로그인회원가입장바구니고객센터마이페이지회사소개
kangcom
전체
Home >   >   > 

Splunk를 활용한 시큐리티 모니터링(해킹과 보안)

 [보안 담당자를 위한 SIEM 구축 및 활용]
   
지은이 서진원   |   출판사 에이콘출판  |   발행일 2020년 07월 14일
 
클릭하시면 큰 도서이미지를 보실 수 있습니다.
판매가 35,000원31,500원 10%
마일리지 5% 1,750원
발행일 2020-07-14
ISBN 9791161754369
기타정보 국내서 | 416쪽
예상출고일 1~2일 이내 (근무일기준)
배송비 무료배송
   
일반
   
 

★ 이 책에서 다루는 내용 ★

■ Splunk 입문자를 위한 기초부터 고급 활용 방안
■ Splunk의 기본 검색과 고급 검색인 지식 객체 사용
■ 기업 보안 담당자에게 필요한 시큐리티 모니터링의 주요 관점
■ 네트워크, 엔드포인트 계층별 시큐리티 모니터링 기법
■ 계층별 로그 특성 및 정보보안 관점의 분석 기법
■ SIEM(Security Information & Event Management)의 개념과 기술
■ Splunk를 활용한 SIEM 설계 및 구축

★ 이 책의 대상 독자 ★

■ 시큐리티 모니터링을 이해하고 기초를 쌓고 싶은 학생, 직장인
■ Spunk를 처음 접하거나 관리 지식을 얻고 싶은 학생, 직장인
■ Splunk를 정보보안 분야에 활용하고 싶은 보안 담당자
■ Splunk를 활용해서 업무를 개선하거나 성과를 얻고자 하는 보안 담당자
■ Splunk로 자사 전용 앱을 구축하고 실무에 적용하고자 하는 보안 담당자

