장바구니 담기 close

장바구니에 상품을 담았습니다.

장바구니로 계속쇼핑하기
Splunk를 활용한 시큐리티 모니터링 2/e
미리보기

Splunk를 활용한 시큐리티 모니터링 2/e

  • 서진원
  • |
  • 에이콘출판
  • |
  • 2024-10-31 출간
  • |
  • 404페이지
  • |
  • 188 X 235 X 19mm
  • |
  • ISBN 9791161759258
판매가

35,000원

즉시할인가

31,500

배송비

무료배송

(제주/도서산간 배송 추가비용:3,000원)

추가상품
상품선택
독서대 7,900원 독서대 선택안함 0원
수량
+ -
총주문금액
31,500
장바구니 구매하기

※ 스프링제본 상품은 반품/교환/환불이 불가능하므로 신중하게 선택하여 주시기 바랍니다.

북스크린영상으로 만나보는 한 권의 책 이야기

출판사서평

◆ Splunk 입문자를 위한 기초부터 고급 활용 방안
◆ 기업 보안 담당자에게 필요한 시큐리티 모니터링의 주요 관점
◆ 네트워크, 엔드포인트 계층별 시큐리티 모니터링 기법
◆ 계층별 로그 특성 및 정보보안 관점의 분석 기법
◆ SIEM(Security Information & Event Management)의 개념 및 운영
◆ Splunk를 활용한 SIEM 설계 및 구축
◆ Splunk 대시보드 스튜디오 활용


◈ 이 책의 대상 독자 ◈

◆ 시큐리티 모니터링을 이해하고 기초를 쌓고 싶은 학생, 직장인
◆ Spunk를 처음 접하거나 관리 지식을 얻고 싶은 학생, 직장인
◆ Splunk를 정보보안 분야에 활용하고 싶은 보안 담당자
◆ Splunk를 활용해서 정보보호 업무를 개선하거나 성과를 얻고자 하는 보안 담당자
◆ Splunk로 자사 전용 앱을 구축하고 실무에 적용하고자 하는 보안 담당자


Splunk 활용 방안을 고민하는 사용자나 Splunk를 이용해서 정보보호 업무를 수행하려는 보안 담당자를 위한 내용을 담고 있는 책으로, 총 2부 10장으로 구성됐다. 1부는 Splunk의 기본 사항을 다루고 2부에서는 Splunk를 활용한 실제 SIEM 구축 과정을 설명한다. 각 장의 내용은 다음과 같다.
1장. ‘Splunk 소개’에서는 Splunk 소개와 정보보호 분야의 공격자 동향을 소개한다. 이에 대응하기 위한 방어 모델인 사이버 킬체인과 MITRE ATT&CK을 알아본다.
2장. ‘검색’에서는 Splunk 검색 및 검색 명령을 살펴본다. 매우 방대한 Splunk 검색 명령어에서 보안 장비 로그 검색에 주로 사용하는 명령어 위주로 소개한다.
3장. ‘Splunk 지식 관리’에서는 Splunk 검색 명령어 결과에 의미를 부여하는 Splunk 지식 객체를 설명한다. 설명하는 지식 객체는 이벤트 타입(Event Type), 태그, 룩업(lookup), 워크플로와 검색 매크로다. 이런 지식 객체를 사용해 검색 결과 및 성능을 개선할 수 있다.
4장. ‘보고서와 대시보드’에서는 Splunk의 리포트와 대시보드 기능을 소개하고 각각을 생성하고 관리하는 방법을 살펴본다. 리포트는 검색어를 저장하는 방법과 동일한 효과를 가지며, 향후 재사용이 가능한 방법이다. 리포트를 사용해서 대시보드를 구축하는 다양한 방법도 설명한다.
5장. ‘SIEM이란?’에서는 SIEM(Security Information & Event Management)을 설명한다. 또 SIEM을 활용한 로그 수집 전략과 경고 생성 등 SIEM의 핵심 항목을 살펴보고 이를 기반으로 SIEM을 구축하는 전략을 살펴본다.
6장. ‘로그 수집’에서는 Splunk에서 로그 분석을 위해서 로그를 수집하는 방법과 전략을 살펴본다. 수집 대상 로그는 네트워크 계층 로그와 엔드포인트 계층인 윈도우C P 로그 수집 방법도 알아본다.
7장. ‘네트워크 로그 분석’에서는 네트워크 계층 로그에서 이상징후를 추출하는 분석기법을 살펴본다. 그리고 예제로 살펴보는 네트워크 계층에서 DNS, HTTP, SSL 등 네트워크에서 사용량이 많은 프로토콜 위주로 이상징후를 탐지하는 방법을 소개한다.
8장. ‘엔드포인트 로그 분석’에서는 엔드포인트 계층 로그에서 이상징후를 추출하는 분석기법을 알아본다. 또한 예제 로그인 윈도우 PC에서 발생하는 이상징후를 정의하고 이를 탐지하는 방법을 살펴본다.
9장. ‘SIEM 구축하기’에서는 Splunk에서 SIEM 앱(app, application)을 구축한다. 앱 설계, 메뉴 구성, 패널 시각화를 소개하고 대시보드를 구축해서 SIEM을 손쉽게 사용할 수 있게 한다. Splunk 본연의 기능인 검색을 대시보드로 표현함으로써 사용자의 편의성을 높인다.
10장. ‘SIEM 운영 강화’에서는 구축한 SIEM 앱에 경고, 드릴다운(drill down)과 같은 사용자 편의 기능을 추가해서 사용성을 높이는 방안을 설명한다.

