DNS 로그분석(현황분석/이상징후)

현황분석- 현재 발생하는 상황을 파악하는 작업- 우리 망에서 이런 일이 있었구나- 무조건 문제가 있는 것은 아님- 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후- 평균적인 상황을 파악하다가 이상징후가 포착이 되면 관리자/침해대응팀에게 알림- 현황분석을 해서 문제가 없을 수도 있고, 그중 이상징후를 탐지할 수도 있음DNS Log 환경구성=> ZeekIDS는 우리망에 떠돌아다니는 네트워크 로그들을 수집하여 저장, 이것을 중앙관제에 scp를 사용하여 넘겨줌시나리오 : Zeek을 통해 DNS Log를 압축하여 중앙관제서버에게 넘겨줍니다. 중앙관제서버 입장에서는 sample_log/dns/dns.zip을 넘겨받은 것입니다. 중앙관제서버는 Splunk에 해당 로그를 로딩합니다.(splunk에 로그 ..