N2SF-LP-4(4): 관리자 권한 실행 로깅 및 감사
최소 권한 (Least Privilege) · 제1장 권한
기본 정보
보안통제 설명
관리자 권한 기능 실행 내역은 로깅하고 주기적인 사용 내역 감사를 실시한다.
상위 통제항목
관련 로그 스키마 (16)
-
AIWAF 감사
high
WAF 감사 로그의 로그인, 로그아웃, 관리자 설정 기록은 관리자 권한 기능 실행 내역의 로깅 및 감사에 직접 활용된다.
-
지니안 EDR 감사 로그
medium
감사 로그에 관리자 계정 관련 행위가 포함되는 경우 관리자 권한 실행 내역의 로깅 및 사후 감사를 지원할 수 있다.
-
지니안 EDR 모듈 로그
medium
로그온 ID와 프로세스 실행 이벤트를 통해 엔드포인트에서 관리자 권한으로 수행된 실행 행위를 감사하는 근거 로그로 활용할 수 있다.
-
지니안 EDR 프로세스 로그
high
프로세스 권한, 실행 사용자, 명령줄, 부모·자식 관계를 통해 관리자 권한으로 실행된 기능과 행위를 엔드포인트에서 직접 감사할 수 있다.
-
지니안 EDR 레지스트리 로그
medium
관리자 권한이 필요한 주요 레지스트리 변경 행위를 프로세스, 로그온ID와 함께 추적해 관리자 행위 감사에 활용할 수 있다.
-
QueryPie 권한 변경
high
권한 변경 수행 계정, 대상계정, 역할명, 권한목록, 시각이 기록되어 관리자급 권한 변경 행위에 대한 로깅 및 감사 근거로 직접 활용할 수 있다.
-
QueryPie 활동
high
PAM의 활동 로그는 사용자별 관리 행위와 대상 변경 이력을 기록하므로 관리자 권한 실행 내역의 로깅 및 감사에 직접 활용된다.
-
QueryPie SQL 감사
high
DB 접근제어(PAM) 로그에서 사용자별 SQL 실행, 접속, 반출 행위를 기록하므로 관리자·운영자의 권한 사용 내역 감사에 직접 활용할 수 있다.
-
QueryPie 감사 로그 내보내기
high
감사 로그 내보내기 수행 사용자와 상태를 기록하므로 관리자급 감사 기능 실행 내역의 로깅 및 사후 감사를 직접 지원한다.
-
QueryPie CDC
medium
관리자성 계정이 DB 데이터 변경을 수행한 내역을 남기고 감사할 수 있어 관리자 권한 사용 이력 점검을 일부 지원한다.
-
QueryPie DML 스냅샷
medium
PAM 기반 DB 접근제어 로그로 관리자·운영 계정의 데이터 변경 실행 내역을 추적하여 권한 사용 감사에 활용할 수 있다.
-
QueryPie 서버 감사
high
PAM의 서버 명령 감사 로그는 사용자·역할·서버계정별 관리자 명령 실행 내역을 직접 기록하므로 관리자 권한 사용 로깅 및 감사에 적합하다.
-
Sysmon 파일 생성 시각
medium
관리자 권한으로 자주 수행되는 파일 시각 변경 행위를 계정과 프로세스 기준으로 기록해 관리자 행위 감사에 보조적으로 활용할 수 있다.
-
Sysmon 프로세스
high
프로세스 생성·종료 시 계정, 명령줄, 무결성수준을 기록하므로 관리자 권한 실행 내역의 로깅과 감사에 직접 활용할 수 있다.
-
Sysmon 레지스트리 이벤트
medium
관리자 권한으로 실행된 프로세스가 중요 레지스트리를 변경한 내역을 사용자·프로세스 기준으로 감사하는 근거 로그로 활용할 수 있다.
-
윈도우 이벤트
medium
특권 계정의 로그온, 권한 사용, 관리자 그룹 변경 등의 이벤트를 통해 관리자 권한 실행 내역 감사에 필요한 근거를 제공한다.