기술지원센터 기술2팀 장현욱 대리

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.   

1. 개요

ㆍSPiDER TM에서 제공하는 대시보드의 Pop Up기능을 사용하면, Interactive Widget과 Linked Widget를 활용할 수 있다.

ㆍ사용자는 주요 대시보드 컨텐츠의 연계분석 기능을 통해 업무 효율을 높일 수 있다.

ㆍInteractive Widget과 Linked Widget를  활용하여 보다 빠르게 현황을 파악하고, 사이버 위협을 시각화 한다.

2. Interactive Widget

1) Interactive Widget 기능 및 효과

ㆍInteractive Widget 설정으로 하나의 Widget을 활용하여 해당 Widget과 연관된 데이터 분석 가능

ㆍ대시보드를 구성한 사용자에 따라 다양한 방식의 데이터  시각화 및 분석환경 구성 가능

2) Interactive Widget 구성 결과 : 대시보드 이벤트 기준(경보명) → 출발지IP,목적지IP Top N

ㆍInteractive Widget 으로 구성한 대시보드 컨텐츠의 “경보 명” 선택(Click)

ㆍ선택한 경보 명 기준으로 경보 별 출발지 IP Top N, 경보 별 목적지 IP Top 10 팝업 컨텐츠 실행

ㆍ해당 경보를 가장 많이 공격한 IP와 피해 IP를 확인 가능

3) Interactive Widget 설정 방법

ㆍWidget 생성 시 설정 부분의 팝업 기능 선택

ㆍ팝업 위젯 : Interactive Widget은 팝업기능이 아닌 파라미터 값을 필요로 하기 때문에 Off로 선택

ㆍ파라미터 설정 : 경보 명으로 검색하기 때문에 경보 명 필드인 [RULENAME] 필드 선택

ㆍ해당 설정으로 Interactive Widget 기능 구성 완료

3. Linked Widget - 통합로그검색

1) SPiDER TM V5.0 Dashboard

ㆍInteractive 대시보드로  특정 경보 명 선택 시 출발지 IP 데이터 확인 가능

  - 화면상에 표시된 출발지 IP는 선택한 경보에서 가장 발생된 출발지 IP Top 10

2) SPiDER TMV5.0 통합로그검색

ㆍ대시보드에서 확인한 출발지 IP의 통합로그검색을 위해 SPiDER TM UI의 통합로그검색 메뉴 선택

  (절차 : SPiDER TM UI 선택 -> 보안관제 -> 정보검색 -> 통합로그검색) 

ㆍ분석조건 입력란에  출발지IP 정보 입력 후 검색 실행

ㆍLinked Widget 기능 활용으로 위의 절차 생략 가능

3) Linked Widget 구성 결과 : 대시보드 이벤트 기준(출발지IP)→통합로그검색

ㆍ대시보드 컨텐츠에 표현된 데이터(출발지IP) 선택(Click) 시 자동으로 통합로그검색 검색완료 결과 표출

ㆍ선택한 데이터(출발지IP)의 인자 값 처리로 지정된 기능(통합로그검색) 자동연계 환경 제공

ㆍWidget 생성 시 설정 부분의 팝업 기능 선택

  - 파라미터 설정 : [NM] 필드 선택 (NM 필드는 출발지 IP 선택 시 선택된 IP를 연계해준다 )

  - URL 입력

    : TM IP:Port/siem/search/logSearch.do?searchQuick=true&searchQuery=base64(%s)로 설정

ㆍ해당 설정으로 통합로그검색 연계 Linked Widget 기능 구성 완료

4. Linked Widget – 경보분석

1) SPiDER TM V5.0 Dashboard 

ㆍ대시보드 컨텐츠에 포함된 “금일 경보 발생 현황 Top 5” 데이터 확인 가능

  - 금일 발생한 경보 확인을 위해서는 경보분석 메뉴에서 검색어 입력 후 검색 필요

2) SPiDER TMV5.0 경보분석

ㆍ이벤트 검색을 위해 SPiDER-TM UI의 경보분석 메뉴 선택

  (절차 : SPiDER-TM UI 선택 -> 보안관제 -> 상세분석 -> 경보분석) 

ㆍ검색어 추가 버튼 선택 및 경보 명 입력 후 검색 실행

3) Linked Widget 구성 결과 : 대시보드 이벤트 기준(출발지IP)→경보분석

ㆍLinked Widget으로 구성한 대시보드 컨텐츠의 경보 명 선택(Click)

ㆍ경보분석을 호출함과 동시에 해당 경보 명으로 자동 검색 실행

  → 일반 대시보드 사용시 발생하는 추가 과정 없이, 즉각적인 결과 확인 가능

ㆍWidget 생성 시 설정 부분의 팝업 기능 선택

  - 파라미터 설정 : [NAME] 필드 선택

  - URL 입력

   : TM_IP:Port/siem/search/logSearch.do?searchQuick=true&searchQuery=base64(%s) 로 설정

ㆍ해당 설정으로 통합로그검색 페이지 연계 Linked Widget 기능 구성 완료

5. 결론

SPiDER-TM V5.0 DashBoard 기능 활용

SPiDER-TM V5.0에서 제공하고 있는 사용자정의 대시보드는 필요에 따라 구성을 변경할 수 있도록 구현되어 있다. 데이터 시각화로 제공되는 화면을 통해 실제 데이터 분석이 가능함은 물론 관제환경을 제공하기 위한 기능도 사용할 수 있다. 

앞서 설명한 내용과 같이 Interactive Widget과 Linked Widget기능을 통해 충분히 다양한 관제 환경 구성이 가능하다. 사용자는 사용자정의 대시보드의 여러 기능을 통해, 사용자가 원하는 편의성과 효율성을 제공하는 자신만의 대시보드 환경을 구성할 수 있다.