★ 이 책의 구성 ★

Splunk 활용 방안을 고민하는 사용자나 Splunk를 이용해서 정보보호 업무를 수행하려는 보안 담당자를 위한 내용을 담고 있으며, 총 2부 10장으로 구성했다.
1부는 Splunk의 기본 사항을 다루고 2부에서는 Splunk를 활용한 실제 SIEM 구축 과정을 설명한다. 각 장의 내용은 다음과 같다.
1장. ‘Splunk 소개’에서는 Splunk 소개와 정보보호 분야의 공격자 동향을 소개한다. 이에 대응하기 위한 방어 모델인 사이버 킬체인과 MITRE ATT&CK을 알아본다.
2장. ‘검색’에서는 Splunk 검색 및 검색 명령을 살펴본다. 매우 방대한 Splunk 검색 명령어에서 보안장비 로그 검색에 주로 사용하는 명령어 위주로 소개한다.
3장. ‘Splunk 지식 관리’에서는 Splunk 검색 명령어 결과에 의미를 부여하는 Splunk 지식 객체를 설명한다. 설명하는 지식 객체는 이벤트 타입, 태그, 룩업, 워크플로와 검색 매크로다. 이런 지식 객체를 사용해 검색 결과 및 성능을 개선할 수 있다.
4장. ‘보고서와 대시보드’에서는 Splunk의 리포트와 대시보드 기능을 설명하고 각각을 생성하고 관리하는 방법을 설명한다. 리포트는 검색어를 저장하는 방법과 동일한 효과를 가지며, 향후 재사용이 가능한 방법이다. 리포트를 사용해서 대시보드를 구축하는 다양한 방법도 설명한다.
5장. ‘SIEM이란?’에서는 SIEM(Security Information & Event Management)을 설명한다. SIEM을 활용한 로그 수집 전략과 경고 생성 등 SIEM의 핵심 항목을 살펴보고 이를 기반으로 SIEM을 구축하는 전략을 살펴본다.
6장. ‘로그 수집’에서는 Splunk에서 로그 분석을 위해서 로그를 수집하는 방법과 전략을 살펴본다. 수집 대상 로그는 네트워크 계층 로그와 엔드포인트 계층인 윈도우 PC 로그 수집 방법을 설명한다.
7장. ‘네트워크 로그 분석’에서는 네트워크 계층 로그에서 이상징후를 추출하는 분석 기법을 살펴본다. 예제로 살펴보는 네트워크 계층에서 DNS, HTTP, SSL 등 네트워크에서 사용량이 많은 프로토콜 위주로 이상징후를 탐지하는 방법을 살펴본다.
8장. ‘엔드포인트 로그 분석’에서는 엔드포인트 계층 로그에서 이상징후를 추출하는 분석 기법을 살펴본다. 예제 로그인 윈도우 PC에서 발생하는 이상징후를 정의하고 이를 탐지하는 방법을 살펴본다.
9장. ‘SIEM 구축하기’에서는 Splunk에서 SIEM 앱을 구축한다. 앱 설계, 메뉴 구성, 패널 시각화를 소개하고 대시보드를 구축해서 SIEM을 손쉽게 사용할 수 있게 한다. Splunk 본연의 기능인 검색을 대시보드로 표현함으로써 사용자의 편의성을 높인다.
10장. ‘SIEM 운영 강화’에서는 구축한 SIEM 앱에 경고, 드릴다운과 같은 사용자 편의 기능을 추가해서 사용성을 높이는 방안을 설명한다.
1장. SPLUNK 소개
1.1 SPLUNK와 정보보호
1.2 공격 패러다임의 전환
1.2 공격 동향 분석
1.2.1 사이버 킬체인
1.22 MITRE ATT&CK
1.3 위협사냥
1.3.1 로그 수집
1.3.2 수집 대상
1.3.3 수집 로그 저장
1.4 실습용 데이터 추가
1.4.1 튜토리얼 데이터 다운로드 받기
1.4.2 데이터 추가 방법
1.5 요약
2장. 검색
2.1 장 소개
2.2 SPLUNK 검색 기본
2.2.1 시간 연산자
2.2.2 검색에서 필드 활용하기
2.2.3 검색 처리 언어 및 파이프
2.3 검색 명령어
2.3.1 데이터 나열, 변환
2.3.2 통계 계산
2.3.3 차트 시각화
2.3.4 비교 분석
2.3.5 다중 문자열과 시간
2.4 검색어 작성
2.5 검색 효율성 높이기
2.5.1 시간 범위 지정하기
2.5.2 인덱스 이름 지정하기
2.5.3 최대한 자세한 검색어 사용하기
2.5.4 검색 필터는 검색어 처음에 사용
2.5.5 와일드카드 사용 자제
2.5.6 FIELDS 명령어 적극 사용
2.6 요약
3장. SPLUNK 지식 관리
3.1 장 소개
3.2 SPLUNK 지식 개요
3.3 이벤트 타입
3.4 룩업
3.5 태그와 별칭
3.5.1 태그
3.5.2 별칭
3.6 워크플로
3.7 검색 매크로
3.8 요약
4장. 보고서와 대시보드
4.1 장 소개
4.2 보고서
4.2.1 보고서 생성하기
4.2.2 보고서 편집
4.2.3 보고서 복제
4.2.4 보고서 예약
