본문 바로가기

추천 검색어

실시간 인기 검색어

상세검색 도움말
  1. HOME
  2. eBook
  3. IT/프로그래밍
  4. 컴퓨터공학

Splunk를 활용한 시큐리티 모니터링

보안 담당자를 위한 SIEM 구축 및 활용
서진원 지음
에이콘출판

2020년 09월 24일 출간

종이책 : 2020년 07월 14일 출간

(개의 리뷰)
( 0% 의 구매자)
eBook 상품 정보
파일 정보 pdf (11.09MB)
ISBN 9791161754604
쪽수 413쪽
듣기(TTS) 가능
TTS 란?
텍스트를 음성으로 읽어주는 기술입니다.
  • 전자책의 편집 상태에 따라 본문의 흐름과 다르게 텍스트를​ 읽을 수 있습니다.
  • 전자책 화면에 표기된 주석 등을 모두 읽어 줍니다.
  • 이미지 형태로 제작된 전자책 (예 : ZIP 파일)은 TTS 기능을 지원하지 않습니다.
  • '교보 ebook' 앱을 최신 버전으로 설치해야 이용 가능합니다. (Android v3.0.26, iOS v3.0.09,PC v1.2 버전 이상)
소득공제
소장
정가 : 28,000원

쿠폰적용가 25,200

10% 할인 | 5%P 적립

이 상품은 배송되지 않는 디지털 상품이며,
교보eBook앱이나 웹뷰어에서 바로 이용가능합니다.

카드&결제 혜택

  • 5만원 이상 구매 시 추가 2,000P
  • 3만원 이상 구매 시, 등급별 2~4% 추가 최대 416P
  • 리뷰 작성 시, e교환권 추가 최대 300원

작품소개

이 상품이 속한 분야

Splunk에서 정보보안 로그를 수집/분석하고 내부 침해 행위를 찾아내는 과정을 보여준다. 정보보안 사전 지식을 갖추고, Splunk 검색어를 작성할 수 있는 사용자를 대상으로 서술했지만, 초보자도 책의 내용을 쉽게 따라올 수 있게 작성했다. 특별히 Splunk를 활용해서 정보보안 전용 앱 구축, 정보보안 관련 로그 분석 등 많은 업무를 효율적으로 개선하기 원하는 정보보안 담당자를 위해서 쓰였다.
1장. Splunk 소개

1.1 Splunk와 정보보호
1.2 공격 패러다임의 전환
1.2 공격 동향 분석
1.2.1 사이버 킬체인
1.22 MITRE ATT&CK
1.3 위협사냥
1.3.1 로그 수집
1.3.2 수집 대상
1.3.3 수집 로그 저장
1.4 실습용 데이터 추가
1.4.1 튜토리얼 데이터 다운로드 받기
1.4.2 데이터 추가 방법
1.5 요약


2장. 검색

2.1 장 소개
2.2 Splunk 검색 기본
2.2.1 시간 연산자
2.2.2 검색에서 필드 활용하기
2.2.3 검색 처리 언어 및 파이프
2.3 검색 명령어
2.3.1 데이터 나열, 변환
2.3.2 통계 계산
2.3.3 차트 시각화
2.3.4 비교 분석
2.3.5 다중 문자열과 시간
2.4 검색어 작성
2.5 검색 효율성 높이기
2.5.1 시간 범위 지정하기
2.5.2 인덱스 이름 지정하기
2.5.3 최대한 자세한 검색어 사용하기
2.5.4 검색 필터는 검색어 처음에 사용
2.5.5 와일드카드 사용 자제
2.5.6 fields 명령어 적극 사용
2.6 요약


3장. Splunk 지식 관리

3.1 장 소개
3.2 Splunk 지식 개요
3.3 이벤트 타입
3.4 룩업
3.5 태그와 별칭
3.5.1 태그
3.5.2 별칭
3.6 워크플로
3.7 검색 매크로
3.8 요약


4장. 보고서와 대시보드

4.1 장 소개
4.2 보고서
4.2.1 보고서 생성하기
4.2.2 보고서 편집
4.2.3 보고서 복제
4.2.4 보고서 예약
4.3 대시보드
4.3.1 시각화 종류
4.3.2 차트 패널 생성하기
4.3.3 대시보드 구축
4.4 요약


5장. SIEM이란?

