보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

ESM 이벤트 분석 기능 활용

2015.08.24

9,853

 

보안관제사업본부 보안분석팀 장태용

ESM을 통하여 수많은 이벤트 로그를 의미 있게 만들고 그 이벤트를 분석하는 방법은 여러 가지가 있습니다. 그 중에 프로파일, 통합분석, 실시간 경보, 보고서 기능의 활용방법에 대해 알아보도록 하겠습니다.

 


[그림1] 이벤트 분석 기능 종류

 


1. 관제 프로파일 활용

ESM의 메인 화면을 구성하는 관제 프로파일의 경우 대상과 장비에 대한 이벤트를 시각적으로 나타내어 이벤트 양의 변화와 데이터 별 내용을 쉽게 확인 할 수 있습니다.

 


[그림2] 관제 프로파일 적용 화면

 


1) 관제 프로파일 설정

 


[그림 3] 프로파일 설정 옵션

 

프로파일을 만들기 위해서는 ESM 콘솔 우측 창에 존재하는 “관제설정”의 “설정” 탭을 이용합니다.

이 탭 안에 있는 기능 중에 표, 30분 그래프, 일일 그래프가 흔히 사용되고 있습니다.

최종적으로 프로파일을 생성하기 위해서는 위 기능 중 하나를 선택하고 유형과 장비 별 세부 조건을 설정해야 합니다.

2) 관제 프로파일 생성


① 표


[그림4] 관제 프로파일(표)


· 특징

   - 이벤트의 상세 내용을 표 형태로 확인 가능

   - 이벤트의 Top 정보 확인이 가능

 

· 장점
   - 실시간 통계치를 시각적으로 확인 가능

   - 이벤트 유입 유형에 대해 실시간으로 확인 가능

· 활용 예시
   - WebFW/Anti-Virus 등의 공격자/패턴 기준 표현

   - 방화벽/IPS 등의 이벤트 Src / Dst 기준 표현

 
· Tip !

    - Top 표현개수 및 데이터주기 설정 가능

   - 가시성을 향상시키기 위한 표의 색깔/형태 변경 가능(배경/Value/Count 등)

           
② 30분 그래프 


[그림 5] 관제 프로파일(30분 그래프)


· 특징
   - 시간 축이 30분 단위로 되어 있음

   - 따라서, 이벤트 변화량에 상대적으로 민감함


· 장점

    - Refresh 주기가 1분이기 때문에 특이 이벤트 현황을

      빠르게 인지 할 수 있음

   - 다양한 장비의 트래픽 변화를 한 눈에 볼 수 있음


· 활용 예시
   - 주요 방화벽 및 보안장비의 30분 총 이벤트 그래프

   - 주요 방화벽의 Src/Dst IP, Service Port 의 30분 이벤트 그래프

   - CPU/Memory 등 가용성의 통합 관제 그래프


③ 일일 그래프

 


[그림 6] 관제 프로파일(일일 그래프)


· 특징
   - 시간 축이 24시간 단위로 되어 있음

   - 오늘/어제/주간 평균치를 한눈에 볼 수 있음

 

· 장점
   - 일일 단위로 이벤트가 누적되어 평균 그래프 선을 벗어나는 경우에 특이사항 확률이 높음

 

· 활용 예시
   - 주요 방화벽 및 보안장비의 일일 특이사항 이벤트를 분석하여 일일 보고서 작성에 활용

 

3) 관제 프로파일 배치


관제 사이트에 필요한 기능들을 선택하여 프로파일을 생성하고 중앙 화면에 직관적으로 배치하여 관제 요원이 보다 효율적으로 관제를 수행 할 수 있도록 할 수 있습니다.

 

 
​[그림 7] 맵 & 표 & 그래프 예시 / 표 & 그래프 예시

 


2. 통합분석 활용

통합 분석의 경우 이미 지나간 이벤트에 대한 통계를 확인 할 때 사용됩니다. 실시간 이벤트의 경우 특이사항이 발생한 시점에서 바로 그래프를 클릭하여 확인 할 경우 정확한 데이터를 확인하는데 어려움이 있지만 이 기능으로 정확한 시점의 데이터를 확인 할 수 있습니다.

 


1) 통합분석 검색 설정

 


[그림 8] 통합분석 검색 설정


· 통합 분석 검색 순서 


  ① 유형 선택 (일별, 시간별, 10분별, 분별, 건별)

  ② 검색 할 시간 범위 지정

  ③ 검색 할 장비 선택 (방화벽, IPS, 웹 방화벽 등)

  ④ 세부 조건 설정 (예 : 출발지 IP, 목적지 PORT 등)

  ⑤ 통합분석 실행

 


2) 통합분석 검색 활용

 
[그림 9] 통합분석 결과 활용

 
· 특징
   - 다양한 시간/조건별 (일일, 시간, 10분, 분, 건별)  이벤트 추이를 빠른 시간에 확인이 가능

 
· 장점

   - 연관성 분석, 관제 프로파일에서 확인 된 특이사항을 선택적으로 빠른 시간 안에 확인 가능

   - 여러 장비에서 동시에 검색하여 하나의 그래프 or 표로 표현 가능

· 활용 예시

   - 연관성 분석 경보 확인 중 이상 데이터 감지 시 해당 모든 보안장비에서의 출발지 IP 조건 검색 등

 


3. 실시간 경보 활용

 
[그림 10] 실시간 경보 발생


· 특징
   - 지나간 경보를 확인 할 수 있음

   - 특정 경보만 조건을 걸어 모니터링 가능

 

· 장점
   - 운영자가 원하는 패턴의 형태만 모니터링 가능

   - 관리자의 연관성 설정 깊이에 따라 다양한 공격에 대해 탐지 가능

 
· 활용 예시

   - 이슈 공격의 집중 모니터링 가능 (주요 사건 발생시 블랙리스트 IP탐지,  악성패턴 감지 등)

   - 주기적인 경보 검색으로 악성 행동 패턴확인 가능

 

· Tip !
   - 경보 프로파일 설정기능으로 담당자 별 룰 모니터링 가능

     (예 : 웹서버 담당자 - 웹 관련 경보 모니터링

            방화벽 담당자 - 네트워크 경보 모니터링 등)

 


4. 보고서 기능 활용

 


[그림 11] 보고서 통계 내용


· 특징

    - 주기적(일일/주간/월간)으로 이벤트 현황에 대한 통계 확인 가능

 
· 장점

   - 대량의 데이터를 한번에 확인 가능

   - 실시간 관제에서 발견되지 않은 특이점을 확인 가능

 

· 활용 예시

   - 주기적(일일/주간/월간)으로 특이한 패턴 발생 확인이 필요할 때

   - 담당자가 원하는 데이터만 출력 시 (예 : 특정포트 접속 확인, IN/OUT 확인)

 

· Tip !
   - Report 프로그램에서 TOP 정보의 개수 설정가능

   - 월간 보고서 작성 시 데이터 통계 작업에 활용