상세정보
미리보기
보안 빅데이터 분석 플랫폼 구축과 활용
- 저자
- 김대용 저
- 출판사
- 에이콘출판사
- 출판일
- 2019-12-02
- 등록일
- 2022-12-02
- 파일포맷
- PDF
- 파일크기
- 30MB
- 공급사
- YES24
- 지원기기
-
PC
웹뷰어
프로그램 수동설치
뷰어프로그램 설치 안내
책소개
스플렁크를 활용한 보안 빅데이터 분석 플랫폼 구축 전 과정을 실제 현장에서의 경험을 토대로 생생하게 풀어낸 실무형 가이드북『보안 빅데이터 분석 플랫폼 구축과 활용』은 글로벌 빅데이터 솔루션인 스플렁크를 활용해 보안 분야의 업무적 특성을 고려한 빅데이터 분석 플랫폼을 구축하는 체계적 절차와 가이드를 제공하는 책이다. 보안 빅데이터 분석 플랫폼을 구축하기 위해 담당자가 사전에 어떤 것을 준비해야 하는지, 구축은 어떤 과정을 거쳐 진행해야 하는지, 구축 완료 후 안정적인 운영을 위해 어떤 것들을 고려해야 하는지를 구체적으로 살펴본다. 실제 플랫폼 구축 현장에서 직접 보고 느꼈던 경험을 바탕으로 구축 과정을 거치면서 담당자가 챙겨야 할 고려사항을 하나하나 짚어낸다.
저자소개
숭실대학교 컴퓨터학부를 졸업하고 삼성SDS 금융전략사업부에 입사해 지금까지 시스템 개발부터 운영, 프로세스 컨설팅 및 IT 전략컨설팅까지 두루 경험했다. 핀테크 기반 신사업 추진 부서 근무 시절 빅데이터와 플랫폼에 관심을 갖게 돼 금융업종에 적합한 빅데이터 플랫폼을 구축하고 활용하기 위한 방법을 연구했다. 현재는 보안 컨설턴트이자 프로젝트 관리자로써 다수의 보안 분야 프로젝트를 수행하며 보안 빅데이터 분석 플랫폼 구축 전문가로 활동하고 있으며, ‘현장에 답이 있다’는 평소의 철학대로 지금도 프로젝트 현장에서 굵은 땀방울을 흘리고 있다.
목차
1장. 개요__1.1 왜 데이터 분석이 필요한가?____1.1.1 보안위협의 고도화 및 지능화____1.1.2 보안 담당자의 한계 봉착____1.1.3 기술 발전에 따른 보안 트렌드의 변화__1.2 왜 플랫폼으로 구축해야 하는가?____1.2.1 보안 데이터가 지니는 고유의 특성____1.2.2 보안 빅데이터 분석 플랫폼 정의____1.2.3 플랫폼의 진정한 힘: 네트워크 효과와 교차 네트워크 효과__1.3 왜 구축 가이드가 중요한가?____1.3.1 플랫폼 구축의 현실: Case By Case____1.3.2 성공적 구축은 성공적 활용의 전제조건____1.3.3 구축 가이드가 제공할 가치: 품질, 시간, 그리고 시너지__1.4 왜 스플렁크인가?2장. 보안 빅데이터 분석 플랫폼 구축 워크플로우__2.1 워크플로우 개요__2.2 Phase 1: 구축 전 사전 준비____2.2.1 Why: 플랫폼 구축 목적 명시____2.2.2 What: 플랫폼 기본 구성 요소 정의____2.2.3 How: 주요 구성 요소별 플랫폼 구현 방안 수립__2.3 Phase 2: 플랫폼 인프라 구성____2.3.1 구성 기준 정의____2.3.2 스플렁크 인스턴스 설치____2.3.3 주요 구성별 설정 적용____2.3.4 주요 구성 변경 요건별 설정 변경 가이드__2.4 Phase 3: 플랫폼 콘텐츠 구현 및 활용____2.4.1 데이터 검색____2.4.2 데이터 분석____2.4.3 시나리오 구현 및 적용____2.4.4 대시보드 구성 및 활용____2.4.5 콘텐츠 강화를 위한 툴과 팁__2.5 Phase 4: 스플렁크 앱 기반 플랫폼 확장____2.5.1 상용 앱____2.5.2 무료 앱__2.6 Phase 5: 구축 후 운영 환경 최적화____2.6.1 플랫폼 운영 현황 점검 항목 정의____2.6.2 점검 항목별 현황 점검 수행____2.6.3 정상 여부 확인 및 비정상 항목 조치____2.6.4 플랫폼 구성 요소별 운영 효율성 강화 가이드__2.7 워크플로우 호환성: 꼭 스플렁크여야만 하는가3장. Phase 1: 구축 전 사전 준비__3.1 Why: 플랫폼 구축 목적 명시____3.1.1 업무 개선 목표 달성____3.1.2 IT 목표 달성____3.1.3 기타 요건__3.2 What: 플랫폼 기본 구성 요소 정의____3.2.1 구축 환경____3.2.2 데이터 수집 및 전송____3.2.3 데이터 저장____3.2.4 데이터 검색____3.2.5 데이터 분석 및 활용____3.2.6 데이터 