5.1 소개
5.2 SIEM의 이해
5.2.1 SIEM의 정의
5.2.2 주요 기능
5.2.3 구성 요소
5.3 SIEM 구축
5.3.1 구축 전 고려사항
5.3.2 로그 수집 전략
5.3.3 로그 검색 및 분석 전략
5.3.4 경고 구축 전략
5.4 Splunk SIEM 구축 방안
5.4.1 로그 수집
5.4.2 로그 검색/분석
5.4.3 경고
5.5 요약


6장. 로그 수집

6.1 장 소개
6.2 Zeek
6.2.1 Zeek 설치 및 운영
6.2.2 환경설정 및 실행
6.2.3 Zeek 로그 형식
6.3 Sysmon
6.3.1 Sysmon 설치하기
6.3.2 이벤트 확인 및 운영
6.3.3 Sysmon 생성 이벤트 목록
6.4 Splunk 로그 저장
6.4.1 로컬에서 직접 수집
6.4.2 원격 로그 수집 - 리눅스
6.4.3 원격 로그 수집 - 윈도우
6.4.4 예제 로그 업로드
6.5 요약


7장. 네트워크 로그 분석

7.1 장 소개
7.2 주요 서비스 프로토콜
7.2.1 DNS
7.2.2 HTTP
7.2.3 SSL/X509
7.3 네트워크 현황 분석
7.3.1 DNS
7.3.2 HTTP 프로토콜
7.3.3 SSL & X509 프로토콜
7.4 이상징후 분석
7.4.1 DNS 이상징후
7.4.2 HTTP 이상징후
7.4.3 SSL & X509
7.5 요약


8장. 엔드포인트 로그 분석

8.1 장 소개
8.2 엔드포인트 로그
8.2.1 엔드포인트 로그의 필요성 및 대상
8.2.2 윈도우 이벤트
8.2.3 Sysmon
8.3 PC 이상징후 분석
8.3.1 비정상 폴더에서 exe 파일 실행
8.3.2 파일 실행 후 원본 파일 삭제
8.3.3 실행 후 네트워크 접속 다수 발생
8.3.4 네트워크 셸 실행
8.4 요약


9장. SIEM 구축하기

9.1 장 소개
9.2 Splunk SIEM 앱 설계
9.2.1 구축 목적
9.2.2 구축 범위
9.2.3 구축 전략
9.2.4 메뉴 설계 및 구성
9.2.5 메뉴 설명
9.3 SIEM 구축
9.3.1 Splunk 앱 생성
9.3.2 SIEM 메뉴 구성
9.3.3 SIEM Insights
9.3.4 네트워크 현황
9.3.5 이상징후
9.3.6 정보 검색
9.4 패널 시각화
9.5 드릴 다운을 활용한 대시보드 강화
9.5.1 해시 값 기반 검색
9.5.2 도메인 기반 검색
9.5.3 대시보드 내부 토큰 활용
9.6 요약


10장. SIEM 운영 강화

10.1 장 소개
10.2 OSINT
10.2.1 위협정보 수집
10.2.2 OSINT 정보 수집 활용하기
10.2.3 룩업 테이블 활용
10.3 경고 설정
10.3.1 네트워크 계층 경고
10.3.2 엔드포인트 경고
10.3.3 악성 도메인 접속 경고
10.4 위협사냥 구현
10.4.1 명령제어 서버 탐지
10.4.2 비정상 파일명 탐지
10.5 상황 대응 대시보드 운영
10.5.1 상황 대응 전략 수립
10.5.2 상황 판단 대시보드 제작
10.6 요약
10.7 이 책의 요약

