보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
ESM 이벤트 분석 기능 활용
2015.08.24
9,853
보안관제사업본부 보안분석팀 장태용
ESM을 통하여 수많은 이벤트 로그를 의미 있게 만들고 그 이벤트를 분석하는 방법은 여러 가지가 있습니다. 그 중에 프로파일, 통합분석, 실시간 경보, 보고서 기능의 활용방법에 대해 알아보도록 하겠습니다.
[그림1] 이벤트 분석 기능 종류
1. 관제 프로파일 활용
ESM의 메인 화면을 구성하는 관제 프로파일의 경우 대상과 장비에 대한 이벤트를 시각적으로 나타내어 이벤트 양의 변화와 데이터 별 내용을 쉽게 확인 할 수 있습니다.
[그림2] 관제 프로파일 적용 화면
1) 관제 프로파일 설정
[그림 3] 프로파일 설정 옵션
프로파일을 만들기 위해서는 ESM 콘솔 우측 창에 존재하는 “관제설정”의 “설정” 탭을 이용합니다.
이 탭 안에 있는 기능 중에 표, 30분 그래프, 일일 그래프가 흔히 사용되고 있습니다.
최종적으로 프로파일을 생성하기 위해서는 위 기능 중 하나를 선택하고 유형과 장비 별 세부 조건을 설정해야 합니다.
2) 관제 프로파일 생성
① 표
[그림4] 관제 프로파일(표)
· 특징
- 이벤트의 상세 내용을 표 형태로 확인 가능
- 이벤트의 Top 정보 확인이 가능
· 장점
- 실시간 통계치를 시각적으로 확인 가능
- 이벤트 유입 유형에 대해 실시간으로 확인 가능
· 활용 예시
- WebFW/Anti-Virus 등의 공격자/패턴 기준 표현
- 방화벽/IPS 등의 이벤트 Src / Dst 기준 표현
· Tip !
- Top 표현개수 및 데이터주기 설정 가능
- 가시성을 향상시키기 위한 표의 색깔/형태 변경 가능(배경/Value/Count 등)
② 30분 그래프
[그림 5] 관제 프로파일(30분 그래프)
· 특징
- 시간 축이 30분 단위로 되어 있음
- 따라서, 이벤트 변화량에 상대적으로 민감함
· 장점
- Refresh 주기가 1분이기 때문에 특이 이벤트 현황을
빠르게 인지 할 수 있음
- 다양한 장비의 트래픽 변화를 한 눈에 볼 수 있음
· 활용 예시
- 주요 방화벽 및 보안장비의 30분 총 이벤트 그래프
- 주요 방화벽의 Src/Dst IP, Service Port 의 30분 이벤트 그래프
- CPU/Memory 등 가용성의 통합 관제 그래프
③ 일일 그래프
[그림 6] 관제 프로파일(일일 그래프)
· 특징
- 시간 축이 24시간 단위로 되어 있음
- 오늘/어제/주간 평균치를 한눈에 볼 수 있음
· 장점
- 일일 단위로 이벤트가 누적되어 평균 그래프 선을 벗어나는 경우에 특이사항 확률이 높음
· 활용 예시
- 주요 방화벽 및 보안장비의 일일 특이사항 이벤트를 분석하여 일일 보고서 작성에 활용
3) 관제 프로파일 배치
관제 사이트에 필요한 기능들을 선택하여 프로파일을 생성하고 중앙 화면에 직관적으로 배치하여 관제 요원이 보다 효율적으로 관제를 수행 할 수 있도록 할 수 있습니다.
[그림 7] 맵 & 표 & 그래프 예시 / 표 & 그래프 예시
2. 통합분석 활용
통합 분석의 경우 이미 지나간 이벤트에 대한 통계를 확인 할 때 사용됩니다. 실시간 이벤트의 경우 특이사항이 발생한 시점에서 바로 그래프를 클릭하여 확인 할 경우 정확한 데이터를 확인하는데 어려움이 있지만 이 기능으로 정확한 시점의 데이터를 확인 할 수 있습니다.
1) 통합분석 검색 설정
[그림 8] 통합분석 검색 설정
· 통합 분석 검색 순서
① 유형 선택 (일별, 시간별, 10분별, 분별, 건별)
② 검색 할 시간 범위 지정
③ 검색 할 장비 선택 (방화벽, IPS, 웹 방화벽 등)
④ 세부 조건 설정 (예 : 출발지 IP, 목적지 PORT 등)
⑤ 통합분석 실행
2) 통합분석 검색 활용
[그림 9] 통합분석 결과 활용
· 특징
- 다양한 시간/조건별 (일일, 시간, 10분, 분, 건별) 이벤트 추이를 빠른 시간에 확인이 가능
· 장점
- 연관성 분석, 관제 프로파일에서 확인 된 특이사항을 선택적으로 빠른 시간 안에 확인 가능
- 여러 장비에서 동시에 검색하여 하나의 그래프 or 표로 표현 가능
· 활용 예시
- 연관성 분석 경보 확인 중 이상 데이터 감지 시 해당 모든 보안장비에서의 출발지 IP 조건 검색 등
3. 실시간 경보 활용
[그림 10] 실시간 경보 발생
· 특징
- 지나간 경보를 확인 할 수 있음
- 특정 경보만 조건을 걸어 모니터링 가능
· 장점
- 운영자가 원하는 패턴의 형태만 모니터링 가능
- 관리자의 연관성 설정 깊이에 따라 다양한 공격에 대해 탐지 가능
· 활용 예시
- 이슈 공격의 집중 모니터링 가능 (주요 사건 발생시 블랙리스트 IP탐지, 악성패턴 감지 등)
- 주기적인 경보 검색으로 악성 행동 패턴확인 가능
· Tip !
- 경보 프로파일 설정기능으로 담당자 별 룰 모니터링 가능
(예 : 웹서버 담당자 - 웹 관련 경보 모니터링
방화벽 담당자 - 네트워크 경보 모니터링 등)
4. 보고서 기능 활용
[그림 11] 보고서 통계 내용
· 특징
- 주기적(일일/주간/월간)으로 이벤트 현황에 대한 통계 확인 가능
· 장점
- 대량의 데이터를 한번에 확인 가능
- 실시간 관제에서 발견되지 않은 특이점을 확인 가능
· 활용 예시
- 주기적(일일/주간/월간)으로 특이한 패턴 발생 확인이 필요할 때
- 담당자가 원하는 데이터만 출력 시 (예 : 특정포트 접속 확인, IN/OUT 확인)
· Tip !
- Report 프로그램에서 TOP 정보의 개수 설정가능
- 월간 보고서 작성 시 데이터 통계 작업에 활용