보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
사용자 정의 통계를 이용한 통합대시보드 활용
2022.05.31
1,125
SPiDER TM V5.5은 이글루코퍼레이션 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.
01. 개요
최근 IT서비스에서 많이 사용되는 5G, IoT 디바이스, 클라우드와 같은 서비스들은 거대한 양의 빅데이터를 분석하기 위해 R 프로세스를 많이 사용한다.
SPiDERTM V5.5 의 사용자 정의 통계 기능은 R 프로그래밍 기반으로 해당 메뉴를 통해 생성/수집 된 데이터를 효율적으로 분석하며 활용할 수 있다.
02. 사용자 정의 통계
1) 관리 > 설정관리 > 통계관리 > 사용자 정의 통계
SPiDERTM 5.5 웹 UI 관리 페이지에 접속하여 사용자가 임의로 생성한 조건을 기준으로 통계데이터를 생성할 수 있다.
2) 통계 등록
① 통계그룹 및 통계명 설정
사용자 정의 통계 화면에서 통계 등록 버튼을 클릭하여 통계 그룹 , 통계 명을 지정한다.
② 로그소스
로그소스메뉴를 선택하여, 통계를 생성할 대상 장비를 선택한다.
로그 유형 선택 시 해당 로그유형에 등록된 대상 장비가 모두 통계 생성 대상이 된다.
③ 필터조건 설정
통계를 생성하기 전 조건에 대해 정의 하는 부분이다.
여러 개의 필드를 선택할 경우 필드간의 관계는 AND 조건으로 적용된다.
category=E008 이란 WEB로그 유형을 지정한 값을 의미한다.
사용 가능한 연산자: =, !=, >, >=, <, <=, like, in, not like, not in
④ 그룹핑필드
1분간 수집한 데이터를 group by 하여 저장하는 필드를 지정한다.
그룹핑 필드로 사용자 정의 통계 테이블의 컬럼으로 생성된다.
출발지IP(s_ip), 목적지IP(d_ip), 공격유형(method) 필드를 지정
⑤ 통계함수
통계 함수 연산을 수행할 필드를 지정한다.
Count 경우 특정 필드 지정이 필요하지 않을 경우에 설정한다.
사용 가능한 연산자 : sum, max, min, average
⑥ 정렬
테이블에 데이터를 저장할 때 정렬 기준 필드를 지정한다.
Method 기준으로 DESC 내림차순 하여 정렬한다.
DESC : 내림차순, ASC : 오름차순
⑦ 제한조건
각 필드 별 제한 값을 설정하여 제한조건 설정이 가능하다.
Count 가 1 이상인 값을 통계로 생성하여 저장한다.
⑧ 테이블명
사용자 정의 통계 데이터를 저장할 테이블 명을 입력하여 사용자 정의 룰 활성화 시 자동 생성 된다.
그룹 핑 필드 ,통계 함수 영역에서 지정한 필드들이 컬럼으로 등록 된다.
⑨ 데이터 조회
생성한 사용자 정의 테이블에 통계 데이터가 저장된 것을 확인 할 수 있다.
03. 사용자 정의 통계를 이용한 통합대시보드 구성
1) 데이터 셋 > 템플릿 > 생성
① DB 쿼리 설정
② 통합대시보드 생성
대시보드 > 위젯 설정에서 원하는 위젯을 생성 해준다.
사용자가 원하는 데이터를 통계화하여 보고자 하는 데이터 표현이 가능하다.
04. 사용자 정의 통계를 이용한 TM 일일 모니터링 대시보드 구성
TM 일일 모니터링: SIEM 에서 수집한 데이터를 이용하여 생성
05. 결론
보안관제 업무 수행 시 광범위한 데이터를 빠르게 검색하여 원하는 데이터를 찾는 것은 매우 어렵다.
통합대시보드를 구성하게 되면, 한 눈에 데이터 파악이 가능하고 내부 감시 및 사고 발생 시 빠르게 인지하는 직관적인 관제가 가능하다. 사용자 정의 통계 데이터를 생성 하고 이를 대시보드로 표현 한다면 실시간으로 발생하는 위협에 대해서 빠른 대응이 가능할 것이다.