★ 이 책에서 다루는 내용 ★

■ Splunk 입문자를 위한 기초부터 고급 활용 방안
■ Splunk의 기본 검색과 고급 검색인 지식 객체 사용
■ 기업 보안 담당자에게 필요한 시큐리티 모니터링의 주요 관점
■ 네트워크, 엔드포인트 계층별 시큐리티 모니터링 기법
■ 계층별 로그 특성 및 정보보안 관점의 분석 기법
■ SIEM(Security Information & Event Management)의 개념과 기술
■ Splunk를 활용한 SIEM 설계 및 구축

★ 이 책의 대상 독자 ★

■ 시큐리티 모니터링을 이해하고 기초를 쌓고 싶은 학생, 직장인
■ Spunk를 처음 접하거나 관리 지식을 얻고 싶은 학생, 직장인
■ Splunk를 정보보안 분야에 활용하고 싶은 보안 담당자
■ Splunk를 활용해서 업무를 개선하거나 성과를 얻고자 하는 보안 담당자
■ Splunk로 자사 전용 앱을 구축하고 실무에 적용하고자 하는 보안 담당자

★ 이 책의 구성 ★

Splunk 활용 방안을 고민하는 사용자나 Splunk를 이용해서 정보보호 업무를 수행하려는 보안 담당자를 위한 내용을 담고 있으며, 총 2부 10장으로 구성했다.
1부는 Splunk의 기본 사항을 다루고 2부에서는 Splunk를 활용한 실제 SIEM 구축 과정을 설명한다. 각 장의 내용은 다음과 같다.
1장. ‘Splunk 소개’에서는 Splunk 소개와 정보보호 분야의 공격자 동향을 소개한다. 이에 대응하기 위한 방어 모델인 사이버 킬체인과 MITRE ATT&CK을 알아본다.
2장. ‘검색’에서는 Splunk 검색 및 검색 명령을 살펴본다. 매우 방대한 Splunk 검색 명령어에서 보안장비 로그 검색에 주로 사용하는 명령어 위주로 소개한다.
3장. ‘Splunk 지식 관리’에서는 Splunk 검색 명령어 결과에 의미를 부여하는 Splunk 지식 객체를 설명한다. 설명하는 지식 객체는 이벤트 타입, 태그, 룩업, 워크플로와 검색 매크로다. 이런 지식 객체를 사용해 검색 결과 및 성능을 개선할 수 있다.
4장. ‘보고서와 대시보드’에서는 Splunk의 리포트와 대시보드 기능을 설명하고 각각을 생성하고 관리하는 방법을 설명한다. 리포트는 검색어를 저장하는 방법과 동일한 효과를 가지며, 향후 재사용이 가능한 방법이다. 리포트를 사용해서 대시보드를 구축하는 다양한 방법도 설명한다.
5장. ‘SIEM이란?’에서는 SIEM(Security Information & Event Management)을 설명한다. SIEM을 활용한 로그 수집 전략과 경고 생성 등 SIEM의 핵심 항목을 살펴보고 이를 기반으로 SIEM을 구축하는 전략을 살펴본다.
6장. ‘로그 수집’에서는 Splunk에서 로그 분석을 위해서 로그를 수집하는 방법과 전략을 살펴본다. 수집 대상 로그는 네트워크 계층 로그와 엔드포인트 계층인 윈도우 PC 로그 수집 방법을 설명한다.
7장. ‘네트워크 로그 분석’에서는 네트워크 계층 로그에서 이상징후를 추출하는 분석 기법을 살펴본다. 예제로 살펴보는 네트워크 계층에서 DNS, HTTP, SSL 등 네트워크에서 사용량이 많은 프로토콜 위주로 이상징후를 탐지하는 방법을 살펴본다.
8장. ‘엔드포인트 로그 분석’에서는 엔드포인트 계층 로그에서 이상징후를 추출하는 분석 기법을 살펴본다. 예제 로그인 윈도우 PC에서 발생하는 이상징후를 정의하고 이를 탐지하는 방법을 살펴본다.
9장. ‘SIEM 구축하기’에서는 Splunk에서 SIEM 앱을 구축한다. 앱 설계, 메뉴 구성, 패널 시각화를 소개하고 대시보드를 구축해서 SIEM을 손쉽게 사용할 수 있게 한다. Splunk 본연의 기능인 검색을 대시보드로 표현함으로써 사용자의 편의성을 높인다.
10장. ‘SIEM 운영 강화’에서는 구축한 SIEM 앱에 경고, 드릴다운과 같은 사용자 편의 기능을 추가해서 사용성을 높이는 방안을 설명한다.

