상세정보

목차

보안 빅데이터 분석 플랫폼 구축과 활용 - 김대용 지음
글로벌 빅데이터 솔루션인 스플렁크를 활용해 보안 분야의 업무적 특성을 고려한 빅데이터 분석 플랫폼을 구축하는 체계적 절차와 가이드를 제공한다. 보안 빅데이터 분석 플랫폼을 구축하기 위해 담당자가 사전에 어떤 것을 준비해야 하는지, 어떤 과정을 거쳐 진행해야 하는지 등을 구체적으로 살펴본다.

http://www.aladin.co.kr/shop/wproduct.aspx?ItemId=202924496&copyPaper=1&ttbkey=ttbhcr98061138004&start=api

1장. 개요
__1.1 왜 데이터 분석이 필요한가?
____1.1.1 보안위협의 고도화 및 지능화
____1.1.2 보안 담당자의 한계 봉착
____1.1.3 기술 발전에 따른 보안 트렌드의 변화
__1.2 왜 플랫폼으로 구축해야 하는가?
____1.2.1 보안 데이터가 지니는 고유의 특성
____1.2.2 보안 빅데이터 분석 플랫폼 정의
____1.2.3 플랫폼의 진정한 힘: 네트워크 효과와 교차 네트워크 효과
__1.3 왜 구축 가이드가 중요한가?
____1.3.1 플랫폼 구축의 현실: Case By Case
____1.3.2 성공적 구축은 성공적 활용의 전제조건
____1.3.3 구축 가이드가 제공할 가치: 품질, 시간, 그리고 시너지
__1.4 왜 스플렁크인가?


2장. 보안 빅데이터 분석 플랫폼 구축 워크플로우
__2.1 워크플로우 개요
__2.2 Phase 1: 구축 전 사전 준비
____2.2.1 Why: 플랫폼 구축 목적 명시
____2.2.2 What: 플랫폼 기본 구성 요소 정의
____2.2.3 How: 주요 구성 요소별 플랫폼 구현 방안 수립
__2.3 Phase 2: 플랫폼 인프라 구성
____2.3.1 구성 기준 정의
____2.3.2 스플렁크 인스턴스 설치
____2.3.3 주요 구성별 설정 적용
____2.3.4 주요 구성 변경 요건별 설정 변경 가이드
__2.4 Phase 3: 플랫폼 콘텐츠 구현 및 활용
____2.4.1 데이터 검색
____2.4.2 데이터 분석
____2.4.3 시나리오 구현 및 적용
____2.4.4 대시보드 구성 및 활용
____2.4.5 콘텐츠 강화를 위한 툴과 팁
__2.5 Phase 4: 스플렁크 앱 기반 플랫폼 확장
____2.5.1 상용 앱
____2.5.2 무료 앱
__2.6 Phase 5: 구축 후 운영 환경 최적화
____2.6.1 플랫폼 운영 현황 점검 항목 정의
____2.6.2 점검 항목별 현황 점검 수행
____2.6.3 정상 여부 확인 및 비정상 항목 조치
____2.6.4 플랫폼 구성 요소별 운영 효율성 강화 가이드
__2.7 워크플로우 호환성: 꼭 스플렁크여야만 하는가


3장. Phase 1: 구축 전 사전 준비
__3.1 Why: 플랫폼 구축 목적 명시
____3.1.1 업무 개선 목표 달성
____3.1.2 IT 목표 달성
____3.1.3 기타 요건
__3.2 What: 플랫폼 기본 구성 요소 정의
____3.2.1 구축 환경
____3.2.2 데이터 수집 및 전송
____3.2.3 데이터 저장
____3.2.4 데이터 검색
____3.2.5 데이터 분석 및 활용
____3.2.6 데이터 시각화
____3.2.7 플랫폼 운영 및 관리
__3.3 How: 주요 구성 요소별 플랫폼 구현 방안 수립
____3.3.1 구축 환경 정의
____3.3.2 데이터 수집 및 전송 방안
____3.3.3 데이터 저장 방안
____3.3.4 데이터 검색 방안
____3.3.5 데이터 분석 및 활용 방안
____3.3.6 데이터 시각화 방안
____3.3.7 플랫폼 운영 및 관리 방안


