보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM을 통한 내부 위협 탐지 가이드

2018.01.02

9,177

기술지원센터 분석기술팀  조우균​

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보합니다.   

 

 

1. 개요

 

기업이나 기관은 외부에서 발생하는 침해 공격에 대응하기 위해 보유하고 있는 다양한 보안장비(DDoS, APT, TMS, IPS/IDS, WebFW 등)를 활용하여 위협을 탐지하고 방어한다. 

그러나 최근 보안 전문 매체나 뉴스에 따르면 가장 큰 보안 위협은 ‘내부 사용자에 의한 위협’으로 보안의식이 미흡하거나 조심성이 없는 직원 또는 보안에 관심이 없는 경영진이 가장 큰 보안 위협으로 손꼽혔다. 즉, 외부의  위협뿐만 아니라 이제는 내부의, 사용자 측면의 이벤트를 관리가 꼭 필요한 시점이 온 것이다. 따라서 SIEM에서는 어떠한 방법으로 내부사용자의 이벤트를 모니터링하고 분석 할 수 있는지 알아보고자 한다.

 

 

2. 내부 사용자 연계 방법의 가이드

 

SIEM은 기본적으로 빅데이터 솔루션이고 따라서 다양한 대용량 데이터, 원본로그는 그대로 유지하면서 추가적인 데이터를 태깅하여 사용자 중심위주으로 모니터링이 가능하다. 또한 태깅 데이터의 통계처리를 통해 다양한 정보를 활용 할 수 있는 장점을 가지고 있다.

 

내부 사용자의 데이터를 연계하기 위해서는 사용중인 내부 인사정보 데이터베이스를 가진 제품(ex. NAC)의 데이터를  SIEM이 수집해야 한다. 이후 SIEM은 데이터를 가공하여 육안으로 쉽게 알아 볼 수 있도록 처리 할 수 있다. 내부 사용자 정보를 저장하는 제품이 없다면 내부적으로 관리중인 데이터를 가지고 데이터화를 통해 처리 할 수 있다.

 

 

1) SIEM 적용방법

 

SIEM에서는 내부 사용자 연계를 위해 2가지 기능을 활용한다. 

 

첫째, ExternInfo를 이용하여 인사정보 데이터베이스를 CSV 형식으로 아래와 같이 맞추어 연동한다.

     관리 -> 설정관리 -> ExternInfo -> 신규등록

 

 

 

[그림 1] ExternInfo 설정화면 과 CSV 예시

 

둘째, 주요 보안장비의 파서(Parser)에 ExternInfo 데이터 태깅(Tagging)

      관리 -> 설정관리 -> 로그파서관리 -> 파서목록선택 -> 수정

 

 

 

[그림 2] 파서 추가 태깅(Tagging) 적용화면

 

 

 

 

[그림 3] 파서 추가 태깅(Tagging)적용 후 검색 화면

 

 

2) ExternInfo 적용 결과

 

ExternInfo 적용으로 손쉬운 사용자의 이벤트 분석이 가능하고 사용자 위주의 통계기반 이벤트를 처리 할 수 있게 되어 보다 나은 사용자 관리가 이루어 질 수 있다.

 

이벤트 발생시 위와 같은 ExternInfo가 적용이 되어 있다면 빠른 상황 대처를 할 수 있을 것이다.

 

 

3. 통계를 이용한 내부 사용자 이벤트 관리

 

앞서 언급하였듯이 SIEM의 강력한 기능 중 하나인 통계데이터를 활용하여 어떻게 내부 사용자의 이벤트 관리를 할 수 있는지 알아 보겠다.

 

 

1) 내부 사용자 이벤트 통계 검색 방법

 

내부 IP 대역을 검색하여 해당 데이터를 통계화 시킨다.

     보안관제 -> 통합로그검색 -> 통계TopN

 

 

 

[그림 4] 내부IP 대역 검색 화면

 

 

 


 [그림 5] 통계 데이터 검색 화면

 

 

 

 

[그림 6] 이벤트 추이 검색을 통한 시간대별 검색 화면

 

 

2) 통계 데이터를 이용한 결과  

 

사용자는 보통 업무시간에 데이터를 많이 활용하기에 업무시간에 데이터량의 증가가 이루어지는 것이 대부분일 것이다.