시각화____3.2.7 플랫폼 운영 및 관리__3.3 How: 주요 구성 요소별 플랫폼 구현 방안 수립____3.3.1 구축 환경 정의____3.3.2 데이터 수집 및 전송 방안____3.3.3 데이터 저장 방안____3.3.4 데이터 검색 방안____3.3.5 데이터 분석 및 활용 방안____3.3.6 데이터 시각화 방안____3.3.7 플랫폼 운영 및 관리 방안4장. Phase 2: 플랫폼 인프라 구성__4.1 사전 공지사항__4.2 시뮬레이션 환경 구성 가이드__4.3 가상 데이터 수집 설정__4.4 단일 서버 환경 구성____4.4.1 구성 기준 정의____4.4.2 스플렁크 엔터프라이즈 설치 및 설정____4.4.3 데이터 수집 및 전송 설정________스플렁크 엔터프라이즈 라이선스 적용________스플렁크 엔터프라이즈에서의 데이터 수집 설정____4.4.4 데이터 저장 설정____4.4.5 데이터 검색 설정____4.4.6 스플렁크 유니버설 포워더 설치 및 설정________스플렁크 유니버설 포워더 설치________파일 및 디렉터리 모니터링 설정________로그 이벤트 속성 설정________로그 이벤트 전송 설정____4.4.7 플랫폼 인프라 구성 후 정상 동작 확인__4.5 복수 서버 환경 구성____4.5.1 구성 기준 정의____4.5.2 스플렁크 엔터프라이즈 인스턴스 설치____4.5.3 데이터 수집 및 전송 설정________스플렁크 엔터프라이즈 라이선스 슬레이브 적용________로그 이벤트 수신 설정________로그 이벤트 전송 설정________로그 이벤트 필터링 설정________로그 이벤트 마스킹 설정____4.5.4 데이터 저장 설정________스플렁크 엔터프라이즈 라이선스 슬레이브 적용________신규 인덱스 생성________전송 데이터의 대한 저장 설정____4.5.5 데이터 검색 설정________스플렁크 엔터프라이즈 라이선스 마스터 설정________검색 피어 등록________검색 데이터 필드 추출____4.5.6 스플렁크 유니버설 포워더 설치 및 설정____4.5.7 플랫폼 인프라 구성 후 정상 동작 확인__4.6 클러스터링 기반 분산 처리 환경 구성____4.6.1 구성 기준 정의____4.6.2 스플렁크 엔터프라이즈 인스턴스 설치____4.6.3 라이선스 마스터 & 클러스터 마스터 설정________라이선스 마스터 설정________클러스터 마스터 설정________인덱스 추가 생성 및 배포 설정____4.6.4 데이터 수집 및 전송 설정________스플렁크 엔터프라이즈 라이선스 슬레이브 적용로그 이벤트 수신 설정________로그 이벤트 전송 설정________로그 이벤트 필터링 & 마스킹 설정____4.6.5 데이터 저장 설정________스플렁크 엔터프라이즈 라이선스 슬레이브 적용________인덱서 피어 노드 활성화________인덱스 생성 정보에 대한 정상 배포 확인________전송 데이터에 대한 저장 설정____4.6.6 데이터 검색 설정________스플렁크 엔터프라이즈 라이선스 슬레이브 적용________검색 피어 등록________검색 헤드 클러스터링 설정________검색 데이터 필드 추출____4.6.7 스플렁크 앱 배포 설정________스플렁크 엔터프라이즈 라이선스 슬레이브 적용________검색 헤드 클러스터 정보 등록________검색 헤드 클러스터 구성원 대상 배포 정보 수신 설정________배포 대상 앱 업로드________배포 대상 앱을 검색 헤드 클러스터 구성원에 배포________검색 헤드 클러스터 구성원에서 배포 앱 확인160____4.6.8 모니터링 콘솔 설정________검색 피어 추가 적용________분산 모드 전환 적용____4.6.9 스플렁크 유니버설 포워더 설치 및 설정____4.6.10 플랫폼 인프라 구성 후 정상 동작 확인__4.7 주요 구성 변경 요건별 설정 가이드____4.7.1 기존 수집 대상의 종류/용량 변경____4.7.2 기존 수집 방식과 동일한 신규 수집 대상 추가____4.7.3 수집 데이터 저장 기간 설정 및 변경5장. Phase 3: 플랫폼 콘텐츠 구현 및 적용__5.1 사전 공지사항__5.2 데이터 검색____5.2.1 키워드 