보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
상관분석 룰 상세 분석 2020.11.05 1 1008

 

 

 


01. 개요

 

SIEM을 보유하고 있는 많은 기업 및 기관은 수많은 접속자들에 대한 로그를 보유하고 있다. 이러한 기록 중에서 위협적인 공격을 분류하기 위해 상관분석 분석 기능을 활용하여 위협적인 공격에 대한 출발지 IP / 목적지 IP / 룰 분석 현황 등 통계 데이터를 생성하고 위협적인 요소들을 2차적으로 검토할 수 있다. 이를 통해 지속적으로 공격을 시도하는 IP를 분류 및 탐지하고 분석할 수 있어야 한다.

 

 

 

[그림 1] 단일 경보 관리

 

02. 상관분석 룰 상세 분석 소개

 

 STEP 1) 상관 분석 / 경보 분석

 

SIEM은 탐지된 상관분석 및 단일 경보의 상세 분석을 지원한다. 탐지된 룰에 대한 세부적인 정보를 확인할 수 있으며 심층 분석이 가능하다. 상관분석 룰에 대한 상세 분석은 경보 분석 및 상관 분석 메뉴에서 제공한다.

 


[그림 2] SIEM 상관 분석 / 경보 분석

 

 STEP 2) 분석 룰 상세 분석

 

SIEM에서는 침해사고 대응을 위한 한층 강화된 통계 정보를 제공한다.

출발지 목적지 DIRECTION(내부/외부) 정보와 일주일 간 동일 경보 발생 추이, 출발지 IP 발생 추이, 

목적지 IP 발생 추이를 추가적으로 제공한다.

 

 

 

[그림 3] 경보 상세 분석

 

03. 상관분석 룰 상세 분석 활용 가이드

 

STEP 1) 공격 DIRECTION 분석

 

ExternInfo 메뉴를 활용하여 기관 내부에서 사용하는 IP 대역을 등록하고 로그 파서에 적용한 경우 상관분석 탐지 상세 분석을 통해 공격이 진행된 방향성을 쉽게 판단할 수 있다. 

 

 

 

[그림 4] 경보 상세 분석

 

STEP 2) 출발지 IP 통계 분석

 

출발지 및 목적지 IP 통계는 선택한 상관분석 룰에 한하여 접근한 IP를 표기해 주는 것이 아닌 전체 룰에서 탐지된 출발지 및 목적지 IP에 대한 통계를 제공한다.

 

 

[그림 5] 경보 상세 분석

 

위와 같이 선택한 단일 경보에 한정된 출발지 IP가 아닌 전체 발생 룰에 대한 출발지 IP에 대한 통계를  확인할 수 있다.  따라서 사이버 킬체인에 기반한 단계적인 룰 설정이나 기관에 구성도에 따른 보안장비 및 자산 별 상관분석 분석을 진행하여 공격자의 공격 추이를 분석할 수 있다.

 

STEP 3) 목적지 IP 통계 분석

 

목적지 IP 별 상관분석 분석 탐지 통계를 통해 어떤 자산에 대한 공격이 집중되어 있는지를 분석할 수 있다.

출발지 IP 통계와 마찬가지로 선택한 룰이 아닌 전체 룰에 대한 목적지 IP에 대한 통계를 제공하므로 어떤 자산에 대한 탐지가 많이 발생하는지 확인할 수 있다.

 



[그림 6] 경보 상세 분석

 

STEP 4) 동일 발생 경보 추이

 

현재 발생한 상관분석 분석 룰에 대한 추이를 제공한다. 자주 탐지되는 탐지 룰과 이전까지 발생되지 않았던 탐지 룰에 대한 확인이 가능하다.

 

 

 

[그림 7] 경보 상세 분석

 

STEP 5) 상세분석 룰  등록

 

앞서 살펴본 통계 데이터를 기반으로 상관분석 룰 내역을 기반으로 지속적으로 상관분석 룰에 탐지되는  출발지 IP 를 탐지하기 위한 룰 생성이 가능하다.

 

 

[그림 8] 단일 경보 관리

 

위 분석 룰은 모든 상관분석 분석 룰을 기준으로 일주일 간 3일 이상 탐지된 출발지 IP를 유해한 IP로 취급하고 해당 출발지 IP가 또 다시 상관분석 분석 룰에 탐지될 경우 이를 탐지하는 분석 룰이다.

 

 

유해 IP로 취급된 출발지 IP가 상관분석 분석 룰에 탐지될 경우 곧바로 분석 룰이 탐지됨을 확인할 수 있다.

해당 탐지 룰을 통해 특정 기관에 지속적으로 공격을 시도한 IP를 효과적으로 탐지할 수 있으며 탐지 결과를 바탕으로 통합 로그 검색을 통해 심층 분석을 시도할 수 있다.

 

 

 

[그림 9] 경보 분석 및 통합 로그 검색

 

04. 결론

 

흩어져 있는 방대한 로그를 정교하게 분석하기 위해서는 상관분석 룰을 등록하여 공격자와 정상 접속자를 분류할 수 있으며 분석 결과에 따른 통계 데이터 및 탐지 분석 룰을 통해 심층적인 데이터 분석을 수행할 수 있다. 이러한 SIEM은 갈수록 발전하는 공격 방식 및 패턴을 탐지하고 분석할 수 있는 최선의 대응책이 될 것이다.

 

 

 

 

이전글, 다음글 목록
다음글 침해사고의 재구성 Gotthard Base : Part1 사건편
이전글 언택트 시대, 비즈니스 환경 변화에 대응가능한 ‘제로 트러스트‘ 보안 모델

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte