[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(48일차)

오늘 학습 주제

1. DNS

2. SIEM

 

 

 

DNS

---

- DNS -

 

 

문자 주소를 기반으로 IP를 찾기도 하지만반대로 IP 주소를 기반으로 문자 주소를 찾기도 한다(조회 == lookup)

 

DNS 서버 구축1) 프로그램 설치(bind 프로그램)2) 환경 설정- 정방향 조회 영역(zone)- 역방향 조회 영역(zone)

 

 

- DNS 레코드 -

DNS 레코드
A	도메인 이름을 IPv4 주소로 매핑 ex) "example.com" > 192.xxx.xxx.xxx
CNAME	도메인에 대한 별칭(다른 도메인의 이름)을 지정 ex)  "example.com" > example
NS	도메인의 네임 서버 정보를 지정
PTR	IP 주소를 도메인 이름으로 매핑(역방향 조회) ex) 192.xxx.xxx.xxx  > "example.com"
SOA	도메인의 기본 정보를 포함하며, 해당 도메인에 대한 권한 및 캐시 정보를 제공

 

 

- DNS Server -

 

 

- DNS Message -

 

DNS의 메시지는 [질의 메시지]와 [응답 메시지]가 존재

 

[질의 메시지]

헤더와 질의 코드로 구성

 

[응답 메시지]

헤더와 질의 레코드, 응답 레코드, 권한 레코드, 추가적인 레코드로 구성

 

질의 섹션	질의와 응답 메시지 모두에 존재
응답 섹션	응답 메시지에 존재하며 서버로부터 클라이언트로의 응답을 포함
권한 섹션	응답 메시지에만 존재하며 질의에 대한 권한이 있는 서버에 대한 정보(도메인 이름)을 제공
추가적인 정보 섹션	응답 메시지에만 존재하며 해석기에서 도움이 될 만한 추가적인 정보들을 제공

 

 

 

 

SIEM

---

- SIEM -

Security Information & Event Management

다양한 장비에서 발생하는 로그를 통합 수집하고 분석

로그 분석을 통해 각종 공격과 정책 위반을 탐지하고 경고

로그를 보고서로 변환하여 생성

 

 

- SIEM 동작방식-

각종 시스템으로부터 로그를 수집하고

분석하여 연관 작업을 수행

 

 

- SIEM 처리 프로세스-

 

관제 대상의 로그를 수집하고 정규화 및 필터링을 진행 후

로그들의 연관성을 분석하여

망 내의 이상 징후를 파악하고

그에 맞는 대응 또는 알림