[정보보안] 윈도우 이벤트 로그
[정보보안] 윈도우 이벤트 로그
윈도우 운영체제 기반의 피해시스템에서 공격자의 침투경로를 파악하기 위해서는 어떠한 경로가 필요할까요?인터넷 기록 및 레지스트리 등을 확인 및 분석하는 악성코드에 어떻게 감염되었는지 살펴볼 정보 중 하나이나, 가장 중요한 아티팩트는 윈도우 이벤트 로그라고 볼 수 있습니다.
윈도우 이벤트 로그는 외부에서의 시스템 접속과 사용자 계정 설정 변경 등 침투/피해 시점 당시 발생하였던 다양한 정보를 저장하고 있으며 분석가는 이를 통해 보다 효율적인 접근이 가능합니다.
윈도우 이벤트 로그
이벤트 로그에는 윈도우에서 발생하는 하드웨어, 소프트웨어 및 시스템 문제에 대한 다양한 이벤트들이 기록됩니다. 다만 운영체제가 업그레이드 됨에 따라 버전별로 기록되는 형태와 경로가 조금씩 다릅니다.
바이너리 형태로 저장된 이벤트 로그를 확인하기 위해서는 데이터를 해석하고 알아볼 수 있게 해주는 별도의 프로그램이 필요합니다.
대표적으로 윈도우에서 기본으로 제공하는 '이벤트 뷰어'가 있습니다.
- 이벤트 뷰어를 이용해 CSV로 내보내기 할 수있습니다.
주요 이벤트별 특징
1. 응용프로그램 로그
윈도우에서 API를 사용하는 응용프로그램이 중요한 이벤트를 알리고, 활동 내역을 기록합니다.
예로 안티바이러스 제품의 경우 악성코드 탐지 및 업데이트를,
일반 응용프로크래은 활성화 또는 비활성화, 성공 여부 등의 정보를 기록합니다.
응용프로그램 로깅의 경우 응용프로그램에 의해 제어되기 때문에,
이벤트로그 역시 응용프로그램 개발자에 의해 정의됩니다.
하지만, 모든 응용프로그램이 이벤트 로그를 생성하지는 않는다.
2. 시스템 로그
윈도우의 시스템 운영과 유지에 관련된 대부분의 정보가 이 곳에 저장됩니다.
주로 하드웨어 장치나 드라이버 오류 정보 및 동작 여부 등이 기록되며,
윈도우의 시스템 진단과 문제점을 해결하기 위해 사용됩니다.
새로운 서비스의 등록, 또는 시작 및 중단등의 기록과 장치 드라이버가 로드되는 내역 등이 저장되므로
사고 분석에서 관련 정보의 활용이 필요합니다.
여기에서 주의 깊게 살펴보셔야 할 정보는 시간 변경, 시스템 시작/종료, 서비스 시작/종료/실패 등이 있습니다.
3.보안 로그
시스템 로그온, 파일 접근, 인증, 계정 생성, 권한 사용 등에 따른 이벤트와 보안과 관련된 항목들이 저장됩니다.
어떤 사용자 계정이 사용되었는지, 어떤 컴퓨터에 접근했는지 또한 어떤 파일에 접근했는지에 대한 관련정보가 포함되어 있어 사고 분석에 있어 가장 중요한 로그라 할 수 있습니다.
출처
댓글
댓글 쓰기