침해사고나 시스템분석 시 가장 많은 정보를 가지고 있는 항목이 로그다. 실제 시스템 분석 시 가장 많은 시간을 사용하는 부분이 로그를 분석하는 작업이다.
윈도우 시스템에서 발생되는 모든 로그는 이벤트 로그에 남는다. 윈도우의 이벤트 로그를 통해 공격자가 원격으로 접속한 IP 주소나 중요한 접근 정보가 발견되기도 한다. 해킹 흔적이 남기 때문에 공격자에 의해 삭제되기도 한다.
Appendix L: Events to monitor
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor
리눅스에서는 ‘logs’ 폴더 및에 기록되는 시스템 로그에 모든 사용자의 행적이 남는다. 시스템 명령 실행에서부터 인증 내역까지 분석에 필요한 정보를 확인한 수 있다.
시스템에 침입하기 위해 어플리케이션을 대상으로 취약점을 공격한다. 최근에는 FTP, Telenet, SMTP등의 애플리케이션이 아닌 HTTP를 대상으로 공격이 가장 많이 발생하고, 실제로도 HTTP를 통해 침해가 많이 발생된다. 그래서 침해사고분석의 해결실마리가 웹 로그를 통해 많이 발견된다.
시스템에서 제공되는 로그 종류를 알아야 분석 시 시스템에서 제공되는 로그를 활용할 수 있다.
보안로그에 기록되는 이벤트는 각각 로그 유형에 따라 이벤트 ID 가 부여 된다. 이 이벤트 ID는 시스템의 보안과 관련있는 설정 변경이나 계정 로그인 실패/성공 등의 정보를 구분 한다.
실제 침해사고가 발생해 시스템을 점검할 경우 보안 로그 분석 시 엄청난 양의 보안 로그를 분석해야 하는 경우가 대부분 이다. 이런 경우 이벤트 ID를 이용해 필요한 데이터를 따로 추출해 로그를 분석 한다. 분석 시에는 앞서 소개한 로그 분석 프로그램을 이용해 이벤트 ID별로 필터링 하여 검색한다.
마이크로소프트에서 제공되는 윈도우 이벤트 ID를 잠깐 살펴보자. 500번대와 관련된 이벤트 로그는 대부분이 로그온과 관련된 로그다. 다음이 간단하게 이벤트 ID와 해당 이벤트에 대한 설명이다. 추가로 이벤트 ID별로 자세한 설명을 책의 마지막에 추가 하였으니 좀더 많은 내용을 검색하고자 하면 참고하기 바란다.
| 이벤트 ID | 설명 |
| 528 | 로그온 성공 |
| 529 | 로그온 실패 원인: 알 수 없는 사용자 이름 또는 잘못된 암호 |
| 530 | 로그온 실패 원인: 계정 로그온 제한 시간 위반 |
| 531 | 로그온 실패 원인: 현재 사용할 수 없는 계정 |
| 532 | 로그온 실패 원인: 지정한 사용자 계정이 만료되었습니다. |
| 533 | 로그온 실패 원인: 사용자는 이 시스템에 로그온이 허용되지 않았습니다. |
| 534 | 로그온 실패 원인: 사용자는 이 시스템에 요구한 로그온 유형의 권한이 없습니다. |
| 535 | 로그온 실패 원인: 지정한 계정의 암호가 만료되었습니다. |
| 536 | 로그온 실패 원인: NetLogon 구성 요소가 활성화되어 있지 않습니다. |
| 537 | 로그온 실패 원인: 로그온 중 예기치 않은 오류가 발생했습니다. |
| 538 | 사용자 로그오프 |
| 539 | 로그온 실패 원인: 계정이 잠겼습니다. |
| 644 | 성공 감사 설명: 사용자 계정이 잠겼습니다 |
| 이벤트 ID | 설명 |
| 4720 | 사용자 계정을 만들었습니다. |
| 4722 | 사용자 계정이 활성화 되었습니다. |
| 4723 | 계정의 암호를 변경 하려고 했습니다. |
| 4724 | 계정의 암호를 다시 설정 하려고 했습니다. |
| 4725 | 사용자 계정을 비활성화 되었습니다. |
| 4726 | 사용자 계정이 삭제 되었습니다. |
| 4738 | 사용자 계정이 변경 되었습니다. |
| 4740 | 사용자 계정이 잠겨. |
| 4765 | 계정의 SID 기록은 추가 되었습니다. |
| 4766 | 계정에 SID 기록을 추가할 수 없습니다. |
| 4767 | 사용자 계정 잠금이 해제 되었습니다. |
| 4780 | ACL은 관리자 그룹의 구성원 인 계정에 설정 되었습니다. |
| 4781 | 계정 이름이 변경 되었습니다. |
이벤트 ID에 대한 추가 자료는 별첨을 참고하자.