4장. Phase 2: 플랫폼 인프라 구성
__4.1 사전 공지사항
__4.2 시뮬레이션 환경 구성 가이드
__4.3 가상 데이터 수집 설정
__4.4 단일 서버 환경 구성
____4.4.1 구성 기준 정의
____4.4.2 스플렁크 엔터프라이즈 설치 및 설정
____4.4.3 데이터 수집 및 전송 설정
________스플렁크 엔터프라이즈 라이선스 적용
________스플렁크 엔터프라이즈에서의 데이터 수집 설정
____4.4.4 데이터 저장 설정
____4.4.5 데이터 검색 설정
____4.4.6 스플렁크 유니버설 포워더 설치 및 설정
________스플렁크 유니버설 포워더 설치
________파일 및 디렉터리 모니터링 설정
________로그 이벤트 속성 설정
________로그 이벤트 전송 설정
____4.4.7 플랫폼 인프라 구성 후 정상 동작 확인
__4.5 복수 서버 환경 구성
____4.5.1 구성 기준 정의
____4.5.2 스플렁크 엔터프라이즈 인스턴스 설치
____4.5.3 데이터 수집 및 전송 설정
________스플렁크 엔터프라이즈 라이선스 슬레이브 적용
________로그 이벤트 수신 설정
________로그 이벤트 전송 설정
________로그 이벤트 필터링 설정
________로그 이벤트 마스킹 설정
____4.5.4 데이터 저장 설정
________스플렁크 엔터프라이즈 라이선스 슬레이브 적용
________신규 인덱스 생성
________전송 데이터의 대한 저장 설정
____4.5.5 데이터 검색 설정
________스플렁크 엔터프라이즈 라이선스 마스터 설정
________검색 피어 등록
________검색 데이터 필드 추출
____4.5.6 스플렁크 유니버설 포워더 설치 및 설정
____4.5.7 플랫폼 인프라 구성 후 정상 동작 확인
__4.6 클러스터링 기반 분산 처리 환경 구성
____4.6.1 구성 기준 정의
____4.6.2 스플렁크 엔터프라이즈 인스턴스 설치
____4.6.3 라이선스 마스터 & 클러스터 마스터 설정
________라이선스 마스터 설정
________클러스터 마스터 설정
________인덱스 추가 생성 및 배포 설정
____4.6.4 데이터 수집 및 전송 설정
________스플렁크 엔터프라이즈 라이선스 슬레이브 적용로그 이벤트 수신 설정
________로그 이벤트 전송 설정
________로그 이벤트 필터링 & 마스킹 설정
____4.6.5 데이터 저장 설정
________스플렁크 엔터프라이즈 라이선스 슬레이브 적용
________인덱서 피어 노드 활성화
________인덱스 생성 정보에 대한 정상 배포 확인
________전송 데이터에 대한 저장 설정
____4.6.6 데이터 검색 설정
________스플렁크 엔터프라이즈 라이선스 슬레이브 적용
________검색 피어 등록
________검색 헤드 클러스터링 설정
________검색 데이터 필드 추출
____4.6.7 스플렁크 앱 배포 설정
________스플렁크 엔터프라이즈 라이선스 슬레이브 적용
________검색 헤드 클러스터 정보 등록
________검색 헤드 클러스터 구성원 대상 배포 정보 수신 설정
________배포 대상 앱 업로드
________배포 대상 앱을 검색 헤드 클러스터 구성원에 배포
________검색 헤드 클러스터 구성원에서 배포 앱 확인160
____4.6.8 모니터링 콘솔 설정
________검색 피어 추가 적용
________분산 모드 전환 적용
____4.6.9 스플렁크 유니버설 포워더 설치 및 설정
____4.6.10 플랫폼 인프라 구성 후 정상 동작 확인
__4.7 주요 구성 변경 요건별 설정 가이드
____4.7.1 기존 수집 대상의 종류/용량 변경
____4.7.2 기존 수집 방식과 동일한 신규 수집 대상 추가
____4.7.3 수집 데이터 저장 기간 설정 및 변경


