보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

ESM 연관성 분석을 활용한 이벤트 검색

2015.08.24

8,133

 

보안관제사업본부 보안분석팀 김지우

 

1. 상호연관성(Advanced Correlation) 분석이란?

 

같은 종류는 물론이고 다른 종류의 보안시스템이 작동하는 상황에서 발생되는 이벤트 패턴간의 연관성을 분석하여 위험요소에 대한 예방 및 제거를 일관되게 수행할 수 있도록 지원한다.

 


상호연관성 분석(Correlation)은 ESM 솔루션의 핵심 기술이라고 할 수 있으며 보안 담당자들이 해킹 위협에 대해 정확히 판단할 수 있도록 의사결정 지침을 제공한다.

 

2. 연관성 경보 검색 기능이란?

 

설정된 연관규칙을 바탕으로 발생하는 경보를 다양한 방법으로 확인함으로써 효율적인 보안 관제를 지원하는 기능이다. 이번 ESM Guide에서는 연관성 경보 확인 방법을 통해 보다 빠르게 대응하고 명확한 사후 처리방법을 소개하고자 한다.

 

3. ESM 콘솔에서 경보 확인하는 방법 (3가지)

 

1) 실시간 경보 화면 활용(콘솔 하단)

 

ESM 콘솔에서 하단에 위치한 실시간 경보창을 통해 발생한 모든 경보를 모니터링 한다.

 


[그림 1] 실시간 경보 화면 활용 화면

 

2) 경보 보기 메뉴(ctrl기 + A)

 

아래 표시된 ①, ②의 아이콘은 실시간 경보 검색 팝업 창을 실행하며, 경보 리스트별 필터링을 원할 경우 팝업창의 경보 보기 메뉴(③)에서 필터링할 경보를 선택하면 해당경보에 대한 정보만 출력해 줌으로써 좀더 명료하게 분석할 수 있다. 즉, 경보별로 구분을 하여 어떤 경보가 몇 건이 발생하였는지 손쉽게 확인 할 수 있고 모니터링 하고자 하는 경보를 선택하여 특히 중요하게 생각되는 경보만 선별하여 모니터링 할 수도 있다

 

① 경보리스트에서 체크박스에 아무것도 체크를 하지 않으면  기본적으로 All Checking 상태로 인식하여 모든 경보를 모니터링한다.

 


[그림 2] 경보보기 (All Checking)

 

② 특정 경보만 모니터링을 하고자 할 때에는 모니터링 하고자 하는 경보만 체크하면 된다.

 


[그림 3] 경보보기 (Select Checking)

 

③ 경보리스트에서 특정 경보를 체크한 후 검색을 실행하면 체크한 대상의 경보명만 검색하도록 할 수 있다. 또한 검색된 경보의 컬럼을 Drag 하면 컬럼별 정렬이 가능하여 결과값에 대한 가독성을 높일 수 있다.

 


[그림 4] 경보검색 (Select Checking)

 

3) 이벤트 검색을 통한 경보의 확인

 

이벤트 검색을 통한 경보의 확인은 특정 장비에 대해서 어떤 경보가 발생하였는지와 장비별 경보 발생 추이를 확인하는데 유용하게 사용 할 수 있다. 위에서 설명한 경보보기/검색를 통한 경보확인은 경보 그 자체에 초점이 맞추어져 있다면 이벤트 검색에서의 경보확인은 장비자체에 초점이 맞추어져 있다고 볼 수 있다.

 

① 이벤트 검색창의 메뉴에서 조건설정->경보를 선택한다. 왼쪽의 에이전트 리스트에서 경보를 확인하고자 하는 에이전트를 체크하여 검색을 수행 할 수 있다.

 


[그림 5] 조건 설정 화면

 

② SRC IP 등의 조건을 입력하여 검색을 수행할 수도 있다.(아래와 같이 네트워크 대역으로도 검색 가능)

 

 
[그림 6] SRC IP 등의 조건 설정 화면

 

 
[그림 7] SRC IP 등의 조건을 적용한 검색결과 화면

 

4-1. 활용 사례 – 웜패턴탐지

 

웜패턴탐지를 통한 상호연관성분석(coreelation) 기술은 다음과 같이 활용 할 수 있다.

 

1) 이벤트 검색

 

먼저 이벤트 검색 시 목적지 포트가 TCP 139, 445 인 이벤트가 방화벽, IDS, IPS, 바이러스월 등 같은 구간에 보안 장비와 연계하여 이벤트를 검색한 뒤 보안이벤트를 실행한다.

 


[그림 8] 이벤트 검색 설정 화면

 

ㆍ왼쪽 대상 장비 선택 후 오른쪽 하단의 보안이벤트를 선택

ㆍ목적지 Port에 TCP 139.445 포트 입력 

 

 

2) 이벤트 리스트

 

 
[그림 9] 이벤트 검색 결과 화면

 

ㆍ이벤트 검색시 표시할 이벤트 수는 최대 100,000건으로 설정

ㆍ최대한 많은 이벤트를 한 화면에서 조회 

 

 

3) 이벤트 정렬

 


[그림 10] 이벤트 검색 정렬 화면 (1)

 

 
[그림 11] 이벤트 검색 정렬 화면 (2)

 


[그림 12] 이벤트 검색 정렬 화면 (3)

 

ㆍ동일한 출발지 IP에서 방화벽, Attack에서 동일 시간대에 탐지됨을 정렬 기능을 통해 확인 

 

 

4-2. 활용 사례 – 내부사용자의 외부사이트의 실행 파일 탐지

 

1) 이벤트 검색 시

 

또한 1차 필터링 적용된 컬럼에 대하여 2차 필터링 할 수 있다.

 

 

ㆍ목적지 포트가 TCP 80인 이벤트가 방화벽, IDS, IPS, 바이러스 월 등 같은 구간에 보안 장비와 연계하여 이벤트를 검색

ㆍ최근 악성코드 유포 사이트 접속 시 많이 탐지되는 패턴임


  

2) 이벤트 검색 실행 및 결과

 

 
[그림 13] 이벤트 검색 결과 리스트 상세 화면

 

 

ㆍ동일한 출발지 IP, 동일한 목적지 IP에서 방화벽, Attack에서 동일 시간대에 탐지됨을 정렬 기능을 통해 확인 

 

 

5. 결론

 

ESM의 상호연관성 분석 기술을 통해 각종 로그 및 이벤트의 상호 연관성을 분석해 보안침해사고를 사전에 예측하고 대응, 관리하는 등 이벤트들의 상호간 연관성 분석을 통해 잘못된 보안 대책을 최소화하는 방향으로 발전할 수 있다.