N2SF-AC-3(2): 내부 사용자 모니터링
계정 관리 (Account Management) · 제1장 권한
기본 정보
보안통제 설명
내부 사용자의 계정 사용 및 활동을 지속적으로 모니터링한다.
상위 통제항목
관련 로그 스키마 (22)
-
ePrism SSL VA 액세스
medium
계정, URL, 접속시간, 세션정보를 통해 내부 사용자의 웹 이용 행위를 지속적으로 분석하여 이상 접근을 탐지하는 데 활용할 수 있다.
-
eWalker SWG 액세스
medium
사용자 계정별 웹 접속 대상, 시간, 전송량, 정책 위반 행위를 분석해 내부 사용자의 비정상 웹 활동을 모니터링할 수 있다.
-
엑소스피어 악성코드 경보
medium
사용자 계정, 호스트, 부서 정보와 함께 악성코드 경보를 수집하므로 내부 사용자 활동과 연계한 이상 징후 모니터링에 활용할 수 있다.
-
엑소스피어 악성코드 검사
medium
내부 사용자와 단말별로 악성코드 검사 수행 및 탐지 현황을 추적해 위험 징후가 있는 내부 사용자를 모니터링하는 데 도움이 된다.
-
엑소스피어 출력
medium
내부 사용자별 출력 행위와 차단 이력을 기반으로 비정상적이거나 과도한 출력 활동을 지속적으로 모니터링할 수 있다.
-
지니안 EDR 감사 로그
high
EDR 감사 로그의 계정, 출발지 IP/MAC, 로그유형 정보를 통해 내부 사용자의 단말 기반 활동을 지속적으로 모니터링할 수 있다.
-
지니안 EDR 모듈 로그
medium
호스트별 사용자 로그온 ID와 프로세스·파일 행위를 연계하면 내부 사용자의 계정 활동과 이상 행위를 지속적으로 모니터링할 수 있다.
-
지니안 EDR 프로세스 로그
high
proc_user_id, logon_id, session_id 기반으로 내부 사용자의 프로세스 실행 행위와 이상 활동을 지속적으로 추적할 수 있다.
-
지니안 EDR 레지스트리 로그
medium
사용자 로그온ID와 연계된 레지스트리 수정 행위를 수집하므로 내부 사용자의 비정상 행위나 정책 위반 활동을 지속 모니터링할 수 있다.
-
QueryPie 활동
high
계정, 출발지IP, 대상 정보를 기반으로 내부 사용자의 PAM 내 활동을 지속적으로 추적하고 이상 행위를 분석할 수 있다.
-
QueryPie 감사 로그 내보내기
medium
내부 사용자의 감사 로그 반출 시도를 사용자 단위로 추적할 수 있어 내부 사용자 계정 활동 모니터링에 활용 가능하다.
-
QueryPie CDC
medium
내부 사용자의 계정으로 어떤 데이터가 변경되었는지 지속 추적할 수 있어 내부 사용자 활동 모니터링에 실질적으로 도움이 된다.
-
QueryPie DML 스냅샷
medium
내부 사용자의 DB 변경 활동을 사용자별·수행위치별로 지속 모니터링하여 비정상적 데이터 조작 행위를 탐지할 수 있다.
-
QueryPie 서버 감사
medium
내부 사용자 계정이 어떤 서버에서 어떤 명령을 수행했는지 지속적으로 모니터링할 수 있어 내부 사용자 활동 감시에 활용 가능하다.
-
Sysmon DNS 쿼리
medium
계정, 호스트, 프로세스 기준의 DNS 활동을 분석하면 내부 사용자의 비정상 네트워크 행위를 지속적으로 모니터링할 수 있다.
-
Sysmon 파일 생성
low
계정, 호스트, 프로세스별 파일 생성 활동을 수집해 내부 사용자의 비정상 행위를 간접적으로 모니터링할 수 있다.
-
Sysmon 파일 스트림 생성
medium
내부 사용자의 계정, 호스트, 프로세스별 인터넷 다운로드 파일 생성 행위를 지속적으로 추적해 이상 활동을 모니터링할 수 있다.
-
Sysmon 파일 생성 시각
medium
사용자 계정, 프로세스, 파일 경로 정보를 통해 내부 사용자의 비정상적인 파일 타임스탬프 조작 행위를 모니터링할 수 있다.
-
Sysmon 네트워크 접속
medium
계정(user)과 프로세스(image_path) 기준의 네트워크 접속 이력을 통해 내부 사용자의 비정상 통신 활동을 지속적으로 감시할 수 있다.
-
Sysmon 프로세스
high
사용자 계정별 프로세스 실행 활동을 지속적으로 수집하므로 내부 사용자의 행위 모니터링과 이상 징후 탐지에 적합하다.
-
Sysmon 프로세스 접근
medium
내부 사용자 계정이 어떤 프로세스를 통해 다른 프로세스에 접근했는지 추적할 수 있어 내부 사용자 활동 모니터링 근거로 활용할 수 있다.
-
Sysmon 레지스트리 이벤트
medium
내부 사용자 계정과 연계된 레지스트리 변경 활동을 지속 모니터링하여 비정상적 사용자 행위를 탐지하는 데 도움이 된다.