5장. Phase 3: 플랫폼 콘텐츠 구현 및 적용
__5.1 사전 공지사항
__5.2 데이터 검색
____5.2.1 키워드 검색
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
____5.2.2 이벤트 추이 검색
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
____5.2.3 정규표현식을 활용한 고급 검색
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
____5.2.4 검색 결과 저장 및 공유
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
__5.3 데이터 분석
____5.3.1 로그 이벤트에 대한 시계열 상관 분석
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
____5.3.2 통계 함수를 활용한 분석 결과 구체화
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
____5.3.3 차트 함수를 활용한 분석 결과 시각화
________사용자 요건 정의
________스플렁크를 통한 구현 예시
________실무 활용 가이드
__5.4 시나리오 구현 및 적용
____5.4.1 사용자 요건 정의
____5.4.2 스플렁크를 통한 구현 예시
____5.4.3 실무 활용 가이드
__5.5 대시보드 구성 및 활용
____5.5.1 사용자 요건 정의
____5.5.2 스플렁크를 통한 구현 예시
____5.5.3 실무 활용 가이드
__5.6 콘텐츠 강화를 위한 툴과 팁
____5.6.1 경고
____5.6.2 룩업
____5.6.3 KV 스토어
____5.6.4 Summary Index
____5.6.5 보고서 가속화
____5.6.6 데이터 모델 가속화


6장. Phase 4: 스플렁크 앱 기반 플랫폼 확장
__6.1 Splunk Enterprise Security App
____6.1.1 보안 포스처(Security Posture)
____6.1.2 인시던트 검토(Incident Review)
____6.1.3 조사 케이스(Investigation)
____6.1.4 글래스 테이블(Glass Table)
____6.1.5 보안 인텔리전스(Security Intelligence)
____6.1.6 보안 도메인(Security Domain)
____6.1.7 워크플로우 기반 보안 위협 대응 자동화(Adaptive Response)
__6.2 주요 무료 앱
____6.2.1 Splunk Add-on for *nix
____6.2.2 Splunk DB Connect
____6.2.3 Lookup Editor
____6.2.4 Splunk Dashboard Examples
____6.2.5 Timeline
____6.2.6 보안 솔루션 관련 앱에 대한 설치 및 활용
____6.2.7 Splunk Machine Learning Toolkit
________쇼케이스 예시: 수치 예측(Predict Numeric Fields)
________쇼케이스 예시: 범주 분류(Predict Categorical Fields)
________쇼케이스 예시: 수치형 이상치 탐지(Detect Numeric Outliers)
________쇼케이스 예시: 범주형 이상치 탐지(Detect Categorical Outliers)
________쇼케이스 예시: 시계열 예측(Forecast Time Series)
________쇼케이스 예시: 수치 데이터 군집화(Cluster Numeric Events)


7장. Phase 5: 구축 후 운영 환경 최적화
__7.1 플랫폼 운영 현황 점검 항목 정의
__7.2 데이터 수집 및 전송 영역 점검
____7.2.1 Event Processing Queue 점검
________점검 개요
________점검 방법
________정상 여부 판단 기준
____7.2.2 필드 추출 정합성 유무 점검
____7.2.3 데이터 수집 누락 여부 점검
____7.2.4 데이터 비정상 수집 점검
____7.2.5 가용성 데이터 정상 수집 여부 점검
____7.2.6 Splunk DB Connect 에러 발생 여부 점검
__7.3 데이터 저장 및 복제 영역 점검
____7.3.1 인덱서 피어 노드 정상동작 여부 점검
____7.3.2 인덱서 클러스터링 정상동작 여부 점검
____7.3.3 버킷 오류 존재 유무 점검
____7.3.4 버킷 저장 공간 상태 확인
____7.3.5 인덱스별 데이터 보관주기 확인
__7.4 데이터 검색 및 배포 영역 점검
____7.4.1 Saved Search 구동 현황 점검
____7.4.2 메모리 과다 사용 검색 점검
____7.4.3 장시간 동작하는 검색 쿼리 점검
____7.4.4 검색 헤드 클러스터링 상태 점검
____7.4.5 캡틴 선출 내역 점검
____7.4.6 KV 스토어 상태 점검
____7.4.7 룩업 파일 활용 현황 점검
__7.5 플랫폼 운영 및 관리 영역 점검
____7.5.1 스플렁크 인스턴스 현황 확인
____7.5.2 스플렁크 인스턴스 리소스 사용량 점검
____7.5.3 스플렁크 내부 로그 내 ERROR/WARN 메시지 분석
____7.5.4 플랫폼 사용 이력 점검
____7.5.5 사용자 접근 통제 관리
____7.5.6 스플렁크 라이선스 변동량 점검
__7.6 플랫폼 구성 요소별 운영 효율성 강화 가이드
____7.6.1 데이터 수집 및 전송 영역
____7.6.2 데이터 저장 및 복제 영역
____7.6.3 데이터 검색 및 배포 영역
____7.6.4 플랫폼 운영 및 관리 영역


