Operations Manager에서 ACS(Audit Collection Services)를 사용하여 보안 이벤트 수집
적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 - Operations Manager의 ACS(Audit Collection Services)에서는 감사 정책에 따라 생성된 레코드를 수집하고 이를 중앙 데이터베이스에 저장할 수 있는 기능을 제공합니다. 기본적으로 Windows 컴퓨터에서 감사 정책이 구현되는 경우 해당 컴퓨터에서는 감사 정책에 따라 생성된 모든 이벤트를 자동으로 로컬 보안 로그에 저장합니다. 이는 Windows 워크스테이션 및 서버에서도 마찬가지입니다. 엄격한 보안 요구 사항을 적용하는 조직에서 감사 정책은 많은 양의 이벤트를 빠르게 생성할 수 있습니다.
ACS를 사용하는 조직에서는 개별 보안 로그를 중앙 관리 데이터베이스에 통합하고 Microsoft SQL Server에서 제공하는 데이터 분석 및 보고 도구를 사용하여 이벤트를 필터링하고 분석할 수 있습니다. ACS를 사용하는 경우에는 특별히 ACS 데이터베이스에 대한 액세스 권한을 받은 사용자만 쿼리를 실행하고 수집된 데이터에 대한 보고서를 만들 수 있습니다.
ACS를 사용하려면 다음과 같은 구성 요소가 있어야 합니다.
ACS 전달자
ACS 수집기
ACS 데이터베이스
UNIX 및 Linux 컴퓨터에 대한 감사가 지원됩니다. 자세한 내용은 이 항목의 UNIX 및 Linux의 ACS를 참조하십시오.
(Audit Collection Services를 사용하여 보안 이벤트 수집 항목 목록 참조)
ACS 전달자
ACS 전달자에서 실행되는 서비스는 Operations Manager 에이전트에 포함되어 있습니다. 따라서 이 서비스는 기본적으로 Operations Manager 에이전트를 설치할 때 함께 설치되지만 사용하도록 설정되지는 않습니다. 사용자는 감사 수집 사용 작업을 사용하여 여러 에이전트 컴퓨터에서 이 서비스를 동시에 사용하도록 설정할 수 있습니다. 이 서비스를 사용하도록 설정하고 나면 로컬 보안 로그 외에 ACS 수집기에도 모든 보안 이벤트가 전송됩니다.
ACS 수집기
ACS 수집기는 ACS 전달자로부터 이벤트를 받아서 처리한 다음 이 데이터를 ACS 데이터베이스로 보냅니다. 이러한 처리 과정에는 ACS 데이터베이스 내의 여러 테이블에 분산되도록 데이터를 분해하는 작업, 데이터 중복성을 최소화하는 작업 및 불필요한 이벤트가 ACS 데이터베이스에 추가되지 않도록 필터를 적용하는 작업이 포함됩니다.
단일 ACS 수집기 및 ACS 데이터베이스에서 지원할 수 있는 ACS 전달자 수는 다음과 같은 요인에 따라 달라질 수 있습니다.
감사 정책에서 생성하는 이벤트 수
ACS 전달자에서 모니터링하는 컴퓨터의 역할(예: 도메인 컨트롤러와 구성원 서버)
컴퓨터에 대한 작업 수준
ACS 수집기 및 ACS 데이터베이스가 있는 하드웨어
단일 ACS 수집기에 연결된 ACS 전달자 수가 너무 많은 사용자 환경의 경우에는 둘 이상의 ACS 수집기를 설치할 수 있습니다. 이 경우 각 ACS 수집기에는 자체 ACS 데이터베이스가 있어야 합니다.
ACS 수집기의 요구 사항은 다음과 같습니다.
Operations Manager 관리 서버
Active Directory 도메인의 멤버
최소 1GB 이상의 RAM, 2GB 권장
1.8GHz 이상의 프로세서, 2.8GHz 프로세서 권장
최소한 10GB의 사용 가능한 하드 디스크 공간, 50GB 권장
ACS 수집기를 설치하려는 각 컴퓨터에는 Microsoft 웹 사이트에서 최신 버전의 MDAC(Microsoft Data Access Components)를 다운로드하여 설치해야 합니다. MDAC에 대한 자세한 내용은 Learning Microsoft Data Access Components (MDAC)(Microsoft Data Access Components[MDAC]에 대해 알아보기)를 참조하십시오.
ACS 데이터베이스
ACS 데이터베이스는 ACS 배포 내에서 감사 정책에 따라 생성되는 이벤트의 중앙 리포리토지입니다. ACS 데이터베이스는 ACS 수집기와 같은 컴퓨터에 있을 수 있지만 최상의 성능을 위해서는 각각 전용 서버에 설치해야 합니다.
ACS 데이터베이스의 요구 사항은 다음과 같습니다.
System Center 2012 - Operations Manager의 경우: SQL Server 2005 또는 SQL Server 2008. SQL Server의 기존 설치 또는 새로운 설치를 선택할 수 있습니다. ACS 데이터베이스를 매일 유지 관리하기에는 많은 부담이 있으므로 SQL Server Enterprise Edition을 설치하는 것이 좋습니다.
System Center 2012 SP1(서비스 팩 1), Operations Manager의 경우: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012 또는 SQL Server 2012 SP1. ACS 데이터베이스를 매일 유지 관리하기에는 많은 부담이 있으므로 SQL Server Enterprise Edition을 설치하는 것이 좋습니다.
