1장. Splunk 소개
1.1 Splunk와 정보보호
1.2 공격 패러다임의 전환
1.3 공격 동향 분석
1.3.1 사이버 킬체인
1.3.2 마이터 어택
1.4 위협사냥
1.4.1 로그 수집
1.4.2 수집 대상
____네트워크 계층 로그
____엔드포인트 계층 로그
____사용자 인증 로그
____위협정보 로그
1.4.3 수집 로그 저장
1.5 실습용 데이터 추가
1.5.1 튜토리얼 데이터 다운로드
1.5.2 데이터 추가 방법
업로드
1.6 요약
2장. 검색
2.1 장 소개
2.2 Splunk 검색 기본
2.2.1 시간 연산자
2.2.2 검색에서 필드 활용하기
2.2.3 검색 처리 언어 및 파이프
2.3 검색 명령어
2.3.1 데이터 나열, 변환
______table
______rename
______fields
______dedup
______sort
2.3.2 통계 계산
______stats
______top
______rare
______len(X
2.3.3 차트 시각화
______timechart
______chart
2.3.4 비교 분석
______eval
______case(X,"Y",
______cidrmatch("X",Y
______if(X, Y, Z
______like(X,"Y"
______match(X,"Y"
2.3.5 다중 문자열과 시간
______mvindex(X,Y,Z
______split(X,"Y"
______substr(X,Y,Z
______round(X,Y
______urldecode(X
______strftime(X, Y
______strptime(X, Y
______now(
2.4 검색어 작성
2.5 검색 효율성 높이기
2.5.1 시간 범위 지정하기
2.5.2 인덱스 이름 지정하기
2.5.3 최대한 자세한 검색어 사용하기
2.5.4 검색 필터는 검색어 처음에 사용
2.5.5 와일드카드 사용 자제
2.5.6 f
이 책의 대상 독자
시큐리티 모니터링을 이해하고 기초를 쌓고 싶은 학생, 직장인
Spunk를 처음 접하거나 관리 지식을 얻고 싶은 학생, 직장인
Splunk를 정보보안 분야에 활용하고 싶은 보안 담당자
Splunk를 활용해서 정보보호 업무를 개선하거나 성과를 얻고자 하는 보안 담당자
Splunk로 자사 전용 앱을 구축하고 실무에 적용하고자 하는 보안 담당자
Splunk 활용 방안을 고민하는 사용자나 Splunk를 이용해서 정보보호 업무를 수행하려는 보안 담당자를 위한 내용을 담고 있는 책으로, 총 2부 10장으로 구성됐다. 1부는 Splunk의 기본 사항을 다루고 2부에서는 Splunk를 활용한 실제 SIEM 구축 과정을 설명한다. 각 장의 내용은 다음과 같다.
1장. ‘Splunk 소개’에서는 Splunk 소개와 정보보호 분야의 공격자 동향을 소개한다. 이에 대응하기 위한 방어 모델인 사이버 킬체인과 MITRE ATT&CK을 알아본다.
2장. ‘검색’에서는 Splunk 검색 및 검색 명령을 살펴본다. 매우 방대한 Splunk 검색 명령어에서 보안 장비 로그 검색에 주로 사용하는 명령어 위주로 소개한다.
3장. ‘Splunk 지식 관리’에서는 Splunk 검색 명령어 결과에 의미를 부여하는 Splunk 지식 객체를 설명한다. 설명하는 지식 객체는 이벤트 타입(Event Type, 태그, 룩업(lookup, 워크플로와 검색 매크로다. 이런 지식 객체를 사용해 검색 결과 및 성능을 개선할 수 있다.
4장. ‘보고서와 대시보드’에서는 Splunk의 리포트와 대시보드 기능을 소개하고 각각을 생성하고 관리하는 방법을 살펴본다. 리포트는 검색어를 저장하는 방법과 동일한 효과를 가지며, 향후 재사용이 가능한 방법이다. 리포트를 사용해서 대시보드를 구축하는 다양한 방법도 설명한다.
5장. ‘SIEM이란?’에서는 SIEM(Security Information & Event Management을 설명한다. 또 SIEM을 활용한 로그