작가정보

저자(글) 서진원

저자 : 서진원
eBay 글로벌 정보보호실에서 아시아태평양 지역, 정보보호 담당자로 근무하고 있으며, 한국인터넷진흥원(Korea Internet & Security Agency)에서 정보보호 제품 평가, 국내 인터넷 모니터링, 주요 침해사고 대응을 수행했다. 다양한 정보보호 시스템 구축, 정부 데이터센터 구축 프로젝트에 참여해서 IT와 정보보호 분야에서 많은 경험을 쌓았다. 아주대학교 사이버보안학과, 고려대학교 정보보호대학원 겸임교수로 활동하고 있으며 경험을 공유한다는 마음으로 학생들을 만나고 있다.

작가의 말

처음 Splunk를 접하던 때가 생각난다. 당시에는 나 역시 이 프로그램을 어떻게 활용해야 하는지를 정확히 알지 못했다. 빅데이터라는 용어가 IT 분야에 막 등장하던 때라서 더욱더 그랬던 것 같다. 그러다가 현 직장에서 Splunk를 업무에 적용하기 시작하면서 놀라운 프로그램이라는 것을 아는 데는 그리 오랜 시간이 걸리지 않았다.
당시 정보보호 장비에서 생성한 로그는 모두 관계형 데이터베이스에 저장했고 원하는 내용은 SQL 검색만 할 수 있었다. 모든 로그의 필드를 사전에 구별해서 데이터베이스에 입력해야 했기 때문에, 신규 장비 연동은 매우 귀찮은 작업이었다. 하지만 Splunk는 이런 고민을 단숨에 해결해줬다. SQL과 비슷한 전용 검색어는 프로그래밍 능력이 훌륭하지 않은 나도 쉽게 배울 수 있었고 인터넷의 다양한 문서는 많은 어려움을 해결하는 데 큰 도움을 줬다.
Splunk는 여러 분야에서 활용이 가능하지만 정보보호 분야에서 가장 효과적으로 사용할 수 있다고 생각한다. 빅데이터 기반의 대용량 처리, 자체 검색어를 이용한 실시간 검색과 경고, 대시보드의 통합 지원은 실시간 침해사고 대응 플랫폼에 최적이라고 생각했기 때문이다. 그때부터 나는 Splunk를 이용해서 다양한 로그를 저장하고 분석한 후에 정보보호 관점의 이상징후를 추출하는 데 많은 노력을 기울였다. 이 책은 내 경험을 기반으로 작성했고, 정보보호 담당자의 수고를 조금이라도 덜어주고자 집필하게 됐다.
매일 많은 정보보호 장비가 방대한 로그를 생성한다. 방대한 로그는 수집과 분석을 거쳐야 의미 있는 정보로 변환된다. “구슬이 서 말이라도 꿰어야 보배”라는 속담이 있다. 결국 정보보호 담당자는 흩어져 있는 로그를 수집하고 그 속에서 의미 있는 값을 정확히 추출해서 침해사고 예방 또는 대응을 수행해야 한다는 의미다.
이 책은 Splunk를 처음 사용하는 독자에게는 구체적인 활용 방법을 제시한다. 이미 사용 중인 독자에게는 더 효율적인 사용 방법을 알려주며, 특히 Splunk를 시큐리티 모니터링 관점에서 사용하는 구체적인 방법을 보여준다.
정보보호에서는 누구에게나 적용되는 절대 정답은 없다. 모두 자신만의 방법으로 문제를 해결하기 때문이다. 이 책이 제시하는 방법 역시 수많은 해결책 중 하나일 뿐 절대적인 답은 아니다. 이 책이 항상 과중한 업무를 수행하는 정보보호 담당자에게 올바른 정보를 제공하고, 업무를 조금이라도 경감시켜줄 수 있다면 무척 행복할 것이다.

