N2SF-IN-5: 비인가 변경 방지
정보시스템 구성요소 (Information System Component) · 제6장 정보자산
기본 정보
보안통제 설명
인가되지 않은 정보시스템 구성요소 변경을 방지한다.
관련 로그 스키마 (5)
-
eWalker WAF 시스템
low
WAF 자체 시스템 이벤트 로그는 비인가 변경이나 비정상 구성 상태 징후를 탐지하는 보조 증적으로 활용될 수 있다.
-
지니안 EDR 레지스트리 로그
high
엔드포인트의 레지스트리 키·값 변경 이력을 프로세스와 함께 기록하므로 인가되지 않은 시스템 구성 변경 시도를 직접 탐지할 수 있다.
-
Sysmon 파일 생성
medium
중요 경로에서의 파일 생성 이벤트를 모니터링하면 시스템 구성요소에 대한 인가되지 않은 변경 시도를 탐지하는 근거가 된다.
-
Sysmon 파일 생성 시각
high
파일 생성 시각 변경 이벤트는 실행 파일 등의 타임스탬프 변조를 식별해 비인가 구성요소 변경 여부를 점검하는 데 직접 활용된다.
-
Sysmon 레지스트리 이벤트
high
Sysmon 레지스트리 이벤트는 프로세스별 레지스트리 생성·수정·삭제 행위를 기록하므로 시스템 구성의 비인가 변경 여부를 직접 추적할 수 있다.