검색________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드____5.2.2 이벤트 추이 검색________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드____5.2.3 정규표현식을 활용한 고급 검색________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드____5.2.4 검색 결과 저장 및 공유________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드__5.3 데이터 분석____5.3.1 로그 이벤트에 대한 시계열 상관 분석________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드____5.3.2 통계 함수를 활용한 분석 결과 구체화________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드____5.3.3 차트 함수를 활용한 분석 결과 시각화________사용자 요건 정의________스플렁크를 통한 구현 예시________실무 활용 가이드__5.4 시나리오 구현 및 적용____5.4.1 사용자 요건 정의____5.4.2 스플렁크를 통한 구현 예시____5.4.3 실무 활용 가이드__5.5 대시보드 구성 및 활용____5.5.1 사용자 요건 정의____5.5.2 스플렁크를 통한 구현 예시____5.5.3 실무 활용 가이드__5.6 콘텐츠 강화를 위한 툴과 팁____5.6.1 경고____5.6.2 룩업____5.6.3 KV 스토어____5.6.4 Summary Index____5.6.5 보고서 가속화____5.6.6 데이터 모델 가속화6장. Phase 4: 스플렁크 앱 기반 플랫폼 확장__6.1 Splunk Enterprise Security App____6.1.1 보안 포스처(Security Posture)____6.1.2 인시던트 검토(Incident Review)____6.1.3 조사 케이스(Investigation)____6.1.4 글래스 테이블(Glass Table)____6.1.5 보안 인텔리전스(Security Intelligence)____6.1.6 보안 도메인(Security Domain)____6.1.7 워크플로우 기반 보안 위협 대응 자동화(Adaptive Response)__6.2 주요 무료 앱____6.2.1 Splunk Add-on for *nix____6.2.2 Splunk DB Connect____6.2.3 Lookup Editor____6.2.4 Splunk Dashboard Examples____6.2.5 Timeline____6.2.6 보안 솔루션 관련 앱에 대한 설치 및 활용____6.2.7 Splunk Machine Learning Toolkit________쇼케이스 예시: 수치 예측(Predict Numeric Fields)________쇼케이스 예시: 범주 분류(Predict Categorical Fields)________쇼케이스 예시: 수치형 이상치 탐지(Detect Numeric Outliers) ________쇼케이스 예시: 범주형 이상치 탐지(Detect Categorical Outliers) ________쇼케이스 예시: 시계열 예측(Forecast Time Series)________쇼케이스 예시: 수치 데이터 군집화(Cluster Numeric Events)7장. Phase 5: 구축 후 운영 환경 최적화__7.1 플랫폼 운영 현황 점검 항목 정의__7.2 데이터 수집 및 전송 영역 점검____7.2.1 Event Processing Queue 점검________점검 개요________점검 방법________정상 여부 판단 기준____7.2.2 필드 추출 정합성 유무 점검____7.2.3 데이터 수집 누락 여부 점검____7.2.4 데이터 비정상 수집 점검____7.2.5 가용성 데이터 정상 수집 여부 점검____7.2.6 Splunk DB Connect 에러 발생 여부 점검__7.3 데이터 저장 및 복제 영역 점검____7.3.1 인덱서 피어 노드 정상동작 여부 점검____7.3.2 인덱서 클러스터링 정상동작 여부 점검____7.3.3 버킷 오류 존재 유무 점검____7.3.4 버킷 저장 공간 