기술지원센터 기술지원팀

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보합니다.   

 

 

1. 개 요

 

SPiDER TM V5.0의 여러 이기종 데이터를 통합적으로 검색하고 분석하기를 원하는 고객의 요구사항을 충족시키기 위해 다양한 검색 기능을 제공한다. 

또한 CSV 형식으로 저장된 외부정보(EXTERNINFO)와 장비에서 수집한 데이터를 연계하여 로그에 존재하지 않는 새로운 데이터를 생성해서 경보 및 이벤트 조회에 활용할 수 있다.

 

 

2. 외부정보 활용 방안

 

1) 네트워크 방향성 구분(IN/OUT)

 

외부정보에 등록되어 있는 내부IP(IN)를 제외한 IP는 외부IP(OUT)으로 표시.

· 외부정보(CSV)파일에 등록되어있지 않은 IP는 외부IP로 표시하여 데이터의 이동 방향을 표시한다.

·​ 네트워크의 방향성을 표시하여 외부 접근시도나 내부자료 유출을 확인하는데 활용할 수 있다.

 

 

 

 

외부정보의 CSV 파일 생성 방법은 다음과 같다.

 

① EXCEL에서 내부IP 대역 입력 후 파일명(iprange).CSV 확장자명으로 저장한다.

② 외부정보(EXTERNINFO) 등록 시 A필드가 키, B필드가 값이 된다.

 

 

 

 

생성한 외부정보(EXTERNINFO) CSV 파일의 등록방법은 다음과 같다.

 

① 관리 > 설정관리 > EXTERNINFO > 신규등록 > 파일선택 > 등록

 

 

 

 

생성한 외부정보(EXTERNINFO)를  파서에 적용하는 방법은 다음과 같다.

 

① 관리 > 설정관리 > 로그파서관리 메뉴에서 적용하고자 하는 파서 선택 후 수정버튼 클릭한다.

② 방향성 정보 필드(s_direction / d_direction)의 필드타입을 EXTERNINFO로 선택한다.

③ 값 입력 부분에는 외부정보로 등록한 iprange를 선택 후 참조필드에 s_ip(s_info), d_ip(d_info) 를 입력한다.

       : s_ip(s_info), d_ip(d_info) 필드에 수집되는 ip정보를 iprange에 등록된 내부IP 정보와 비교하여 IN 표기

④ 기본유형에 고정 값(FIXEDVALUE) OUT을 넣어준다.

       : iprange에 매칭되는 값이 없는 경우 OUT으로 표기

 

 

 

 

로그를 검색하여 외부정보(EXTERNINFO)가 적용되었음을 확인할 수 있다. 

 

① s_ip(s_info) 조건을 iprange에 등록한 내부IP로 검색 시 s_direction 필드에 IN 표기됨을 확인할 수 있다.

② d_ip(d_info) 조건은 iprange에 등록된 내부IP에 해당되지 않기 때문에 OUT으로 표기됨을 확인할 수 있다.

 

 

 

 

2) 인사정보 활용

 

외부정보에 등록되어 있는 내부IP(IN)를 제외한 IP는 외부IP(OUT)으로 표시.

· ​외부정보(CSV)파일에 등록되어있지 않은 IP는 외부IP로 표시하여 데이터의 이동 방향을 표시한다.

· ​네트워크의 방향성을 표시하여 외부 접근시도나 내부자료 유출을 확인하는데 활용할 수 있다.

 

 

외부정보의 CSV파일 생성 방법은 다음과 같다.

 

① EXCEL에서 USERID, 사원명, 부서명, 직급, 연락처,재직 유/무를 입력 후 파일명(department).CSV확장자명으로 저장한다.

② 외부정보(EXTERNINFO)등록 시 A필드(키)를 이용하여 B~F의 값으로 필드변환을 할 수 있다.

 

 

③ SIEM UI의 관리>설정관리>EXTERNINFO에 “신규등록”한 후 CSV파일을 등록한다.

 

 

 

 

생성한 외부정보(EXTERNINFO)를 파서에 적용하는 방법은 다음과 같다.

 

① 관리 > 설정관리 > 로그파서관리 메뉴에서 적용하고자 하는 파서 선택 후 수정버튼 클릭한다.

② 필드 정보는 아래와 같이 입력하고 필드 타입을 EXTERNINFO로 선택한다.

   : 참조 필드는 수집되는 이벤트의 user_id로 한다.

 

· ​​user_name : 사원명

· ​​deptname  : 부서명

· ​​user_level  : 직 급 

· ​​phone_number : 연락처

· ​​working : 재직 여부

 

 

 

 

로그를 검색하여 외부정보(EXTERNINFO)가 적용되었음을 확인할 수 있다.

 

① 수집된 USERID에 속해있는 사원명, 부서명, 직급, 연락처, 재직여부를 확인할 수 있다.

 

 

 

외부정보의 재직여부를 활용해서 퇴직자가 접속했을 경우 경보가 발생한 화면이다.​​ 

 

 

3) 업무시간/비업무시간 모니터링

 

외부정보에 업무시간(WorkTime)을 등록해서 업무시간/비 업무시간을 구분하여 모니터링 할 수 있다.

· 수집된 이벤트시간을 이용하여 업무시간/비 업무시간에 발생한 이벤트를 구분하여 모니터링 할 수 있음.

 

  

 

외부정보의 CSV파일 생성 방법은 다음과 같다.

 

① EXCEL에서 업무시간(worktime).CSV확장자명으로 저장한다.

② 외부정보(EXTERNINFO) 등록 시 A필드가 키, B필드가 값이 된다.

 

  

③ SIEM UI의 관리>설정관리>EXTERNINFO에 “신규등록”한 후 CSV파일을 등록한다.

 

 

 

생성한 외부정보(EXTERNINFO)를 파서에 적용하는 방법은 다음과 같다.

 

① 관리 > 설정관리 > 로그파서관리 메뉴에서 적용하고자 하는 파서 선택 후 수정버튼 클릭한다.

② 참조 필드는 수집되는 이벤트시간에서 date와 time을 이용한다.

③ 필드 정보는 아래와 같이 입력하고 필드 타입을 EXTERNINFO로 선택한다.

④ 기본 유형은 FIXEDVALUE로 선택한다. (1은 업무시간, 0은 비업무시간)

 

 

 

로그를 검색하여 외부정보(EXTERNINFO)가 적용되었음을 확인할 수 있다.

 

① 수집된 이벤트시간을 가지고 업무시간/비업무시간을 변환 필드에 추가표시

 

 

외부정보의 업무시간/비업무시간을 활용해서 근무시간외 시간에 주요서버에 접속하는 행위를 탐지하는데 활용 할 수 있다.

 

 

 

3. 결론

 

▶ 외부 정보(EXTERNINFO)를 통한 데이터의 활용 

 

보안장비에서 수집되는 다양한 데이터는 보안이벤트 자체로 가치가 있다. 그러나 다양한 목적에 따라 분석하기에는 제한적 일수도 있다. 따라서 SIEM의 외부정보와 보안데이터를 연동을 통해 담당자는 목적에 부합하는 2차 데이터를 만들고 분석할 수 있다.  앞서 설명한 것처럼 수집되는 이벤트의 IP는 그냥 숫자에 불과하지만 외부정보를 활용하게 되면 네트워크의 방향성, 인사정보 연동, 업무시간의 이벤트 확인에 활용할 수 있다.  이와 같이 담당자는 외부정보와 보안장비에서 수집하는 데이터를 어떻게 결합하여 활용하냐에 따라 다양한 목적에 부합되게 2차 데이터를 생성하고 분석할 수 있다.​