보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
통합대시보드를 통한 관제 활용 방안
2022.03.02
3,021
SPiDER TM V5.0은 이글루시큐리티 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.
01. 개요
SPiDER TM에서 제공하는 통합대시보드의 기관코드 관리를 활용하면 관제 업무의 효율성을 높일 수 있다.
경보이벤트는 실시간 보안 관제를 위해 수집한 다양한 보안장비의 로그를 경보 명 중심으로 제공 하고 있다. 이를 활용하면 SIEM에서 발생한 경보이벤트에 통합대시보드 기관 코드 정보를 연계하여, 기관 네트워크 그룹에 대한 통계정보를 분석하고 경보이벤트의 확장성을 높일 수 있다.
02. SIEM 경보 로그 및 통합대시보드 SIEM 경보 로그
1) SIEM 경보 관제 화면 및 통합대시보드 SIEM 경보 화면
[그림 1] SPiDER TM 상관분석 화면
[그림 2] 통합대시보드 Attack 모니터링 화면
2) SIEM 경보 이벤트 정보 내용
[그림 3] SIEM 및 통합대시보드 경보 이벤트 정보 화면
SIEM에서 제공하는 경보 이벤트를 확인하기 위해서는 상관분석 메뉴 또는 통합대시보드에서 제공하는 경보 이벤트 위젯을 살펴보면 된다.
SiEM에서 제공하는 경보 이벤트의 탐지 장비 정보는 직관적으로 식별이 가능 하나, 이벤트의 출발지 / 목적지 IP 자산의 영역 확인을 위해서는 추가적인 업무가 필요하다.
03. 통합대시보드 기관코드 설정 방법
1) 통합대시보드 기관코드 관리 정보 등록
[그림 4] 통합대시보드 기관코드 관리 화면
SIEM에 발생된 경보이벤트는 통합대시보드와 동기화 되어, 통합대시보드 DB를 통해 추가 정보 활용이 가능하다.
STEP 1) 통합대시보드 UI 기관 코드 단일 입력
[그림 5] 통합대시보드 기관코드 관리 기관 생성
설정 > 시스템 > 기관 코드 관리 > 기관 생성(기관코드/기관명) 설정 저장
[그림 6] 통합대시보드 기관코드 관리 기관 상세 정보 입력
기관 생성 후 > 상세 IP 대역(시작아이피/종료아이피) 입력 후 기관 지정 저장
STEP 2) 통합대시보드 UI 기관 코드 일괄 입력
[그림 7] 통합대시보드 기관코드 관리 일괄(기관코드/기관명) 입력 화면
설정 > 시스템 설정 > 기관 코드 관리 > CSV 업로드 > 양식 다운로드
Sample.csv 양식 다운로드 후 각 필드 (기관코드/사이트명/시작아이피/종료아이피) 데이터 입력
다른 이름으로 저장 > 기관코드입력.scv 저장 (파일명에 대한 제약은 없음)
CSV 업로드 > 기관코드입력.csv 선택 > 확인 선택
기관코드관리 업로드 된 대역 정보 확인
→ 일괄 입력 시 기관코드 생성 > 기관 대역 입력 과정을 하나의 CSV파일로 등록 가능 하다.
1) 통합대시보드 기관코드 관리 정보 등록
[그림 8] 통합대시보드 기관코드 관리 일괄 입력 참고 사항
CSV일괄 입력 시 기관코드/기관 명에 한글이 포함되어 있을 경우.
CSV파일 > 연결 프로그램 > notepad.exe > 다른이름으로 저장 시 파일형식(모든파일) 지정 / 인코딩 (UTF-8) 지정 저장 필요
→ Excel 데이터 중 한글 문자열이 포함된 .CSV파일 일괄 등록 시 DB에서 한글 깨짐 현상 발생한다.
04. 통합대시보드 SIEM 경보 로그 활용 방법
1) 기관코드 대역 정보 활용 위젯 생성
[그림 9] 통합대시보드 기관코드 정보를 활용한 위젯 화면
2) 기관코드 활용 위젯 대시보드 구성
[그림 10] 통합대시보드 Attack 모니터링 기관 대역 활용 화면
위와 같이 기관코드를 활용한 위젯 대시보드를 구성하면 SIEM에서 발생한 경보 리스트의 출발지/목적지 IP의 기관 대역 정보를 직관적으로 확인 가능하며,
SIEM 경보 발생 기관 명 통계 데이터를 다양한 형태의 위젯으로 활용 할 수 있다.
05. 결론
보안관제 업무를 성공적으로 수행하기 위해서는 고객사 마다 상이한 고객사에 최적화된 보안관제체계의 확립이 필요하다. 통합대시보드에서 제공하는 IP기관 대역 정보를 활용하여 대시보드 구성하면 사이트에서 탐지IP 정보에 대한 식별을 직관적으로 할 수 있다. 또한 소규모 사이트의 경우 기관명 대신 부서명, IP대역 대신 사용자(호스트PC) 정보를 활용 한다면, 각 사이트 환경에 최적화 된 대시보드 화면을 구성 할 수 있을 것이다.