은 이벤트 로그 수집 범위를 지정하고, 필터링 기능을 제공하여 필요한 이벤트만을 수집하도록 설정할 수 있습니다. 이를 통해 로그 데이터의 양을 줄이고, 분석 작업을 보다 쉽게 수행할 수 있습니다.

따라서, 마이터 어택 등 대규모 해킹 공격을 방지하기 위해서는 로그 모니터링을 강화하는 것이 중요합니다. 고급감사정책은 로그 모니터링을 보다 효율적으로 수행하고, 공격 행위에 대한 정보를 더욱 빠르게 파악할 수 있도록 도와줍니다.

Q2. 윈도우에서 제공하는 이벤트 채널 수는?

Windows 운영체제에서 제공하는 이벤트 채널의 수는 버전 및 에디션에 따라 다르지만, 일반적으로 다양한 이벤트 채널이 제공됩니다.

예를 들어, Windows 10에서는 약 2000여 개의 이벤트 채널이 포함되어 있으며, Windows Server 2019에서는 약 2500여 개의 이벤트 채널이 포함되어 있습니다. 이벤트 채널은 주로 로그 및 모니터링 기능을 위해 사용되며, 각각의 채널은 특정 이벤트 유형에 대한 정보를 기록합니다. 이벤트 로그 뷰어를 사용하여 이벤트 채널에서 로그를 볼 수 있으며, 필요한 정보를 검색, 필터링 및 분석할 수 있습니다.

Q3.모든 채널이 활성화되어 있는 것은 아닌데 어느 정도가 활성화 채널인가요? 목록을 알려 주세요.

Windows 운영체제에서 모든 이벤트 채널이 항상 활성화되어 있는 것은 아닙니다. 일반적으로 기본적으로 활성화되는 채널들이 있지만, 사용자가 필요한 채널을 추가로 활성화하거나, 불필요한 채널을 비활성화할 수도 있습니다.

Windows 10에서 기본적으로 활성화되는 주요 이벤트 채널은 다음과 같습니다.

  • Application
  • Security
  • Setup
  • System

Windows Server 2019에서 기본적으로 활성화되는 주요 이벤트 채널은 다음과 같습니다.

  • Application
  • Security
  • Setup
  • System
  • Windows PowerShell

이외에도 각 버전 및 에디션에 따라 다양한 채널이 활성화될 수 있으며, 사용자가 필요에 따라 채널을 추가로 활성화하거나 비활성화할 수 있습니다.

Q4. Windows PowerShell 채널이 비활성화되어 있다는 내용도 있는데 정확하게 활성화 또는 비활성화 어느 것인가요?

Windows PowerShell 채널은 기본적으로 Windows Server 운영체제에서 활성화되어 있지만, Windows 클라이언트 운영체제에서는 비활성화되어 있을 수 있습니다. 이는 보안상의 이유로 인해 Windows 클라이언트 운영체제에서는 기본적으로 PowerShell 스크립트 실행을 제한하기 위해 구성된 것입니다.

따라서, Windows 클라이언트 운영체제에서 PowerShell 채널을 사용하려면 사용자가 수동으로 채널을 활성화해야 합니다. PowerShell 채널을 활성화하려면 다음 단계를 수행할 수 있습니다.

  1. 관리자 권한으로 PowerShell 실행
  2. 다음 명령어 실행: Enable-NetFirewallRule -DisplayGroup "Windows PowerShell"

위 명령어는 방화벽 규칙을 추가하며, PowerShell 스크립트 실행을 허용합니다. 이후부터는 PowerShell 채널에서 발생하는 이벤트를 볼 수 있습니다.

반대로 PowerShell 채널을 비활성화하려면 Disable-NetFirewallRule -DisplayGroup "Windows PowerShell" 명령어를 실행하면 됩니다.

Q5. 큐비트시큐리티의 plura.io 에서 제공하는 고급감사정책 사용으로 마이터 어택 관점의 탐지를 제공하고 있는데 설명해 주세요.

큐비트시큐리티의 plura.io는 클라우드 기반의 보안 관제 서비스를 제공하는 플랫폼 중 하나입니다. 이 플랫폼에서 제공하는 고급감사정책은 사용자의 시스템에서 발생하는 다양한 이벤트를 수집하고 분석하여 보안 이슈를 탐지하는 기능을 제공합니다. 이를 통해 마이터 어택과 같은 대규모 해킹 공격을 빠르게 탐지하고 대응할 수 있습니다.

고급감사정책을 활용하여 탐지하는 이벤트로는 다음과 같은 것들이 있습니다.

  1. 로그인 이벤트
  • 다수의 IP에서 동시에 로그인 시도가 발생하는 경우
  • 비정상적인 로그인 시도 횟수가 발생하는 경우
  • 로그인 시도 시도가 빈번하게 발생하는 경우
  1. 관리자 계정 이벤트
  • 관리자 계정 정보 변경 시도가 발생하는 경우
  • 관리자 계정 로그인 실패 시도가 발생하는 경우
  • 관리자 계정에서 비정상적인 작업이 발생하는 경우
  1. 네트워크 이벤트
  • 알려지지 않은 IP 주소에서의 접근 시도가 발생하는 경우
  • 다수의 IP 주소에서 동시에 접근 시도가 발생하는 경우
  • 대량의 데이터 전송이 발생하는 경우

이 밖에도 다양한 이벤트를 탐지할 수 있으며, 이를 기반으로 알림과 경고를 제공하여 관리자가 신속하게 대응할 수 있도록 돕습니다. 또한, 이벤트 발생 내역을 분석하여 추후 대응 전략을 수립하는 데에도 활용될 수 있습니다.

따라서, plura.io에서 제공하는 고급감사정책을 사용하면, 다양한 이벤트를 탐지하고 대응할 수 있으므로 마이터 어택과 같은 대규모 해킹 공격에 대비하는 데에 매우 유용합니다.

 

참고 사이트

[1] Windows Event Log, Windows Event Log – Win32 apps | Microsoft Learn