모니터링 및 감사
모니터링 및 감사를 통해 BioStar X의 보안 상태를 파악할 수 있습니다. 효과적인 감사를 위해서는 운영 체제, 애플리케이션, 데이터베이스 수준에서 로그를 활성화하고, 이를 중앙 집중화하여 정기적으로 검토해야 합니다.
로깅 정책 정의
로그에 기록해야 하는 이벤트, 보존 기간, 검토 담당자를 명시하는 로깅 정책을 수립해야 합니다.
최소한 다음 이벤트 유형을 로깅해야 합니다.
-
인증 시도(성공/실패)
-
권한 변경
-
구성 변경
-
데이터베이스 접근
-
방화벽 활동
보존 기간: 일반적으로 로컬에서 90~180일, 중앙화된 시스템에서는 더 오랜 기간 설정하는 것을 권장합니다.
Windows 이벤트 로깅 및 모니터링 활성화
-
이벤트 뷰어에서 보안, 애플리케이션, 시스템 로깅이 활성화되어 있는지 확인하세요.
-
로그 크기를 구성하세요. 보안 로그는 최소 1GB 이상으로 설정하는 것을 권장합니다.
-
로컬 보안 정책(
secpol.msc) → 로컬 정책 → 감사 정책에서 다음 정책에 대한 감사를 설정하세요.로그온 이벤트, 권한 사용, 정책 변경, 계정 로그온, 개체 접근
중앙화된 로그 전달 및 SIEM 연동
-
중앙 SIEM 또는 로그 관리 시스템으로 로그를 전달하세요.
-
지원 옵션: Splunk, Elastic Stack, Microsoft Sentinel, Windows Event Forwarding(WEF)
모범 사례
전송 중인 로그를 TLS로 암호화하여 가로채기 또는 변조를 방지하세요.
애플리케이션 수준 감사 활성화
-
BioStar X → 설정 → 서버에서 시스템 로그 단계 설정 섹션으로 이동하세요.
-
로그 파일 위치는
[BioStar X 설치 경로]\logs\acs.log경로입니다. -
BioStar X 서비스 계정과 관리자만 접근할 수 있도록 권한을 설정하세요.
-
SIEM 또는 중앙 로깅 솔루션으로 로그를 전달하세요.
데이터베이스 감사 활성화
-
MariaDB: 감사 플러그인(
server_audit)을 사용합니다. -
SQL Server: SQL Server Audit 기능을 사용하여 로그를 파일 또는 이벤트 로그에 기록합니다.
-
중앙 로그 시스템으로 전달합니다.
데이터베이스 감사 활성화에 대한 자세한 내용은 데이터베이스 및 데이터 보호를 참조하세요.
방화벽 및 네트워크 활동 모니터링
-
고급 보안이 포함된 Windows Defender 방화벽(
wf.msc) → 속성 → 로깅에서 패킷 손실 로깅을 활성화하세요. -
%systemroot%\system32\LogFiles\Firewall\pfirewall.log경로에 로그를 저장하세요. -
SIEM으로 로그를 전달하세요.
-
이상 징후를 탐지하기 위해 IDS/IPS(Snort, Suricata, Zeek)를 배포합니다.
방화벽 로그는 빠르게 증가하므로 로그 순환 및 안전한 저장소를 구현해야 합니다.
검토 및 알림
중요 이벤트에 대한 자동 알림을 설정하세요.
-
반복된 로그인 실패
-
권한 상승
-
예기치 않은 서비스 시작 및 종료
-
데이터베이스 스키마 수정
정기적으로 로그를 수동 검토하세요.