목차

1) 윈도우 보안 감사 설정
2) 공유폴더 보안 감사 설정
3) ESM Syslog 설정

본문내용

❑ 동작원리
윈도우의 보안감사 기능을 이용해 파일의 제어 로그를 수집하고, ESM Agent는 해당로그를 Syslog형태로 전송하게 된다. ESM에서 연관성 분석을 등록하고 알람을 발생 시켜 이상징후를 탐지한다.
탐지를 위해 반드시 ESM Agent가 사전에 설치되어 있어야 한다.
* 윈도우 보안이벤트 → Agent수집 → ESM 매니저

1) 윈도우 보안 감사 설정
ESM 에이전트가 설치된 윈도우 파일 서버에서 다음과 같은 보안설정이 필요하다.
1. 개체편집기 실행 : 시작 → 실행 → gpedit.msc
2. 보안설정 : Windows 설정 → 보안설정 → 로컬정책 → 감사정책 → 개체액세스검사 → [성공]체크

2) 공유폴더 보안 감사 설정
해당 서버에서 감사 설정을 하게 되면 파일이 어떻게 처리되었는지에 대한 로그를 시스템 보안
로그를 통해 파악이 가능하다.
1. 폴더 선택 : 공유된 폴더에서 오른쪽 버튼 → 속성 → 보안 → 고급
2. 감사 추가 : 추가 → 사용자검색 → 선택
3. 항목 설정 : 추가한 사용자 더블 클릭 → 실행, 읽기, 쓰기, 삭제 항목 체크

3) ESM Syslog 설정
위와 같은 설정을 마치게 되면 원격에서 파일에 접근한 정보에 대한 상세한 정보가 윈도우 로그
에 저장되는 것을 확인할 수 있다.

참고 자료

없음