보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

ESM 이벤트 추이 그래프를 통한 탐지 및 분석

2015.08.18

8,964

보안관제사업본부 보안분석팀 김지우

 

1.  개요

 

급격한 이상 이벤트 발생 시 ESM을 통한 탐지 및 로그 분석방법에 대해 기술하고자 한다.

 

2. ESM 이벤트 추이그래프

 

1) 설 명

 

ESM에서는 이벤트 발생 건수를 시간흐름에 따라 그래프형식으로 표출해주는 이벤트 추이 그래프 기능을 제공한다. 이벤트 추이 그래프는 각 에이전트 별로 생성할 수 있으며 당일, 전일, 주간 평균의 3개 그래프곡선으로 표출이 가능하다. 이를 통해 각 에이전트의 이벤트 발생 평균치를 확인할 수 있으며 당일 그래프 곡선의 급격한 상승 시 주간, 전일 그래프에 비해 이벤트 이상여부를 직관적으로 판단할 수 있어 관제요원의 빠른 대처를 가능케 한다.

  


[그림 1] ESM 이벤트 추이그래프

 

2) ESM과 네트워크 모니터링 도구와의 공통점과 차이점

 


[그림 2] 네트워크 모니터링 도구 - 평균적인 트래픽 발생 시


[그림 3] 네트워크 모니터링 도구 - 특정 시점에 급격한 트래픽 발생 시

 

네트워크 모니터링 도구는 보안 장비, 네트워크 장비, 서버 등 각 시스템에서 발생하는 트래픽 정보를 수집하여 DDoS의 유효성 판단 및 내부 비정상 트래픽 감지 등 평균적으로 사용되는 트래픽 이상의 데이터가 발생하였을 때 발생원인을 분석하는데 용이하게 한다. 또한 유해 트래픽 외에도 서버의 백업 파일 전송 및 내부 자료 전송 시 발생되는 트래픽 정보 등을 확인하여 효과적인 시스템 운영이 가능하다.

 

 

① 평균적으로 사용되는 트래픽 이상의 이벤트 발생을 그래프 형식으로 직관적으로 확인할 수 있다.

② 급격한 이벤트 발생 시 실시간 경보가 가능하다.

(※단, 네트워크 모니터링 도구는 실시간 경보 지원여부 확인 필요)


 

① 네트워크 모니터링 도구의 최소 단위는 BPS(bits per second), ESM의 최소 단위는 이벤트 건수이다.

② 네트워크 모니터링 도구는 RAW 데이터를, ESM은 RAW 데이터를 정규화한 이벤트 건수를 그래프로 표출한다. 

 

위와 같은 공통점과 차이점이 존재하므로 네트워크 모니터링 도구와 ESM에서 확인 가능한 IPS, IDS, ESM 이벤트 등을 비교 분석하여 실제 공격 여부를  판단하는 것이 오탐지를 예방할 수 있다.

 

3) 이상 이벤트 발생 시 분석방법

 

< 시나리오 >

F/W 에이전트에서 전일, 주간 평균 이벤트에 비해 당일 특정 시점(06:00~07:00)에 ESM 이벤트 추이 그래프가 급격히 상승하였다.

 


[그림 4] ESM 이벤트 추이 그래프 – 급격한 이벤트 상승

 

 

① ESM 통합분석

해당 에이전트에서 특정 시점(06:00~07:00)에 가장 많은 접속을 시도한 상위 10개 IP 및 Port 의 데이터를 추출

 

< ESM 통합분석 기능 >

ESM의 보안이벤트를 다양한 조건의 기준으로 분석하여 원하는 기간 동안의 분석결과를 확인 할 수 있다.

① 유형 : 일별(기본값), 시간별, 10분별, 건별

② 상위 : 상위 Top N 까지 설정할 수 있음 ( 최소값 : 1, 최대값 : 100)

③ 시간 :  분석하고 싶은 날짜를 선택

 


[그림 5] ESM 통합 분석

 


[그림 6] 상위 10개 IP 추출

 

② 통합분석 결과, 특정 IP(200.174.9.66)에서 110(POP3) 포트로 과다접근을 시도

 

※ 110 Port 관련 공격

Banner Grabbing :  원격지에서 로그인을 시도하면 나타나는 안내문을 통한 운영체제 및 커널 버전 확인

ProMail trojan : 트로이 목마가 사용하는 백도어 포트

 

③ 이벤트 검색

공격 IP(200.174.9.66)에서 특정시간(06:00~07:00)동안 접근을 시도한 목적지 IP 리스트 확인

 


[그림 7] 이벤트 검색

 

④ 이벤트 검색 결과

공격 IP에서 210.X.X.0/24 대역으로 110 Port(POP3) 에 대한 네트워크 스캔을 시도함을 확인

 


[그림 8] 이벤트 검색

 

공격대상에 대한 정보를 수집하기 위한 수단으로 사용되는 네트워크 공격은 크게 4가지 유형으로 나눌 수 있다.

  


[그림 9] 네트워크 스캔 공격

 


[그림 10] 정보수집형 네트워크 공격 – 4가지 유형

 

 

< 정보수집형 네트워크 공격>

① 1:1 (Port Scan) : 하나의 공격자가 하나의 대상에 대한 포트 스캔을 시도

② 1:N (Network Scan) : 하나의 공격자가 여러 대상에 대한 포트 스캔을 시도

③ N:1 (Port Scan) : 여러  공격자가 하나의 대상에 대한 포트 스캔을 시도 (보안장비 탐지를 우회하기 위한 기법)

④ N:M (Network Scan) : 여러  공격자가 여러 대상에 대한 포트 스캔을 시도 (보안장비 탐지를 우회하기 위한 기법)

※ 기본적으로 ①, ② 에 대한 탐지 룰 작성 시 적절한 임계치 설정을 통해 4가지 유형의 스캔 공격 탐지가 가능함

 

이벤트 검색 결과에서 확인된 네트워크 공격은 ② 1:N 유형에 해당함을 확인 할 수 있다.

또한 이벤트 검색에서 필터링 기능을 이용해 좀 더 확실하게 공격의 유효성을 판단할 수 있다.

 

< 필터링 기능 >

ESM 에서는 이벤트 검색, 실시간 이벤트 등에서 각 컬럼 별로 필터링 기능을 제공하며 이를 통해 좀 더 효율적으로 로그를 분석할 수 있다.

 

⑤ 필터링 기능을 통한 허용 로그 확인

필터링 기능을 통해 공격 IP(200.174.9.66) 에서 110  Port로 접근을 허용(Accept)하는 목적지 IP(210.X.X.232) 확인

 


[그림 11] 이벤트 검색 – 필터링 기능을 통한 특정포트 접속 허용 목적지 IP 확인