윈도우 이벤트 로그

구독
다운로드 34
업데이트 2024. 6. 13.

내부 윈도우 RDP 접속

내부망 호스트에서 내부망의 다른 윈도우 호스트로 원격 데스크탑 접속하는 경우 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: 윈도우 이벤트
  • 대상 수집모델
    • 윈도우 이벤트 - RDP 서비스
  • 이벤트 채널: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

쿼리

이벤트 채널 Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 의 이벤트 ID 21, 23을 대상으로 인증 성공 로그를 필터링합니다.

| search action == "LOGIN"
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
  • 내부망 네트워크 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5

위협 분석

  • 내부 윈도우 RDP 접속 이벤트가 발생하기 이전 시점에, 이벤트의 출발지 IP를 대상으로 침해 의심 징후가 있는지 분석합니다.

오탐 유형

  • 사용자의 정상적인 RDP 접속도 탐지하므로, 특정 내부 IP 주소에서 특정 서버로 RDP 접속하는 것이 허용된 경우에는 탐지 예외 조건을 추가하여 조정합니다.

대응 방안

  • RDP 서비스 비활성화
    • 원격 데스크탑 접속이 불필요한 경우에는 서비스를 비활성화합니다.
  • 접속 허용 IP 제한
    • 지정된 IP 주소 또는 네트워크 대역에서만 접속할 수 있도록 방화벽 정책을 조정합니다.
  • 2차 인증 적용
    • YubiKey 등 인증서 기반 스마트카드를 통해 인증을 제어합니다.

MITRE ATT&CK