SPiDER TM V5.0은 이글루시큐리티 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

01. 개요

기업 및 기관은 외부의 위협에 대응하기 위해 다양한 보안장비를 도입하고 이를 활용한다. 그러나 보안뉴스에 따르면 외부의 위협보다는 '내부 사용자에 의한 위협'이 더욱 문제이며 특히 보안 교육을 받지 않은 직원이나 보안에 관심이 없는 경영진은 세심한 관리가 필요하다.

외부 공격에 대한 방어만큼 중요한 것이 내부 사용자에 의한 보안사고 방지이다. 이번 호에서는 인사정보를 활용하여 내부 사용자의 이벤트를 모니터링하고 분석 하는 방법을 알아보고자 한다.

02. 인사정보 활용

1) 인사정보 내용

인사정보의 추출 결과는 csv 형태로 저장하거나 SIEM의 DB에 저장한다.

추출 결과를 SIEM의 인사정보메뉴에 연동하거나 원본로그에 정보를 추가하는 것이 가능하다.

정해진 주기에 SIEM의 정해진 경로로 추출 결과를 csv 형태 파일로 자동 업데이트가 가능하다. 

2) 인사정보연동 메뉴에 활용

추출된 정보를 '운영관리 ▷ 인사정보연동'메뉴에서 양식에 맞게 인사정보, 사용자PC 정보를 신규/일괄등록으로 등록 할 수 있다.

​

3) EXTERNINFO 등록

​

추출된 정보를 SIEM의 'EXTERNINFO'메뉴를 통해 저장 가능

EXTERNINFO에 등록 시 원본로그의 출발지IP or 목적지IP를 기준으로 사용자 정보를 추가 할 수 있다.

4) EXTERNINFO 등록 – 파서 필드 추가

파서 설정의 ‘필드변환’부분에서 사용자, 사용자부서, 사번, 전화번호 등의 컬럼을 추가로 생성한다.

값 입력 부분에는 외부정보로 등록한 EXTERNINFO를 선택 후 참조 필드에 출발지IP 혹은 목적지IP를 입력 한다.

파서 적용 후 로그 검색 시 해당 필드의 외부 정보(EXTERNINFO)가 적용되었음을 확인 할 수 있다.

03. 검색 및 경보 활용

1) 통합로그검색 : 중요서버 표시

인사정보연동 메뉴에서 사용자 정보를 연동하였을 경우, 통합로그검색의 중요서버 표시 기능을 선택하여 검색 시 검색된 결과 내용 중 출발지IP, 목적지IP가 인사정보에 등록 된 사용자정보와 일치할 경우 사람 모양의 아이콘이 표시되며, 해당 아이콘 클릭 시 팝업으로 사용자 정보를 한눈에 확인 할 수 있게 된다.

위 기능을 이용하게 되면 보다 쉽게 외부로부터 접근을 당하였거나, 혹은 공격을 당하였는지를 클릭만으로도 확인 할 수 있다.

2) 통합로그검색 : 인사정보 추가

통합로그검색 시 검색 조건에서 특정 내부 사용자 혹은 자산에 대해 검색 조건을 추가 할 수 있다.

인사정보 추가 버튼을 활성화 하면 등록된 인사정보에 대해서 팝업창이 나오며, 검색하고자 하는 사용자 혹은 자산을 선택, 조건 추가하여 해당 정보를 검색 조건으로 검색 한다.

조건추가 된 사용자 혹은 자산정보에 대한 이벤트만 검색이 되며, 해당되는 자산정보에 어떤행위가 일어나고 있는지 확인이 가능 하다.

3) 사용자 중심 위반 행위

사용자 중심 위반 행위 메뉴에서 연동된 인사정보를 바탕으로 사용자 정보 확인이 가능하다.

특정 경보 발생 시 해당 경보의 IP정보를 바탕으로 사용자 정보를 연관시켜 표시한다.

04. 결론

▶인사정보연동 기능 활용

통상적으로 외부에서 발생하는 공격에 관심이 집중되어 내부에서 발생되는 위협을 놓치는 경우가 있는데 SPiDER TM의 인사정보연동 기능을 활용하면 외부에서 오는 공격 뿐만 아니라, 내부에 내재되어 있는 잠재적 위협까지 종합적이고 다각적인 분석을 통하여 사전 예방 및 대책을 마련할 수 있다.