목차

1장. Splunk 소개
1.1 Splunk와 정보보호
1.2 공격 패러다임의 전환
1.2 공격 동향 분석
1.2.1 사이버 킬체인
1.2.2 마이터 어택
1.3 위협사냥
1.3.1 로그 수집
1.3.2 수집 대상
______네트워크 계층 로그
______엔드포인트 계층 로그
______사용자 인증 로그
______위협정보 로그
1.3.3 수집 로그 저장
1.4 실습용 데이터 추가
1.4.1 튜토리얼 데이터 다운로드
1.4.2 데이터 추가 방법
______업로드
1.5 요약
2장. 검색
2.1 장 소개
2.2 Splunk 검색 기본
2.2.1 시간 연산자
2.2.2 검색에서 필드 활용하기
2.2.3 검색 처리 언어 및 파이프
2.3 검색 명령어
2.3.1 데이터 나열, 변환
______table
______rename
______fields
______dedup
______sort
2.3.2 통계 계산
______stats
______top
______rare
______len(X)
2.3.3 차트 시각화
______timechart
______chart
2.3.4 비교 분석
______eval
______case(X,"Y",
______cidrmatch("X",Y)
______if(X, Y, Z)
______like(X,"Y")
______match(X,"Y")
2.3.5 다중 문자열과 시간
______mvindex(X,Y,Z)
______split(X,"Y")
______substr(X,Y,Z)
______round(X,Y)
______urldecode(X)
______strftime(X, Y)
______strptime(X, Y)
______now( )
2.4 검색어 작성
2.5 검색 효율성 높이기
2.5.1 시간 범위 지정하기
2.5.2 인덱스 이름 지정하기
2.5.3 최대한 자세한 검색어 사용하기
2.5.4 검색 필터는 검색어 처음에 사용
2.5.5 와일드카드 사용 자제
2.5.6 fields 명령어 적극 사용
2.6 요약
3장. Splunk 지식 관리
3.1 장 소개
3.2 Splunk 지식 개요
3.3 이벤트 타입
3.4 룩업
3.5 태그와 별칭
3.5.1 태그
3.5.2 별칭
3.6 워크플로
3.7 검색 매크로
3.8 요약
4장. 보고서와 대시보드
4.1 장 소개
4.2 보고서
4.2.1 보고서 생성하기
______설정 메뉴에서 신규 보고서 추가하기
______검색 결과를 보고서로 저장하기
______대시보드 패널을 보고서로 변환하기
4.2.2 보고서 편집
4.2.3 보고서 복제
4.2.4 보고서 예약
4.3 클래식 대시보드
4.3.1 시각화 종류
______이벤트 리스트
______테이블
______차트
______단일 값
______지도
4.3.2 대시보드 패널 생성하기
______막대 차트
______원형 차트
______꺾은선형
______단일 값
4.3.3 클래식 대시보드 구축
______새 대시보드 만들기
______패널 추가하기
______드릴다운
4.4 대시보드 스튜디오
4.4.1 대시보드 스튜디오 특징
______추가된 시각화 차트
______배경 그림을 활용한 시각화
______패널 배치 자유도 증가
______패널 설정 창 위치
______기본 및 체인 검색
4.4.2 대시보드 스튜디오 실습
______대시보드 레이아웃 디자인
______새 대시보드 만들기
______게임 카테고리 선택
______총 매출액 패널
______구매 이력 현황
______홈페이지 로그인 실패 계정
______메일 서버 로그인 실패 계정
______비정상 접근 현황
4.5 요약
5장. SIEM이란?
5.1 소개
5.2 SIEM의 이해
5.2.1 SIEM의 정의
5.2.2 주요 기능
5.2.3 구성 요소
5.3 SIEM 구축
5.3.1 구축 전 고려사항
______단일 기능의 SIEM을 도입하지 않기
______SIEM을 통해 얻고자 하는 것 확인하기
______외부 위협정보 활용 필수
5.3.2 로그 수집 전략
______수집 범위, 대상
______수집 로그 용량 산정
5.3.3 로그 검색 및 분석 전략
5.3.4 경고 구축 전략
5.4 Splunk SIEM 구축 방안
