원본 범위 고정
웹, 시스템, 보안장비 로그의 시간대와 수집 범위를 맞춥니다.
Log Reading
시간, 출발지, 행위, 영향 순서로 정리한다
용어집을 외울 때도 로그에서 어떤 단서로 그 용어를 판단하는지 연결하면 상황형 문제에서 답안 속도가 빨라집니다.
타임라인 작성
같은 출발지와 계정의 요청을 시간순으로 묶어 흐름을 봅니다.
공격명 연결
반복 실패, 비정상 파라미터, 대량 요청 같은 패턴으로 분류합니다.
차단과 보존
접근 차단, 계정 잠금, 증거 보존, 재발 방지를 순서대로 적습니다.
공격 유형을 좁히는 단서
인증 실패
짧은 시간 다수 실패는 무차별 대입이나 계정 탈취 시도로 봅니다.
파라미터 변조
따옴표, 스크립트, 경로 이동 문자는 웹 취약점 단서가 됩니다.
응답 변화
상태 코드와 응답 크기 변화는 성공 여부와 영향 범위 판단에 씁니다.
로그 분석 답안은 공격명, 근거 로그, 영향, 즉시 조치, 재발 방지를 같은 순서로 쓰면 채점자가 읽기 쉽습니다.