SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.   

1. 개요

기업이나 기관은 외부에서 발생하는 공격에 대응하기 위해 다양한 보안장비를 도입하고 이를 활용하여 대응한다. 그러나 최근 보안전문 매체나 뉴스에서 지속적으로 제기하고 있는 보안 위협은 “내부 사용자에 의한 위협”으로 보안 교육이 되지 않은 직원이나 보안에 관심이 없는 경영진이다. 

외부 공격에 대한 방어만큼 중요한 것이 내부 사용자에 의한 보안사고 방지이다. 이번 호에서는 인사정보를 활용하여 내부사용자의 이벤트를 모니터링하고 분석하는 방법을 알아보고자 한다.   

2. 인사정보 연동

1) SpDbReader를 통한 인사정보 추출

SIEM은 다양한 데이터와 대용량 데이터 수집하여 원본로그 형태를 유지한 채로 정보를 추가하여 사용자 중심위주의 모니터링이 가능하다. 

인사정보를 원본로그와 더불어 검색하기 위해 SpDbReader를 활용하여 인사 정보를 추출해야 한다.

인사정보가 있는 Dbsafer, NAC등 보안장비에 존재하는 인사정보를 DB 쿼리를 통하여 추출하여 파일로 생성한다.

2) SpDbReader을 통한 인사정보 추출 : 인사정보가 있는 장비 연동

ㆍ인사정보가 존재하는 장비를 선택하여 연동한다. 

ㆍ장비 접속 정보 및 장비의 테이블 확인 후 인사정보를 연동한다. 

3) 인사정보 추출 결과

ㆍ추출 결과는 csv 형태로 저장하거나 SIEM의 DB에 저장한다. 

ㆍ추출 결과를 SIEM의 인사정보메뉴에 연동하거나 원본로그에 정보를 추가하는 것이 가능하다. 

ㆍ정해진 주기에 SIEM의 정해진 경로로 추출 결과를 csv 형태 파일로 자동 업데이트가 가능하다.

3. 인사정보 활용

1) 인사정보연동 메뉴에 활용

ㆍ추출된 정보를 “운영관리>인사정보연동” 메뉴에서 양식에 맞게 인사정보, 사용자PC 정보를 일괄등록으로 등록 할 수 있다. 

​

2) EXTERNINFO 등록

​

ㆍ추출된 정보를 SIEM에 존재하는 “EXTERNINFO“ 메뉴를 통해  저장 가능

ㆍ관리 > 설정관리 > EXTERNINFO > 신규등록 > 파일 선택 > 등록

ㆍEXTERNINFO에 등록 시 원본로그에 추가 정보를 추가 출발지 IP, 또는 목적지 IP를 기준으로 사용자 정보의 추가가 가능하다. 

2-1) EXTERNINFO 등록 – 파서 필드 추가

ㆍ사용자, 사용자부서, 사번, 전화번호 등의 컬럼을 추가로 생성한다. 

ㆍ값 입력 부분에는 외부정보로 등록한 EXTERNINFO를 선택 후 참조필드에 출발지IP(s_ip), 목적지IP( d_ip)를 입력한다. 

ㆍ로그 검색 시 해당 필드의 외부 정보(EXTERNINFO)가 적용되었음을 확인 할 수 있다.  

4. 검색 및 경보 활용

1) 통합로그검색 : 중요서버 표시

ㆍ인사정보연동 메뉴에서 사용자 정보를 연동하였을 경우, 통합로그검색의 중요서버 표시 선택하여 검색 시 검색된 결과 내용 중 출발지IP, 목적지IP 내용에 인사정보에 등록 된 사용자 일 경우 사람모양의 아이콘이 표시 되며, 해당 아이콘 클릭 시 팝업으로 사용자 정보를 한눈에 확인 할 수 있게 된다.

ㆍ위 기능을 이용하게 되면 손쉽게 외부로부터 접근을 당하였거나, 혹은 공격을 당하였는지 클릭만으로도 자산내역을 알 수 있다.

ㆍ내부의 사용자를 통하여 내부정보유출과 같은 내부에 내재되어 있는 위협 정보를 쉽게 찾아 낼 수 있도록 도움을 줄 수 있다.

2) 통합로그검색 : 인사정보 추가

ㆍ통합로그검색 시 검색 조건에서 특정 내부 사용자 혹은 자산에 대해 검색 조건을 추가 할 수 있다.

ㆍ인사정보추가 버튼 클릭 시 등록된 인사정보에 대해서 팝업이 나타나며, 검색하고자 하는 사용자를 선택, 조건추가 버튼 선택 후 인사정보를 검색 조건에 추가하여 검색 한다.

ㆍ조건추가 선택 후 검색 실행 시 선택된 사용자 정보에 대한 이벤트만 확인 가능하다.

ㆍ등록된 사용자의 IP를 관리하여 사용자가 어떤 행위를 하고 있는지 확인 가능하다. 

3) 사용자 중심 위반 행위

ㆍ사용자 중심 위반 행위 메뉴에서 연동된 인사정보를 바탕으로 사용자 정보 확인 가능하다.  

ㆍ특정 경보 발생 시 해당 경보의 IP정보를 바탕으로 사용자 정보를 연관시켜 표시한다.

3-1) 사용자 중심 위반 행위 – Top5 탐지 별(행위분석) 발생건수

ㆍ위반 행위 탐지 분석 룰 별 발생 통계를 나타내며,  사용자의 위반행위를 그래프로 간략하게 확인 가능하다.

3-2) 사용자 중심 위반 행위 – 발생 경보 ( 경보 지속 / 경보 종료 )

ㆍ앞서 설명 한 사용자 별 위협 통계 데이터를 분석이 진행 중 인 것과 분석이 종료 된 것으로 나누어 확인 가능하다.

3-3) 사용자 중심 위반 행위 – 사용자 별 위협 발생 건수 및 상세 화면

ㆍ등록한 인사DB를 통해 발생한 분석 룰의 통계데이터를  사용자 별로 한눈에 확인 할 수 있어 어떤 사용자의 위반행위를 파악 하여 관리가 용이하다.

ㆍ사용자 별 위협 발생 건수 화면에서 사용자를 더블 클릭하면 상세 화면이 팝업 된다.

ㆍ특정 사용자의 분석 룰의 추이와 분석 룰의 상세 화면을 확인 할 수 있어 내부 정책에 위반되는 행위를 하는 사용자를 확인 해서 조치 할 수 있다.

5. 결론

SPiDER TM 5.0 인사정보연동 기능 활용