N2SF-LP-5: 코드 실행권한 제한
최소 권한 (Least Privilege) · 제1장 권한
기본 정보
보안통제 설명
코드는 필요한 권한으로만 실행되도록 제한하고, 사용자 권한으로 실행되는 코드가 관리자 영역으로 접근되지 않도록 차단한다.
관련 로그 스키마 (8)
-
엑소스피어 랜섬웨어 파일변조 차단
medium
일반 프로세스가 보호파일을 변조하려는 행위를 차단한 기록으로 코드의 허용 범위 밖 파일 접근 제한이 동작하는지 일부 확인할 수 있다.
-
엑소스피어 랜섬웨어 실행 차단
medium
랜섬웨어 실행 자체를 차단한 로그는 악성 코드의 실행권한 제한 통제가 엔드포인트에서 동작했는지 보조적으로 확인할 수 있다.
-
지니안 EDR 모듈 로그
medium
프로세스 실행 주체와 이미지 경로, 로그온 ID를 분석하면 사용자 권한 기반 코드 실행 및 의심스러운 권한 오남용 행위를 점검하는 데 도움이 된다.
-
지니안 EDR 프로세스 로그
high
integrity_level, is_system, cmd_line, image_path 등의 프로세스 실행 정보를 분석하면 과도한 권한 실행이나 권한 상승 의심 행위를 모니터링할 수 있다.
-
지니안 EDR 위협 로그
medium
명령줄, 프로세스명, 경로, 해시 기반의 위협 탐지 로그는 비정상 코드 실행이나 권한 오남용이 의심되는 실행 행위를 모니터링하는 근거가 된다.
-
Sysmon 프로세스
high
실행 프로세스의 무결성수준, 부모-자식 관계, 실행 경로를 통해 과도한 권한으로 실행되거나 권한 상승이 의심되는 코드 실행을 모니터링할 수 있다.
-
Sysmon 프로세스 접근
high
프로세스 접근 로그는 사용자 권한 프로세스가 관리자 권한 또는 민감 프로세스에 접근하는 행위를 식별해 코드 실행권한 제한 위반 여부를 직접 모니터링할 수 있다.
-
Sysmon 이미지 로드
medium
어떤 계정과 프로세스가 어떤 DLL을 로드했는지 확인할 수 있어 비정상 코드 실행이나 권한 경계를 넘는 실행 징후 점검에 도움이 된다.