5.4.1 로그 수집
5.4.2 로그 검색/분석
5.4.3 경고
5.5 요약
6장. 로그 수집
6.1 장 소개
6.2 Zeek
6.2.1 Zeek 설치 및 운영
6.2.2 환경설정 및 실행
6.2.3 Zeek 로그 형식
6.3 Sysmon
6.3.1 Sysmon 설치하기
6.3.2 이벤트 확인 및 운영
6.3.3 Sysmon 생성 이벤트 목록
6.4 Splunk 로그 저장
6.4.1 로컬에서 직접 수집
6.4.2 원격 로그 수집 - 리눅스
______수집 환경설정
______로그 수집 확인
______필드 추출
6.4.3 원격 로그 수집 - 윈도우
______수집 환경설정
______로그 수집 확인
6.4.4 예제 로그 업로드
______Zeek 로그 업로드
______스캐너 로그 업로드
______sysmon 로그 추가
6.5 요약
7장. 네트워크 로그 분석
7.1 장 소개
7.2 주요 서비스 프로토콜
7.2.1 DNS
7.2.2 HTTP
7.2.3 SSL/X509
7.3 네트워크 현황 분석
7.3.1 DNS
______Top 10 도메인 현황
______TOP 10 도메인 요청 IP 현황
______도메인 응답코드 현황
7.3.2 HTTP 프로토콜
______TOP 10 접속 도메인, 국가별 접속
______HTTP 메서드
______TOP 10 클라이언트 오류
______TOP 10 서버 오류
______HTTP 상태코드
7.3.3 SSL & x509 프로토콜
______Top 10 접속 도메인
______인증서 만료 임박 사이트
7.4 이상징후 분석
7.4.1 DNS 이상징후
______비정상적인 서브 도메인 길이
______비허가 DNS 사용/DNS 터널링
______도메인 엔트로피 값을 이용한 탐지
7.4.2 HTTP 이상징후
______비정상 메서드 사용
______외부행 데이터 전송
______사이트 이동 후 실행 파일 다운로드
______프록시 서버 접속
7.4.3 SSL & X509
______인증서 만료 SSL 통신
______self-signed 인증서 사용
7.5 요약
8장. 엔드포인트 로그 분석
8.1 장 소개
8.2 엔드포인트 로그
8.2.1 엔드포인트 로그의 필요성 및 대상
8.2.2 윈도우 이벤트
8.2.3 Sysmon
8.3 PC 이상징후 분석
8.3.1 비정상 폴더에서 exe 파일 실행
8.3.2 파일 실행 후 원본 파일 삭제
8.3.3 실행 후 네트워크 접속 다수 발생
8.3.4 네트워크 셸 실행
8.4 요약
9장. SIEM 구축하기
9.1 장 소개
9.2 Splunk SIEM 앱 설계
9.2.1 구축 목적
9.2.2 구축 범위
9.2.3 구축 전략
9.2.4 메뉴 설계 및 구성
9.2.5 메뉴 설명
______SIEM Insight
______네트워크 현황
______이상징후
______고급 검색
9.3 SIEM 구축
9.3.1 Splunk 앱 생성
9.3.2 SIEM 메뉴 구성
9.3.3 SIEM Insight
______TCP 목적지 포트 현황
______UDP 목적지 포트 현황
______서비스 현황
______출발지, 목적지 현황
9.3.4 네트워크 현황
______DNS
______HTTP
9.3.5 이상징후
DNS
HTTP
9.3.6 정보 검색
______IP, 도메인 검색
______CVE 검색
______악성코드 정보 검색
9.4 패널 시각화
9.5 드릴다운을 활용한 대시보드 강화
9.5.1 해시 값 기반 검색
9.5.2 도메인 기반 검색
9.5.3 대시보드 내부 토큰 활용
9.6 요약
10장. SIEM 운영 강화
10.1 장 소개
10.2 오픈 소스 인텔리전스
10.2.1 위협정보 수집
10.2.2 OSINT 정보 수집 활용하기
10.2.3 룩업 테이블 활용
10.3 경고 설정
10.3.1 네트워크 계층 경고
10.3.2 엔드포인트 경고
10.3.3 악성 도메인 접속 경고
10.4 위협사냥 구현
10.4.1 명령제어 서버 탐지
10.4.2 비정상 파일명 탐지
10.5 상황 대응 대시보드 운영
10.5.1 상황 대응 전략 수립
10.5.2 상황 판단 대시보드 제작
10.6 요약
10.7 이 책의 요약
추천포스트