최소 1GB 이상의 RAM, 2GB 권장
참고
SQL Server 2008 R2 이하를 사용하는 경우 서버에 2GB가 넘는 메모리가 있으면 몇 가지 추가 구성 단계가 필요합니다. 필요한 정보 및 단계에 대한 자세한 내용은 2GB가 넘는 실제 메모리를 사용하도록 SQL Server를 구성하는 방법을 참조하세요. SQL Server 2012를 설치 및 실행하기 위한 최소 하드웨어 및 소프트웨어 요구 사항 목록은 SQL Server 2012 설치를 위한 하드웨어 및 소프트웨어 요구 사항을 참조하십시오.
1.8GHz 이상의 프로세서, 2.8GHz 프로세서 권장
최소한 20GB의 사용 가능한 하드 디스크 공간, 100GB 권장
SQL Server Standard Edition을 사용할 경우에는 일별 유지 관리 작업 동안 데이터베이스를 일시 중지해야 합니다. 이렇게 하면 ACS 수집기 큐가 ACS 전달자에서 보낸 요청으로 채워질 수 있습니다. ACS 수집기 큐가 채워지고 나면 ACS 수집기에서 ACS 전달자의 연결이 끊어집니다. 연결이 끊긴 ACS 전달자는 데이터베이스 유지 관리가 완료되고 큐 백로그가 처리되면 다시 연결됩니다. 감사 이벤트가 손실되지 않게 하려면 모든 ACS 전달자의 로컬 보안 로그에 하드 디스크 공간을 충분히 할당합니다.
SQL Server Enterprise Edition에서는 일별 데이터베이스 작업 동안 성능이 저하되더라도 지속적으로 ACS 전달자 요청을 처리할 수 있습니다. ACS 수집기 큐 및 ACS 전달자 연결 끊기에 대한 자세한 내용은 Audit Collection Services 용량 계획 및 Audit Collection Services 성능 모니터링 항목을 참조하십시오.
동적 액세스 제어에 대한 ACS 지원
System Center 2012 SP1(서비스 팩 1), Operations Manager는 Windows Server 2012에서 사용되도록 설정된 동적 액세스 제어에 대한 ACS 지원을 제공합니다.
Windows Server 2012에서는 비즈니스 데이터 소유자가 데이터를 쉽게 분류하고 레이블을 지정할 수 있으므로, 비즈니스에 중요한 데이터 등급에 따라 액세스 정책을 정의할 수 있습니다. 액세스 및 감사 정책은 사용자 및 그룹 정보뿐 아니라 더욱 다양한 사용자, 리소스 및 환경 클레임, Active Directory 및 기타 리소스의 속성에도 기반하므로, Windows Server 2012의 준수 관리는 더 효율적이고 유연해집니다. 역할과 같은 사용자 클레임, 프로젝트, 조직, 보안과 같은 리소스 속성, 상태와 같은 장치 클레임은 액세스 및 감사 정책을 정의하는 데 사용할 수 있습니다.
Windows Server 2012는 동적 액세스 제어를 지원하도록 기존 Windows ACL 모델을 강화합니다. 동적 액세스 제어를 통해 고객은 사용자 및 컴퓨터 클레임을 사용하는 조건뿐 아니라 리소스(예: 파일) 속성도 포함하는 권한 부여 액세스 정책에 기반하여 식을 정의할 수 있습니다. 다음 그림은 예시일 뿐이며 실제 식을 나타내지는 않습니다.
User.Clearance >= Resource.Secrecy and Device인 경우 읽기 및 쓰기 액세스 허용. 정상
User.Project any_of Resource.Project인 경우 읽기 및 쓰기 액세스 허용
System Center 2012 SP1(서비스 팩 1)은 동적 액세스 제어 사용 현황을 기업 전체에 표시하고, Operations Manager의 ACS(Audit Collection Services)를 활용하여 관련 시스템(예: 파일 서버, 도메인 컨트롤러)에서 이벤트를 수집하고, 감사자 및 준수 관리자가 동적 액세스 제어 사용 현황(예: 정책, 개체 액세스[성공 및 실패] 및 특정 정책이 적용되는 경우 발생하는 상황에 대한 "가상" 평가)을 보고할 수 있는 보고 기능을 제공합니다.
동적 액세스 제어 구성
동적 액세스 제어를 처리하는 ACS에 대한 구성이 컴퓨터에 필요한 것은 아닙니다. 이 기능에 대한 유일한 상호 작용은 일련의 보고서를 통해 이루어집니다. 추가 모니터링은 필요하지 않습니다.
UNIX 및 Linux의 ACS
Windows 컴퓨터와 비교했을 때 ACS가 UNIX 및 Linux 컴퓨터에서 수행되는 방법에는 차이가 있습니다. 그 차이점은 다음과 같습니다.
UNIX 및 Linux 운영 체제용 ACS 관리 팩을 가져와야 합니다.
UNIX 및 Linux 컴퓨터에 대한 감사 정책에서 생성되는 이벤트는 UNIX 또는 Linux 컴퓨터를 모니터링하는 Windows 관리 서버의 Windows 보안 이벤트로 전달된 후 중앙 집중식 데이터베이스에 수집됩니다.
관리 서버에서 쓰기 작업 모듈은 각 UNIX 및 Linux 관리 컴퓨터의 감사 데이터를 구문 분석하고 Windows 보안 이벤트 로그에 정보를 기록합니다. 데이터 원본 모듈은 로그 파일 모니터링을 위해 UNIX 및 Linux 관리 컴퓨터에 배포된 에이전트와 통신합니다.
에이전트(UNIX/Linux용 Operations Manager 에이전트)는 관리되고 있는 각 UNIX 또는 Linux 컴퓨터에 있습니다.
ACS 수집기 스키마는 UNIX 및 Linux 컴퓨터에서 전송하는 감사 데이터의 추가 콘텐츠 및 서식을 지원하도록 확장됩니다.