4.3 대시보드
4.3.1 시각화 종류
4.3.2 차트 패널 생성하기
4.3.3 대시보드 구축
4.4 요약
5장. SIEM이란?
5.1 소개
5.2 SIEM의 이해
5.2.1 SIEM의 정의
5.2.2 주요 기능
5.2.3 구성 요소
5.3 SIEM 구축
5.3.1 구축 전 고려사항
5.3.2 로그 수집 전략
5.3.3 로그 검색 및 분석 전략
5.3.4 경고 구축 전략
5.4 SPLUNK SIEM 구축 방안
5.4.1 로그 수집
5.4.2 로그 검색/분석
5.4.3 경고
5.5 요약
6장. 로그 수집
6.1 장 소개
6.2 ZEEK
6.2.1 ZEEK 설치 및 운영
6.2.2 환경설정 및 실행
6.2.3 ZEEK 로그 형식
6.3 SYSMON
6.3.1 SYSMON 설치하기
6.3.2 이벤트 확인 및 운영
6.3.3 SYSMON 생성 이벤트 목록
6.4 SPLUNK 로그 저장
6.4.1 로컬에서 직접 수집
6.4.2 원격 로그 수집 - 리눅스
6.4.3 원격 로그 수집 - 윈도우
6.4.4 예제 로그 업로드
6.5 요약
7장. 네트워크 로그 분석
7.1 장 소개
7.2 주요 서비스 프로토콜
7.2.1 DNS
7.2.2 HTTP
7.2.3 SSL/X509
7.3 네트워크 현황 분석
7.3.1 DNS
7.3.2 HTTP 프로토콜
7.3.3 SSL & X509 프로토콜
7.4 이상징후 분석
7.4.1 DNS 이상징후
7.4.2 HTTP 이상징후
7.4.3 SSL & X509
7.5 요약
8장. 엔드포인트 로그 분석
8.1 장 소개
8.2 엔드포인트 로그
8.2.1 엔드포인트 로그의 필요성 및 대상
8.2.2 윈도우 이벤트
8.2.3 SYSMON
8.3 PC 이상징후 분석
8.3.1 비정상 폴더에서 EXE 파일 실행
8.3.2 파일 실행 후 원본 파일 삭제
8.3.3 실행 후 네트워크 접속 다수 발생
8.3.4 네트워크 셸 실행
8.4 요약
9장. SIEM 구축하기
9.1 장 소개
9.2 SPLUNK SIEM 앱 설계
9.2.1 구축 목적
9.2.2 구축 범위
9.2.3 구축 전략
9.2.4 메뉴 설계 및 구성
9.2.5 메뉴 설명
9.3 SIEM 구축
9.3.1 SPLUNK 앱 생성
9.3.2 SIEM 메뉴 구성
9.3.3 SIEM INSIGHTS
9.3.4 네트워크 현황
9.3.5 이상징후
9.3.6 정보 검색
9.4 패널 시각화
9.5 드릴 다운을 활용한 대시보드 강화
9.5.1 해시 값 기반 검색
9.5.2 도메인 기반 검색
9.5.3 대시보드 내부 토큰 활용
9.6 요약
10장. SIEM 운영 강화
10.1 장 소개
10.2 OSINT
10.2.1 위협정보 수집
10.2.2 OSINT 정보 수집 활용하기
10.2.3 룩업 테이블 활용
10.3 경고 설정
10.3.1 네트워크 계층 경고
10.3.2 엔드포인트 경고
10.3.3 악성 도메인 접속 경고
10.4 위협사냥 구현
10.4.1 명령제어 서버 탐지
10.4.2 비정상 파일명 탐지
10.5 상황 대응 대시보드 운영
10.5.1 상황 대응 전략 수립
10.5.2 상황 판단 대시보드 제작
10.6 요약
10.7 이 책의 요약
저자 : 서진원
EBAY 글로벌 정보보호실에서 아시아태평양 지역, 정보보호 담당자로 근무하고 있으며, 한국인터넷진흥원(KOREA INTERNET & SECURITY AGENCY)에서 정보보호 제품 평가, 국내 인터넷 모니터링, 주요 침해사고 대응을 수행했다. 다양한 정보보호 시스템 구축, 정부 데이터센터 구축 프로젝트에 참여해서 IT와 정보보호 분야에서 많은 경험을 쌓았다. 아주대학교 사이버보안학과, 고려대학교 정보보호대학원 겸임교수로 활동하고 있으며 경험을 공유한다는 마음으로 학생들을 만나고 있다.
등록된 서평이 없습니다.
 
전체평균(0)
회원평점   회원서평수 0
에이콘출판 출판사의 신간
자율주행차량 기술 입문
행키 샤프리 (지은이),김은도,남기혁,서영빈,이승열 (옮긴이) 저
29,700원
(10%↓+5%)
 
스프링 배치 완벽 가이드 2/e
마이클 미넬라/서경석 저
36,000원
(10%↓+5%)
 
알고리즘 윤리
마이클 키언스/이정표 저
18,000원
(10%↓+5%)
 
소프트웨어 개발자 테스팅
알렉산더 탈린더 지음/김영기 저
27,000원
(10%↓+5%)
 
빅데이터 마이닝 3/e
쥬어 레스코벡/박효균 저
45,000원
(10%↓+5%)
 
이메일주소수집거부