포렌식 준비도 제고를 위한 윈도우의 파일 시스템 감사 기능 설정 방안에 관한 연구

Vol. 27, No. 1, pp. 79-90, 2월. 2017
10.13089/JKIISC.2017.27.1.79, Full Text:
Keywords: File Access Audit, System Access Control List, SACL, Digital Forensics, Forensic Readiness
Abstract

기업의 내부 정보 유출 감사 및 침해사고 사건에서 파일 처리 이력을 확보할 수 있다면 사용자의 행위를 좀 더 명확하게 추적하여 사건을 입증하는데 많은 도움이 될 수 있다. 윈도우에서는 파일 접근 이력을 확보할 수 있는 아티팩트들이 여럿 존재하나 부분적인 정보만 존재하거나 아티팩트의 특성상 오래 보존되어 있지 않아 사건 입증이 어려운 경우들이 많이 발생한다. 본 논문에서는 윈도우에서 제공하는 파일 감사 기능인 SACL(System Access Control List)을 활용하는 방법을 제안하고자 한다. 외부 솔루션을 도입할 수 없는 소규모 조직이라 하더라도 윈도우 설정을 강화하여 사고 발생 시 사건을 좀 더 명확히 입증할 수 있는 환경을 만들 수 있을 것이다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
M. Lee and S. Lee, "A Study on the Setting Method of the File System Audit Function of Windows for Enhancing Forensic Readiness," Journal of The Korea Institute of Information Security and Cryptology, vol. 27, no. 1, pp. 79-90, 2017. DOI: 10.13089/JKIISC.2017.27.1.79.

[ACM Style]
Myeong-Su Lee and Sang-Jin Lee. 2017. A Study on the Setting Method of the File System Audit Function of Windows for Enhancing Forensic Readiness. Journal of The Korea Institute of Information Security and Cryptology, 27, 1, (2017), 79-90. DOI: 10.13089/JKIISC.2017.27.1.79.