액티브 디렉터리 LDAP 연동

액티브 디렉터리는 중앙 집중적으로 인증을 처리하며 그룹 정책을 관리하기 때문에 계정, 호스트 등 많은 양의 정보가 내재되어 있습니다. 온프레미스 환경에서 액티브 디렉터리의 정보를 통합하려면 LDAP 프로토콜을 사용해야 합니다.

로그프레소에서 액티브 디렉터리를 연동하려면 먼저 LDAP 프로파일을 등록해야 합니다.

설정이 완료되면 아래와 같이 ldapsearch 쿼리와 LDAP 필터를 이용하여 액티브 디렉터리에 등록된 계정 목록을 조회할 수 있습니다:

ldapsearch profile=AD filter="(&(userPrincipalName=*))" 

LDAP 계정 목록 조회

수십 가지의 계정 정보를 확인할 수 있습니다만, 타임스탬프는 윈도우 FileTime 형식이기 때문에 보기가 어렵습니다. FileTime은 아래와 같이 변환하여 볼 수 있습니다.

ldapsearch profile=AD filter="(&(userPrincipalName=*))"
| eval lastLogon = if(lastLogon == "0", null, epoch(floor(long(lastLogon) / 10000 - 11644473600000)))
| eval badPasswordTime = if(badPasswordTime == "0", null, epoch(floor(long(badPasswordTime) / 10000 - 11644473600000)))
| order sAMAccountName, lastLogon, badPasswordTime

LDAP FileTime 변환

액티브 디렉터리에 조인된 호스트 목록은 아래와 같이 확인할 수 있습니다.

ldapsearch profile=AD filter="(&(servicePrincipalName=*))" 
| eval lastLogon = epoch(floor(long(lastLogon) / 10000 - 11644473600000))
| order cn, operatingSystem, operatingSystemVersion, lastLogon, whenCreated, whenChanged

LDAP 호스트 목록

이렇게 로그프레소에 액티브 디렉터리 데이터를 통합하면 더 이상 사용되지 않는 계정이나 오래된 시스템을 주기적으로 식별하고 정리할 수 있으므로, 잠재적인 공격 표면을 줄이고 안정적으로 내부 IT 인프라를 관리할 수 있습니다.

둘러보기

더보기

봇 탐지 머신러닝 모델링

이 글에서는 웹 로그를 대상으로 봇 트래픽을 분류하는 모델을 만드는 과정을 통해 머신러닝 모델링 방법을 설명합니다. 인터넷 봇은 인터넷 익스플로러, 크롬과 같은 웹 브라우저를 통한 접속이 아닌 자동화된 방식으로 웹사이트에 접속하는 프로그램을 의미합니다.

2022-10-10