교환 및 환불안내

도서교환 및 환불
  • ㆍ배송기간은 평일 기준 1~3일 정도 소요됩니다.(스프링 분철은 1일 정도 시간이 더 소요됩니다.)
  • ㆍ상품불량 및 오배송등의 이유로 반품하실 경우, 반품배송비는 무료입니다.
  • ㆍ고객님의 변심에 의한 반품,환불,교환시 택배비는 본인 부담입니다.
  • ㆍ상담원과의 상담없이 교환 및 반품으로 반송된 물품은 책임지지 않습니다.
  • ㆍ이미 발송된 상품의 취소 및 반품, 교환요청시 배송비가 발생할 수 있습니다.
  • ㆍ반품신청시 반송된 상품의 수령후 환불처리됩니다.(카드사 사정에 따라 카드취소는 시일이 3~5일이 소요될 수 있습니다.)
  • ㆍ주문하신 상품의 반품,교환은 상품수령일로 부터 7일이내에 신청하실 수 있습니다.
  • ㆍ상품이 훼손된 경우 반품 및 교환,환불이 불가능합니다.
  • ㆍ반품/교환시 고객님 귀책사유로 인해 수거가 지연될 경우에는 반품이 제한될 수 있습니다.
  • ㆍ스프링제본 상품은 교환 및 환불이 불가능 합니다.
  • ㆍ군부대(사서함) 및 해외배송은 불가능합니다.
  • ㆍ오후 3시 이후 상담원과 통화되지 않은 취소건에 대해서는 고객 반품비용이 발생할 수 있습니다.
반품안내
  • 마이페이지 > 나의상담 > 1 : 1 문의하기 게시판 또는 고객센터 1800-7327
교환/반품주소
  • 경기도 파주시 문발로 211 1층 / (주)북채널 / 전화 : 1800-7327
  • 택배안내 : CJ대한통운(1588-1255)
  • 고객님 변심으로 인한 교환 또는 반품시 왕복 배송비 5,000원을 부담하셔야 하며, 제품 불량 또는 오 배송시에는 전액을 당사에서부담 합니다.