상태 확인____7.3.5 인덱스별 데이터 보관주기 확인__7.4 데이터 검색 및 배포 영역 점검____7.4.1 Saved Search 구동 현황 점검____7.4.2 메모리 과다 사용 검색 점검____7.4.3 장시간 동작하는 검색 쿼리 점검____7.4.4 검색 헤드 클러스터링 상태 점검____7.4.5 캡틴 선출 내역 점검____7.4.6 KV 스토어 상태 점검____7.4.7 룩업 파일 활용 현황 점검__7.5 플랫폼 운영 및 관리 영역 점검____7.5.1 스플렁크 인스턴스 현황 확인____7.5.2 스플렁크 인스턴스 리소스 사용량 점검____7.5.3 스플렁크 내부 로그 내 ERROR/WARN 메시지 분석____7.5.4 플랫폼 사용 이력 점검____7.5.5 사용자 접근 통제 관리____7.5.6 스플렁크 라이선스 변동량 점검__7.6 플랫폼 구성 요소별 운영 효율성 강화 가이드____7.6.1 데이터 수집 및 전송 영역____7.6.2 데이터 저장 및 복제 영역____7.6.3 데이터 검색 및 배포 영역____7.6.4 플랫폼 운영 및 관리 영역8장. 주요 장애 유형별 대응 가이드__8.1 장애 대응의 어려움과 신속한 조치의 중요성__8.2 데이터 수집 및 전송 영역____8.2.1 수집 데이터 파싱 오류____8.2.2 데이터 수집 누락____8.2.3 DB Connection fail 오류____8.2.4 Line Breaking Error____8.2.5 Timestamp Parsing Error____8.2.6 Max Events Error____8.2.7 간헐적 로그 미수집 및 스플렁크 인덱서 서버로의 미전송 오류__8.3 데이터 저장 및 복제 영역____8.3.1 스플렁크 인덱서 피어 다운 지속 발생____8.3.2 초과 버킷 발생____8.3.3 인덱스 보관주기 초과로 인한 데이터 저장 실패____8.3.4 데이터 복제 비정상 동작으로 인한 데이터 검색 실패____8.3.5 인덱서 클러스터링 오류____8.3.6 스플렁크 인덱서 서버의 CPU/MEMORY 과부하 현상 지속__8.4 데이터 검색 및 배포 영역____8.4.1 라이선스 마스터 또는 클러스터 마스터와의 연결 실패____8.4.2 배포 서버를 통한 배포 수행 시 오류 발생__8.5 플랫폼 운영 및 관리 영역____8.5.1 실시간 검색 과다로 인한 인덱싱 성능 저하____8.5.2 Saved Search 실패____8.5.3 대시보드 오류____8.5.4 경고 및 보고서 생성 실패____8.5.5 룩업 데이터 조회 시 검색 결과 미표시__8.6 장애 조치 시 참고사항____8.6.1 Splunk Answers 활용____8.6.2 Splunk Support Case Open____8.6.3 Community Based Support - Blog & Article9장. 플랫폼 증설 가이드__9.1 스플렁크 라이선스 증설 시 중점 고려사항____9.1.1 기존/신규 라이선스 통합 적용 및 확인____9.1.2 스플렁크 라이선스 증설 후 추가 고려사항__9.2 서버 증설 시 중점 고려사항____9.2.1 사전 체크리스트 작성 및 확인____9.2.2 서버 증설 예시: 스플렁크 헤비 포워더 서버____9.2.3 서버 증설 예시: 스플렁크 인덱서 서버____9.2.4 서버 증설 예시: 스플렁크 검색 헤드 서버____9.2.5 서버 증설 후 추가 고려사항10장. 입문자를 위한 퀵 스타트 가이드__10.1 스플렁크 앱 설치 및 환경 구성____10.1.1 Splunk Enterprise 7.2.4 다운로드하기.____10.1.2 Splunk Enterprise 7.2.4 설치____10.1.3 Splunk Enterprise 7.2.4 로그인 및 실행 상태 확인__10.2 데이터 수집/저장 설정 및 적용____10.2.1 신규 인덱스 생성____10.2.2 스크립트를 활용한 데이터 수집 설정____10.2.3 로그 이벤트 병합 해제 설정____10.2.4 변경된 설정 적용을 위한 스플렁크 인스턴스 재시작__10.3 데이터 검색 및 분석 결과 시각화____10.3.1 필드 추출____10.3.2 데이터 검색 정상동작 여부 확인____10.3.3 데이터 시각화 지원 앱 설치 및 설정____10.3.4 데이터 시각화 대시보드 작성 및 적용