8장. 주요 장애 유형별 대응 가이드
__8.1 장애 대응의 어려움과 신속한 조치의 중요성
__8.2 데이터 수집 및 전송 영역
____8.2.1 수집 데이터 파싱 오류
____8.2.2 데이터 수집 누락
____8.2.3 DB Connection fail 오류
____8.2.4 Line Breaking Error
____8.2.5 Timestamp Parsing Error
____8.2.6 Max Events Error
____8.2.7 간헐적 로그 미수집 및 스플렁크 인덱서 서버로의 미전송 오류
__8.3 데이터 저장 및 복제 영역
____8.3.1 스플렁크 인덱서 피어 다운 지속 발생
____8.3.2 초과 버킷 발생
____8.3.3 인덱스 보관주기 초과로 인한 데이터 저장 실패
____8.3.4 데이터 복제 비정상 동작으로 인한 데이터 검색 실패
____8.3.5 인덱서 클러스터링 오류
____8.3.6 스플렁크 인덱서 서버의 CPU/MEMORY 과부하 현상 지속
__8.4 데이터 검색 및 배포 영역
____8.4.1 라이선스 마스터 또는 클러스터 마스터와의 연결 실패
____8.4.2 배포 서버를 통한 배포 수행 시 오류 발생
__8.5 플랫폼 운영 및 관리 영역
____8.5.1 실시간 검색 과다로 인한 인덱싱 성능 저하
____8.5.2 Saved Search 실패
____8.5.3 대시보드 오류
____8.5.4 경고 및 보고서 생성 실패
____8.5.5 룩업 데이터 조회 시 검색 결과 미표시
__8.6 장애 조치 시 참고사항
____8.6.1 Splunk Answers 활용
____8.6.2 Splunk Support Case Open
____8.6.3 Community Based Support - Blog & Article


9장. 플랫폼 증설 가이드
__9.1 스플렁크 라이선스 증설 시 중점 고려사항
____9.1.1 기존/신규 라이선스 통합 적용 및 확인
____9.1.2 스플렁크 라이선스 증설 후 추가 고려사항
__9.2 서버 증설 시 중점 고려사항
____9.2.1 사전 체크리스트 작성 및 확인
____9.2.2 서버 증설 예시: 스플렁크 헤비 포워더 서버
____9.2.3 서버 증설 예시: 스플렁크 인덱서 서버
____9.2.4 서버 증설 예시: 스플렁크 검색 헤드 서버
____9.2.5 서버 증설 후 추가 고려사항


10장. 입문자를 위한 퀵 스타트 가이드
__10.1 스플렁크 앱 설치 및 환경 구성
____10.1.1 Splunk Enterprise 7.2.4 다운로드하기.
____10.1.2 Splunk Enterprise 7.2.4 설치
____10.1.3 Splunk Enterprise 7.2.4 로그인 및 실행 상태 확인
__10.2 데이터 수집/저장 설정 및 적용
____10.2.1 신규 인덱스 생성
____10.2.2 스크립트를 활용한 데이터 수집 설정
____10.2.3 로그 이벤트 병합 해제 설정
____10.2.4 변경된 설정 적용을 위한 스플렁크 인스턴스 재시작
__10.3 데이터 검색 및 분석 결과 시각화
____10.3.1 필드 추출
____10.3.2 데이터 검색 정상동작 여부 확인
____10.3.3 데이터 시각화 지원 앱 설치 및 설정
____10.3.4 데이터 시각화 대시보드 작성 및 적용

[인터넷서점 알라딘 제공]