이 상품의 총서

Klover리뷰 (0)

Klover리뷰 안내
Klover(Kyobo-lover)는 교보를 애용해 주시는 고객님들이 남겨주신 평점과 감상을 바탕으로, 다양한 정보를 전달하는 교보문고의 리뷰 서비스입니다.
1. 리워드 안내
구매 후 90일 이내에 평점 작성 시 e교환권 100원을 적립해 드립니다.
  • - e교환권은 적립일로부터 180일 동안 사용 가능합니다.
  • - 리워드는 1,000원 이상 eBook, 오디오북, 동영상에 한해 다운로드 완료 후 리뷰 작성 시 익일 제공됩니다.
  • - 리워드는 한 상품에 최초 1회만 제공됩니다.
  • - sam 이용권 구매 상품 / 선물받은 eBook은 리워드 대상에서 제외됩니다.
2. 운영 원칙 안내
Klover리뷰를 통한 리뷰를 작성해 주셔서 감사합니다. 자유로운 의사 표현의 공간인 만큼 타인에 대한 배려를 부탁합니다. 일부 타인의 권리를 침해하거나 불편을 끼치는 것을 방지하기 위해 아래에 해당하는 Klover 리뷰는 별도의 통보 없이 삭제될 수 있습니다.
  • 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
  • 도서와 무관한 내용의 리뷰
  • 인신공격이나 욕설, 비속어, 혐오 발언이 개재된 리뷰
  • 의성어나 의태어 등 내용의 의미가 없는 리뷰

구매 후 리뷰 작성 시, e교환권 100원 적립

문장수집

문장수집 안내
문장수집은 고객님들이 직접 선정한 책의 좋은 문장을 보여 주는 교보문고의 새로운 서비스 입니다. 교보eBook 앱에서 도서 열람 후 문장 하이라이트 하시면 직접 타이핑 하실 필요 없이 보다 편하게 남길 수 있습니다. 마음을 두드린 문장들을 기록하고 좋은 글귀들은 ‘좋아요’ 하여 모아보세요. 도서 문장과 무관한 내용 등록 시 별도 통보없이 삭제될 수 있습니다.
리워드 안내
  • 구매 후 90일 이내에 문장 수집 등록 시 e교환권 100원을 적립해 드립니다.
  • e교환권은 적립일로부터 180일 동안 사용 가능합니다.
  • 리워드는 1,000원 이상 eBook에 한해 다운로드 완료 후 문장수집 등록 시 제공됩니다.
  • 리워드는 한 상품에 최초 1회만 제공됩니다.
  • sam 이용권 구매 상품/오디오북·동영상 상품/주문취소/환불 시 리워드 대상에서 제외됩니다.

구매 후 문장수집 작성 시, e교환권 100원 적립

    소장 28,000

    이벤트
    쿠폰/혜택 sam 이란?
    교보eBook 첫 방문을 환영 합니다!

    신규가입 혜택 지급이 완료 되었습니다.

    바로 사용 가능한 교보e캐시 1,000원 (유효기간 7일)
    지금 바로 교보eBook의 다양한 콘텐츠를 이용해 보세요!

