보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
SIEM의 새로운 대시보드 활용방법
2020.08.04
15,879
01. 개요
좋은 “대시보드”의 조건은 무엇일까? 여러 사이트에서 검색을 통해 얻은 결론은 “5초 이내에 데이터를 넘어 사용자에게 인사이트를 줄 수 있다면” 그 대시보도는 좋은 대시보드이다.
당사의 빅데이터 분석 솔루션 SPiDER TM은 다양한 데이터를 수집하고 표현하기 위하여 사용자 정의 대시보드를 제공하고 있다. 이러한 사용자 대쉬보드는 표형, 원형, 막대형, 선형, 텍스형의 위젯을 조합하여 다양한 보안장비 및 기타 시스템에 맞는 유연한 화면을 제공한다.
아래는 현재 사용하고 있는 사용자정의 대시보드의 기본 화면이다. 방화벽의 TopN 현황 및 경보 현황을 모니터링 할 수 있는 화면이나 5초 이내에 인사이트를 줄 수 있는지에 대해서 질문해보면 다소 부족하게 보이는 것이 현실이다. 이러한 문제를 해결하기 위해 당사는 통합대시보드라는 제품을 선보였다. 새로운 대시보드를 어떻게 활용할 수 있는지 알아보자.
[그림 1] 사용자정의 대시보드 기본 화면
02. UNIFIED DASHBOARD 소개
SPiDER TM의 새로운 대시보드 명칭은 UNIFIED DASHBOARD이며 통합대시보드는 당사의 대부분의 솔루션에 API를 활용하여 적용이 가능하다.
[그림 2] UNIFIED DASHBOARD 메인 화면
03. UNIFIED DASHBOARD의 새로운 위젯
새로운 대시보드는 다양한 위젯을 제공하며 대시보드의 시인성 및 가독성을 확보하였다. 여러 위젯을 통해 SIEM에서 수집되는 다양한 데이터를 자유롭게 표현할 수 있다.
[그림 3] UNIFIED DASHBOARD의 위젯
04. 새로운 3D 구현의 대시보드
UNIFIED DASHBOARD에서는 3D 구현의 대시보드를 지원하며 SIEM 데이터 기반의 브리핑용으로 활용 할 수 있다. 아래 그림처럼 세계지도 및 지구본으로 활용이 가능하여 SIEM에서 들어오는 데이터를 바탕으로 얼마나 많은 양의 이벤트가 들어오는지 한눈에 파악이 가능하고 이벤트 양에 따라 다양한 색으로 구별이 되어 시인성을 확보하였다.
[그림 4] 3D 형식의 세계지도 대시보드
[그림 5] 3D 형식의 지구본 대시보드
05. 대시보드의 활용
1) 브리핑용 대시보드
현장에서 보안관제를 수행하는 담당자들에게는 대시보드가 반드시 필요한데 현황을 한눈에 확인할 수 있는 브리핑용 대시보드 또한 중요하다. 아래 [그림 3-6]과 [그림 3-7]은 실제 사이트에 적용된 브리핑용 대시보드이다. 사이버 안전센터 대시보드에서는 기존의 사용자정의 대시보드보다 직관적이고 시안성이 있어 한 눈에 사이트의 현황을 파악할 수 있다.
[그림 6] 브리핑용 대시보드 예시(1)
[그림 7] 브리핑용 대시보드 예시(2)
2) 실무용 대시보드-1
실무용 대시보드는 앞서 브리핑용 대시보드와는 다른 관점으로 실제 보안관제센터에서 중요한 업무로 생각되는 이벤트처리 데이터의 확인이나 이벤트 관계에 대한 표현이다. SIEM에서 응용 할 수 있는 데이터 예시는 아래와 같다.
1. 평판탐지를 통한 웹서버로부터 비정상 응답패킷 유발 IP 탐지
2. 평판탐지를 통한 블랙리스트IP(CTI) 활용하여 기관으로 접근하는 기반의 탐지
3. 평판탐지를 통한 IPS장비에서 80포트로 차단중인 로그에서 다시 443포트 접근하는 IP탐지
[그림 8] 평판탐지 기능을 활용한 관제용 대시보드(1)
위의 탐지 설명은 아래와 같다.
1번 항목은 웹서버의 응답코드 중 400~500번 비정상 응답코드를 발생하는 국외 출발지 IP를 확인 함으로서 BLACK LIST로 모니터링을 하고 시도 건수 발생을 통하여 차단 여부를 검토 하고 있다.
2번 항목은 이글루시큐리티의 CTI기능을 통하여 관제영역 내부로 접근하는 IP를 확인하여 차단 여부를 검토하고 있다.
3번 항목은 평판기능을 통하여 IPS에서 80으로 차단된 데이터를 저장하고 해당 저장된 IP가 443으로 접근을 하면 차단하기 위한 목적으로 만들어졌다. 3번 같은 경우는 IPS에서 80포트 관리 및 차단이 가능하나 443 패킷을 차단하지 못하여 웹서버의 443의 동일 공격 차단을 위한 방안으로 사용되었다.
3) 실무용 대시보드-2
이번 대시보드는 실제 보안관제 사이트에서 중요 데이터로 바라보는 메일 관련 위젯이 적용되어 있으며 메일 수신 건 수를 토대로 광고성 메일을 의심하여 분석하고 차단한다. APT 대응시스템의 알려진 패턴 이외의 알려지지 않은 패턴을 탐지 시 분석을 하기 위한 대시보드가 적용되었고, 기본적인 보안장비 트레픽 현황 및 중요 패턴이 탐지된 경보 IP기준의 TOPN을 표현한 위젯의 대시보드 이다.
[그림 9] 평판탐지 기능을 활용한 관제용 대시보드(2)
해당 대시보드를 통하여 실무자는 대량 메일 수신된 아이피의 메일등을 확인하여 광고성 메일 발생시에는 방화벽 차단을 진행하며 APT장비의 알려지지 않은 공격 탐지시 즉각 해당 시스템에 접속하여 이벤트 확인 조치를 하고 처리한다.
06. 결론
이번에 선보인 UNIFIED DASHBOARD는 기존 사용자정의 대시보드와는 다르게 다양한 위젯을 통하여 시인성을 확보하고 가독성을 높여 브리핑뿐만 아니라 실무에도 많은 도움을 줄 것으로 판단된다. 앞선 필자가 이야기 하고자 했던 “5초 이내에 데이터 속의 인사이트” 표현을 할 수 있는 대시보드라 할 수 있겠다.