그러나 이벤트가 있는 사용자의 패턴에는 PC를 기동하는 순간부터 일정한 데이터가 지속적으로 발생 할 것이며 방화벽 데이터 뿐만 아니라 내부에서 외부로 발생하는 보안장비에서 이벤트가 탐지 될 수 있다.

 

즉 ExternInfo 하나의 기능만 가지고도 내부 사용자 데이터를 SIEM에서 통계화하여 모니터링을 할 수 있다. 해당 실무에서는 위와 같은 방법으로 적용하여 관리를 한다면 좋은 효과를 볼 수 있을 것으로 판단한다.

 

 

4. 실제 사이트 관제 예시

 

ExternInfo의 적용을 가지고 현재 실 사이트에서 진행하고 있는 관제 방법을 간단히 소개하고자 한다.

해당 사이트는 이글루시큐리티의 관제 직원이 파견되어 관제를 하는 사이트이며 다양 한 관제방법을 시도하고 있다. 단, 관제의 정답은 없으나 최소한의 가이드가 될 것으로 판단한다.

 

해당 사이트의 관제 시나리오는 아래와 같다.

 

① 인사정보를 ExternInfo 적용(사용자, 부서, 메일주소)

② TopN통계 정보를 활용한 이벤트 추이 분석

③ 추이 분석을 통한 다른 보안장비 이벤트 분석

④ 기타 이벤트 상세분석

 

 

1) 인사정보를 ExternInfo 적용

 

 

 [그림 7] 인사정보를 연동한 방화벽 검색 화면

 

 

 

위의 화면은 사용자의 이름 및 부서 메일주소를 연동하여 방화벽 로그 검색시에 사용자를 쉽게 찾을 수 있는 효과를 가지고 왔다.

 

 

2) 내부사용자의 통계 TopN 활용

 

 

 [그림 8] TopN통계를 활용한 이벤트 검색

 

 

 

통계 확인시 192.168.103.120 IP가 다량의 이벤트를 발생을 하고 있었으며 사용자는 XX부서의 XX대리로 확인되었다.

해당 의심스러운 목적지 IP는 추후 기타 이벤트 검색에서 확인 하도록 한다.

 

 

3) 다른 보안장비 이벤트 확인

 

 

 [그림 9] 기타 보안장비 이벤트 검색

 

 

 

기타 다른 보안장비 IPS 및 백신에서는 이벤트 탐지가 되지 않았으나 무선접근시스템에서 가상의 AP 접속 시도는 하였으나 성공하지 못한 것으로 확인 되었다.

 

 

4) 기타 이벤트 상세분석

 

 

 

[그림 10] 이글루시큐리티 Knowledge Center 확인

 

 

 

[그림 11] Malwares.com의 이벤트 분석 화면(1)

 

 

 

[그림 12] Malwares.com의 이벤트 분석 화면(2)

 

 

 

[그림 13] Malwares.com의 이벤트 분석 화면(3)

 

 

 

[그림 14] Malwares.com의 이벤트 분석 화면(4)

 

 

SIEM이 이글루시큐리티 Knowledge Center(K-Center)와 연동되어 있어 IP가 유해IP 및 유해URL인지 해당 이력을 쉽게 조회 할 수 있었다. 또한 필요 시 기타 외부에서 제공하는 분석 사이트를 이용하여 정확한 데이터를 확인 후 대응한다.

 

위의 데이터는 목적지의 IP가 악성 샘플을 가지고 있는 사이트로 판단이 되었으나 해당 출발지 IP는 방화벽에서 이미 사용자 정보와 부서가 파악되어 직접 연락하여 PC점검을 요청하였으나 특별한 이슈가 발생하지 않았으며 원격으로 조회하여 확인 결과 해당 2개의 IP는 마이크로소프트의 업데이트를 진행하면 발생하는 이벤트였으며 해당 관제 내용은 사고(오탐)종결로 처리 하였다.

 

 

5. 맺음말

 

ExternInfo와 통계(TopN)의 데이터만으로 내부사용자의 이벤트를 빠르게 처리 할 수 있으며 이외의 사용자가 필요한 데이터를 가지고 ExternInfo와 통계(TopN)을 적용한다면 다양한 관제를 할 수 있을 것이라고 생각한다.