좀더 이벤트 아이디에 대해 자세히 살펴보자. 이벤트 ID중 538번(사용자 로그오프) 로그를 자세히 살펴보자. 해당 이벤트 로그의 이벤트 범주는 다음과 같이 로그온/로그오프 유형에 해당된다. 해당 항목의 경우 로그온 유형이 기록이 된다. 로그온 유형은 시스템에 사용자가 접근한 방식을 의미 하는데 방식을 구분해 보면 크게 시스템에 연결된 키보드와 마우스를 통해 시작화면에서 로그인 하거나 네트워크 연결을 통해 원격으로 시스템에 로그인 하는 경우를 의미한다.
| 이벤트 형식: 성공 감사 이벤트 원본: Security 이벤트 범주: 로그온/로그오프 이벤트 ID: 538 날짜: 2014-02-20 시간: 오후 4:20:09 사용자: SVCTAG-F5C9HBX\Administrator 컴퓨터: SVCTAG-F5C9HBX 설명: 사용자 로그오프: 사용자 이름: Administrator 도메인: SVCTAG-F5C9HBX 로그온 ID: (0x0,0xD50845F) 로그온 유형: 3 |
로그온 유형에 표기된 숫자는 각각이 다른 의미를 갖는다. 숫자에 따라 시스템에 로그온/로그오프한 유형이 정의되어 있다. 아래 표가 로그온 유형에 대한 설명 이다.
| 로그온 유형 | 설명 |
| 2(Interactive) | 시스템에 연결된 키보드와 마우스를 통해 시작화면에서 로그인한 형태 입니다. |
| 3(Network) | 사용자나 컴퓨터가 네트워크 연결을 통해 컴퓨터에 로그인한 유형 입니다. 주로 파일 공유(net use)를 통한 로그온 입니다. <예제> 사용자 이름: 도메인: 로그온 ID: (0x0,0x2DE744C) 로그온 유형: 3 로그온 프로세스: NtLmSsp 인증 패키지: NTLM 워크스테이션 이름: SONGT60 로그온 GUID: – 호출자 사용자 이름: – 호출자 도메인: – 호출자 로그온 ID: – 호출자 프로세스 ID: – 전송된 서비스: – 원본 네트워크 주소: 192.168.10.123 원본 포트: 0 |
| 4(Batch) | 애플리케이션에 의해 배치잡 형태로 구동되는 로그온 유형 입니다. |
| 5(Service) | 서비스 로그온 유형(Service logon) |
| 6(Proxy) | 지원되지 않음(Not supported) |
| 7(Unlock) | 사용자가 워크스테이션의 잠금을 해제한 유형 입니다. |
| 8(NetworkClearText) | 사용자가 네트워크 연결을 통해 로그인 하고 사용자 정보가 평문으로 전달 되었습니다. |
| 9(NewCredentials) | 프로세스나 쓰레드 복제에 의한 로그온 유형으로 아웃바운드 통신용 |
| 10(RemoteInteractive) | 터미널 서비스나 원격데스크탑을 통해 시스템에 로그인한 유형 입니다. <예제> 사용자 이름: Administrator 도메인: CERT-SONG 로그온 ID: (0x0,0x2DAE56F) 로그온 유형: 10 로그온 프로세스: User32 인증 패키지: Negotiate 워크스테이션 이름: CERT-SONG 로그온 GUID: – 호출자 사용자 이름: CERT-SONG$ 호출자 도메인: WORKGROUP 호출자 로그온 ID: (0x0,0x3E7) 호출자 프로세스 ID: 716 전송된 서비스: – 원본 네트워크 주소: 192.168.10.123 원본 포트: 2655 |
보안 이벤트를 분석하는 방법도 앞서 소개한 애플리케이션 로그분석과 마찬가지로 로그 형식에 대한 사전 지식이 필요하다. 이벤트로그 각 항목에 대해 의미를 알지 못하고는 정확한 로그 분석이 어렵다.