Open gkswls321 opened 3 years ago
<현재(04.29) 모니터링 1순위>
-> 보안관련 이벤트는 처리해야한다. (탐지, 기록(저장), 분석, 대응 및 출력) = 비정상 이벤트, 보안 위협 이벤트에 대한 처리 = 정상/비정상 의 기준 | 보안에 위협/위협이 아닌것에 대한 기준
접속 시간대 : 접속 시간에 대한 로그 (업무 외의 시간인가?)
IP주소 기반 이질적인 위치 탐지, 알람, 제한 : IP 주소에 대한 로그 IP 주소에 대한 위치 관련 정보 IP 주소 변화에 대한 로그
요청 값에 대한 탐지 및 필터링 (예: 특수문자가 포함되어 공격목적이 담겨있어 보이는 요청) : 서버에 요청을 보낼때 특수문자가 필요한 서비스인지 확인이 필요하다. 요청 받고, 처리기록에 대한 로그
민감데이터 접근 및 수정이 일어날 경우에 대해서도 비정상 탐지가 가능할까? (정상, 비정상 요청을 감별할 수 있는 기준이 있을까?) :
이벤트란??
<대전제 1> 컴퓨팅에서 이벤트(event)란 프로그램에 의해 감지되고 처리될 수 있는 동작이나 사건을 말한다. => 컴퓨터에서 일어나는 행위가 이벤트다. -> 어떤 종류의 이벤트를 탐지, 기록, 분석할 것이냐를 정해야 한다. = 보안 관련 = 리소스관련 = 에러 = 웹서비스 = 읽기, 쓰기, 저장, 옮기기 등등 = 로그인같이 연결관련, 네트워크 관련 ... 등등?
보안, 웹개발, 앱개발에서 이벤트란 단어의 범위가 좀 달라진다 => 보안에서는 공격에 대한 것들이 이벤트다 => 웹개발에서는 브라우저에서 일어나는 상호작용들이 이벤트다 => 컴퓨터에서 일어나는 모든것들이 이벤트다