반응형 포렌식1 오픈소스 - 네트워크 포렌식을 위한 오픈소스 도구 Arkime (구 Moloch) : 1.소개 1) 개요 보안 시스템에서 발생한 이벤트의 정/오탐을 분석하는 일은 상당히 까다로운 일입니다. 사전 지식을 가지고 있는 탐지 패턴에 의해 탐지된 공격의 경우 비교적 쉽게 정/오탐에 대한 분석이 가능하지만. 사전 지식 없이 보안 시스템 벤더에서 제공된 패턴에 의해 탐지된 이벤트를 분석하는 경우는 제공되는 정책 설명 만을 읽고 추가 분석 없이 정/오탐을 가려내는 일은 거의 불가능에 가깝습니다. 이럴 때 보안 담당자는 고민이 많아지게 됩니다. 추가로 분석할만한 로그가 없으면 어쩌지? 이걸 시스템에 직접 들어가서 분석을 해야 하나? 물론 어느 정도 경력이 있다 보면 이게 침해에 의한 이벤트인지 아닌지 어느 정도 파악이 가능하겠지만 그마저도 완전히 확인을 하지 않으면 찜찜한 마음이 남는 것이 사실이니까요. 이러한.. 2021. 1. 9. 이전 1 다음 반응형