보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

ESM을 통한 시스템 Health Check

2015.08.24

8,704

 

보안관제사업본부 보안분석팀 김지우

 

1. 개요

 

ESM의 경보 기능을 이용하여, ESM과 연동된 시스템의 생존여부(Health Check)를 확인하는 방법에 대해 알아보고자 한다.

 

2. Ping Fail를 통한 Health Check

 

Ping Fail를 통한 Health Check는 ESM Manager에서 시스템으로 ICMP Request 전송 후 시스템에서 ICMP Reply를 응답하는지를 체크하여 시스템의 생존여부를 확인하는 방법으로 만약 시스템에서 일정횟수(ESM Manager는 ICMP Request를 30초 주기로 총 6회 전송, 30초 x 6회 = 3분) 동안 ICMP Reply를 응답하지 않을 경우 ESM Manger에서 PING Fail 경보를 발생시킨다.

 


[그림 1] Ping Fail를 이용한 Health Check 시나리오 구성도

 

1) 연관성 정책 등록

 

① 공통 탭 선택 -  적용 상태 및 경보명 설정 


[그림 2] 적용 상태 및 경보명 설정

 

② 시스템 탭 선택 - 일반 탭 선택 - Ping Fail 체크 후 저장 


[그림 3] Ping Fail 체크

 

③ 등록한 경보명 (우클릭) - 경보 적용 에이전트 설정 


[그림 4] 경보 적용 에이전트 설정

 

④ Ping Fail 경보를 적용할 에이전트 선택 – 확인

 

[그림 5] 에이전트 경보 적용

 

2) Agent 구성관리 설정

 

① 설정 - 구성 관리 - Ping Fail 경보 적용한 에이전트 (우클릭) - 에이전트 수정


[그림 6] 에이전트 수정

 

②  수정 화면에서 “매니저에서 Ping을 이용한 생존여부 확인” 체크 후 적용 버튼 클릭 


[그림 7] 매니저에서 Ping을 이용한 생존여부 확인 체크

 

3) Ping Fail 경보 발생 확인

 

① 실시간 경보 창에 Ping Fail 경보 발생 확인 


[그림 8] Ping Fail 실시간 경보 발생

 

 

3. 시스템 이벤트를 통한 Health Check

 

시스템 이벤트를 통한 Health Check는 ESM Agent를 통해 시스템 이벤트(Syslog)를 수집하여 인터페이스 UP/DOWN 이벤트, 시스템 다운 이벤트 발생 시 ESM 연관성 정책을 통해 1분 주기로  탐지하는 방법이다.



[그림 9] 인터페이스 Health Check 시나리오 구성도

 

1) 연관성 정책 등록

 

① 공통 탭 선택 -  적용 상태 및 경보명 설정

 

 
[그림 10] 경보명 설정

 

② 이벤트 탭 선택 – 호스트 이벤트 탭 선택 - Text 설정 값을 1로 변경 - Text 포함 리스트에 ‘state to down’ 추가 – 적용

 

 
[그림 11] 포함 리스트 설정

 

③ 등록한 경보명 (우클릭) – 경보 적용 에이전트 설정 – 에이전트 선택 - 확인

 


[그림 12] 경보 적용 에이전트 선택

 

2) 경보 발생 확인

 

① 실시간 인터페이스 DOWN 로그 발생 시, ‘인터페이스 다운’ 경보가 발생

 
[그림 13] 실시간 이벤트로그

 


[그림 14] 경보 발생 확인