SIEM(Security Information & Event Management) 보안 정보와 이벤트를 관리하는 보안 도구 다양한 네트워크 장비, 서버 등 기타 인프라에서 발생한 로그를 수집 수집한 로그 중 원하는 로그를 수집할 수 있는 필터링 기능 제공 상관분석, 심층분석 등 다양한 로그 분석이 가능함 보안 위협을 실시간 모니터링 공격으로 예상되는 비정상 행위 탐지 시 보안 담당자한테 우선순위에 따라 경보를 발생 ESM(Enterprise Security management) SIEM과 마찬가지로 여러 보안 장비들로부터 로그를 수집한 뒤 보안 현황을 모니터링 하는 보안 도구 SIEM은 ESM의 진화된 형태 SIEM이 ESM에서 진화된 내용 관리 및 분석 범위 확대 심층 분석, 연관분석 지원 광범위 데이..

NTP(Network Time Protocol) 시간 동기화할 때 사용하는 프로토콜 협정세계시(UTC) 사용 UDP 123번 포트 사용 NTP 클라이언트들의 시간을 NTP 서버와 동기화 시킬때 유니캐스트, 브로드캐스트, 멀티캐스트 사용 https://www.ntppool.org/zone/kr 한국 NTP 서버들에 대한 정보를 제공 시간 동기화의 목적 - 서버와 클라이언트의 시간이 일치하지 않을 경우 로그의 신뢰성 하락, 정확한 시간대에 발생한 로그 분석을 할 수 없음 부팅, 백업과 같은 예약 작업들이 실행되지 않을 수도 있음 인증 불가, 암호화 인증 프로토콜 과정 시 timestamp 및 lifetime이 추가 환경설정 splunkserver(ubuntu) : NTP 서버 : 192.168.10.10 z..