    교보e캐시 1,000원
    이용안내 sam이란? 교보e캐시
    TOP
    신간 알림 안내
    Splunk를 활용한 시큐리티 모니터링 웹툰 신간 알림이 신청되었습니다.
    신간 알림 안내
    Splunk를 활용한 시큐리티 모니터링 웹툰 신간 알림이 취소되었습니다.
    리뷰작성
    Splunk를 활용한 시큐리티 모니터링
    • 구매 후 90일 이내 작성 시, e교환권 100원 (최초1회)
    • 리워드 제외 상품 : 마이 > 라이브러리 > Klover리뷰 > 리워드 안내 참고
    • 콘텐츠 다운로드 또는 바로보기 완료 후 리뷰 작성 시 익일 제공
    감성 태그

    가장 와 닿는 하나의 키워드를 선택해주세요.

    0 1000
    사진 첨부(선택) 0 / 5

    총 5MB 이하로 jpg,jpeg,png 파일만 업로드 가능합니다.

    신고/차단

    신고 사유를 선택해주세요.
    신고 내용은 이용약관 및 정책에 의해 처리됩니다.

    허위 신고일 경우, 신고자의 서비스 활동이 제한될 수
    있으니 유의하시어 신중하게 신고해주세요.

    이 글을 작성한 작성자의 모든 글은 블라인드 처리 됩니다.

    문장수집 작성
    Splunk를 활용한 시큐리티 모니터링

    구매 후 90일 이내 작성 시, e교환권 100원 적립

    eBook 문장수집은 웹에서 직접 타이핑 가능하나, 모바일 앱에서 도서를 열람하여 문장을 드래그하시면 직접 타이핑 하실 필요 없이 보다 편하게 남길 수 있습니다.

    0 300
    P.
    Splunk를 활용한 시큐리티 모니터링
    보안 담당자를 위한 SIEM 구축 및 활용
    저자 모두보기
    저자(글)
    서진원
    낭독자 모두보기
    sam 이용권 선택
    님이 보유하신 이용권입니다.
    차감하실 sam이용권을 선택하세요.
    sam 이용권 선택
    님이 보유하신 이용권입니다.
    차감하실 sam이용권을 선택하세요.
    sam 이용권 선택
    님이 보유하신 프리미엄 이용권입니다.
    선물하실 sam이용권을 선택하세요.
    결제완료
    e캐시 원 결제 계속 하시겠습니까?
    교보 e캐시 간편 결제
    sam 열람권 선물하기
    • 보유 권수 / 선물할 권수
      0권 / 1
    • 받는사람 이름
      받는사람 휴대전화
    • 구매한 이용권의 대한 잔여권수를 선물할 수 있습니다.
    • 열람권은 1인당 1권씩 선물 가능합니다.
    • 선물한 열람권이 ‘미등록’ 상태일 경우에만 ‘열람권 선물내역’화면에서 선물취소 가능합니다.
    • 선물한 열람권의 등록유효기간은 14일 입니다.
      (상대방이 기한내에 등록하지 않을 경우 소멸됩니다.)
    • 무제한 이용권일 경우 열람권 선물이 불가합니다.
    이 상품의 총서 전체보기
    네이버 책을 통해서 교보eBook 첫 구매 시
    교보e캐시 지급해 드립니다.
    교보e캐시 1,000원
    • 첫 구매 후 3일 이내 다운로드 시 익일 자동 지급
    • 한 ID당 최초 1회 지급 / sam 이용권 제외
    • 네이버 책을 통해 교보eBook 구매 이력이 없는 회원 대상
    • 교보e캐시 1,000원 지급 (유효기간 지급일로부터 7일)
    sam이란? 교보e캐시
    구글북액션을 통해서 교보eBook
    첫 구매 시 교보e캐시 지급해 드립니다.
    교보e캐시 1,000원
    • 첫 구매 후 3일 이내 다운로드 시 익일 자동 지급
    • 한 ID당 최초 1회 지급 / sam 이용권 제외
    • 구글북액션을 통해 교보eBook 구매 이력이 없는 회원 대상
    • 교보e캐시 1,000원 지급 (유효기간 지급일로부터 7일)
    sam이란? 교보e캐시