[보안장비/IPS/IDS/방화벽] 원격 로그 서버 사용

S-22 원격 로그 서버 사용

■ 점검영역 : 로그관리

■ 항목 중요도 : 중

■ 점검내용

보안장비 로그 설정(syslog)에 원격 로그 서버로 보안장비 로그를 별도 보관하도록 설정되어 있는지 점검

■ 점검목적

보안 장비 로그를 원격 로그 서버에 별도 보관하도록 설정되어 있는지 점검하여 보안장비에 문제(장비 이상, 비인가자의 공격 및 침해 등)가 생겨 발생할 수 있는 로그 삭제나 변조 위험에 대비하고 있는지 확인하기 위함

■ 보안위협

원격 로그 서버에 로그를 별도 보관하도록 설정되어 있지 않을 경우 보안장비 문제 발생 시 로그가 삭제되거나 변조되어 사고 원인 분석에 어려움이 발생함

■ 참고

※ 원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버

■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등

양호

별도의 로그 서버를 구축하여 통합 로그관리를 하는 경우

취약

별도의 로그 서버가 없는 경우

■ 조치방법

보안장비 로그 설정 메뉴에서 syslog 설정 또는 주기적으로 별도 저장매체에 백업

(syslog 지원하지 않을 경우)

■ 점검방법

Step 1) 보안장비 로그 설정 메뉴에서 syslog 설정 확인

■ 조치방법

Step 1) 원격 syslog 로그 수집 서버 설정

Step 2) 로컬에서 별도의 저장매체를 통해 수동으로 로그 백업(syslog를 지원하지 않는 경우)

■ 조치 시 영향 : 일반적인 경우 영향 없음