대체 NTFS 데이터 스트림을 감사할 때의 고려 사항
변경 제안
PDF
NTFS 대체 데이터 스트림을 사용하여 파일을 감사할 때 고려해야 할 몇 가지 사항이 있습니다.
감사대상 개체의 위치는 이벤트 레코드에 ObjectName 태그(경로)와 HandleID 태그(핸들)라는 두 개의 태그를 사용하여 기록됩니다. 기록되는 스트림 요청을 제대로 식별하려면 NTFS 대체 데이터 스트림에 대한 다음 필드의 ONTAP 레코드를 알고 있어야 합니다.
-
evtx ID: 4656 이벤트(감사 이벤트 열기 및 만들기)
-
대체 데이터 스트림의 경로는 ObjectName 태그에 기록됩니다.
-
대체 데이터 스트림의 핸들은 HandleID 태그에 기록됩니다.
-
-
evtx ID: 4663 이벤트(읽기, 쓰기, GetAttr 등과 같은 기타 모든 감사 이벤트)
-
대체 데이터 스트림이 아닌 기본 파일의 경로는 ObjectName 태그에 기록됩니다.
-
대체 데이터 스트림의 핸들은 HandleID 태그에 기록됩니다.
-
다음 예제에서는 "HandleID" 태그를 사용하여 대체 데이터 스트림에 대한 evtx ID: 4663 이벤트를 식별하는 방법을 보여 줍니다. READ AUDIT 이벤트에 기록된 ObjectName 태그(경로)가 기본 파일 경로에 있더라도 HandleID 태그를 사용하여 대체 데이터 스트림에 대한 감사 레코드로 이벤트를 식별할 수 있습니다.
스트림 파일 이름은 base_file_name:stream_name 형식으로 지정됩니다. 이 예제에서 dIR1 디렉토리에는 다음 경로를 가진 대체 데이터 스트림이 있는 기본 파일이 포함되어 있습니다.
/dir1/file1.txt /dir1/file1.txt:stream1
|
다음 이벤트 예제의 출력은 표시된 대로 잘립니다. 출력에 해당 이벤트에 사용할 수 있는 출력 태그가 모두 표시되지 않습니다. |
evtx ID 4656(열린 감사 이벤트)의 경우 대체 데이터 스트림에 대한 감사 레코드 출력은 "ObjectName" 태그에 대체 데이터 스트림 이름을 기록합니다.
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
evtx ID 4663(감사 이벤트 읽기)의 경우 동일한 대체 데이터 스트림에 대한 감사 레코드 출력은 "ObjectName" 태그에 기본 파일 이름을 기록합니다. 그러나 "HandleID" 태그의 핸들은 대체 데이터 스트림의 핸들로, 이 이벤트를 대체 데이터 스트림과 연관시키는 데 사용할 수 있습니다.
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>