보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
사용자 정의 통계를 이용한 데이터 활용 방안 2019.12.26 0 2745


 

 

1. 개요


1) 사용자 정의 통계를 이용한 SIEM 활용 방안

 

5G 네트워크, IoT 디바이스, 클라우드와 같이 최근의 IT서비스에서는 엄청난 양의 빅데이터를 분석하기 위해 빅데이터 분석 도구인 R을 많이 활용한다. R은 광범위하게 사용되는 데이터 분석 프로그래밍으로 사용법이 쉬워 사용자에게 인기가 높다.

SPiDER TM V5.0R 프로그래밍 기반의 기능인 사용자 정의 통계 메뉴를 통하여 빅데이터의 분석의 효율을 높일 수 있다. 사용자 정의 통계 메뉴를 활용하여 생성/적재 된 데이터를 효율적으로 활용하는 방안에 대하여 생각해본다.

 

* 사용자 정의 통계 기능은 TM 5.0.1.36 버전 이상부터 UI로 제공

 

 

 

2. 사용자 정의 통계


1) 사용자 정의 통계의 개념

 

사용자가 정의한 조건을 기준으로 통계 데이터를 생성할 수 있다.

사용자 정의 통계로 생성된 데이터는 RDB에 저장되어, 사용자정의 대시보드 컨텐츠 구성과 단일경보로 활용이 가능하다.

 

 

 

 

 

 

2) 사용자 정의 통계 생성


SPiDER TM V5.0 UI에 관리 > 설정관리 > 통계관리 메뉴


 


 

- 통계관리 메뉴에서 상단의 통계생성메뉴를 선택하여, 사용자 맞춤 통계데이터를 생성할 수 있다.

- 방화벽 허용로그에서 송신 Bytes의 합을 통계 내 테이블에 저장하는 사용자 정의 통계 생성 방법을 배워보자.

 

통계그룹 및 통계 명 설정

 


 

통계 등록 메뉴 선택 후, 중복되지 않는 통계그룹 및 통계 명을 지정한다.

 

 

로그소스

 


 

로그소스 메뉴를 선택하여, 통계를 생성 할 대상장비를 지정한다.

로그유형 선택 시 해당 로그유형에 등록된 대상장비가 모두 통계생성 대상이 된다.

 

 

필터조건

 


 

통계를 생성하기 전 조건에 대해 정의하는 부분이다.

여러 개의 필드를 선택할 경우 필드간의 관계는 AND 조건으로 적용 된다.

status=101 조건이란 방화벽 로그의 상태 값이 허용인 조건을 의미한다.

사용 가능한 연산자: =, !=, >, >=, <, <=, like, in, not like, not in

 

 

그룹핑 필드

 


 

1분간 수집한 데이터를 group by 하여 저장하는 필드를 지정한다.

그룹핑 필드로 지정된 필드는 사용자정의 통계 테이블의 컬럼으로 생성된다.

출발지IP(s_ip), 목적지IP(d_ip) 필드를 지정.

 

 

통계함수

 


 

통계함수 연산을 수행 할 필드를 지정한다.

대상 방화벽의 송신 Bytes의 정보를 담고 있는 “sent_bytes” 필드를 지정한다.

수집주기는 1분이며, 1분 동안 수집한 데이터에 대해 연산을 수행 후 데이터를 저장한다.

사용 가능한 연산자 : sum, max, min, average

 

 

정렬

 


 

테이블에 데이터를 저장할 때 정렬기준 필드를 지정한다.

DESC: 내림차순, ASC:오름차순

 

 

제한조건

 


 

각 필드 별 제한 값을 설정할 수 있다. 예시로 분당 송신 Bytes1MB 이상 데이터만 통계로 생성하여 저장한다.

 

 

테이블 명

 


 

사용자정의 통계데이터를 저장할 테이블 명을 기입하며, 사용자 정의 룰 활성화 시 자동 생성 된다.

그룹 핑 필드, 통계함수 영역에서 지정한 필드들이 컬럼으로 등록 된다.

 

 

데이터 조회

 

 

 

생성한 사용자정의 테이블에 통계 데이터가 저장된 것을 확인 할 수 있다.

 

 

 

3. 사용자 정의 통계를 이용한 단일 경보


1) R통계 데이터를 활용한 경보분석


단일경보 등록

 


 

사용자 정의 통계 테이블의 sent_bytes 필드를 활용한 오브젝트를 생성하여 단일경보로 활용이 가능하다.

RDB에 저장된 데이터는 DB쿼리 기능을 사용하여 최근 7일간 1분 동안의 평균 sent_bytes 값보다 클 경우 조건 정의한다.

해당 경보를 통해 패킷 이상 행위 탐지한다.

 

 

4. 사용자 정의 통계를 이용한 대시보드


1) R통계 데이터를 활용한 시각화


대시보드

사용자 정의 통계 기능을 통해 생성된 데이터를 활용하여 사용자정의 대시보드에서 제공하는 Area Chart, Grid Chart 등을 활용한 대시보드 화면 구성이 가능하다.

 

 

 

 

 

 

5. 결론


지금까지 SPiDER TM V5.0의 사용자 정의 통계 기능을 어떻게 활용할 수 있는지 알아보았다.

사용자 정의 통계 기능을 이용한 데이터 저장과 저장된 데이터를 활용한 단일 경보 구성 그리고 적재 데이터를 활용한 대시보드 표현 등을 활용한다면 시각적 표현이 가능함은 물론 이상 행위 사용자에 대하여 즉각적으로 알 수 있다.

지능화되는 사이버 위협에 대응하기 위해 사용자도 다양한 분석 방법을 활용하여 지속적인 모니터링과 철저한 관리 감독이 필요하다.

 ​ 

이전글, 다음글 목록
다음글 커맨드 로그 강화와 활용 방법
이전글 빅데이터 수집을 통한 지속 공격자 탐지

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte