보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
일반로그 수집을 통한 시스템 모니터링 2020.05.29 3 3275


 

 

 

 

01. 개요

 

현재 당사의 SIEM은 시스템 및 솔루션의 보안 이벤트를 포함해 로깅되는 모든 이벤트를 수집/활용할 수 있다. 하지만 대부분의 고객사는 보안 이벤트를 기준으로 정책을 세우고 침해사고 발생 시 그에 따른 분석에 활용하는 보안 관제에 특화된 솔루션으로만 활용되고 있다. 

 

그러나 보안관제 영역에서 보여줬던 강점들 만큼이나 시스템 및 솔루션 관리를 위해서 활용하는 방법 또한 무궁무진하다. 이번 호에서는 시스템 및 솔루션의 로깅을 활용한 관리 및 서비스 장애 사전예방을 위한 방안을 살펴보자. 

 

02. SIEM 일반로그

 

SPiDER TM V5.0 에서는 각 프로세스 별로 로그를 텍스트 형태로 남기게 되는데, 이를 분석하여 프로세스 정상 동작 여부 및 장애 발생 시 트러블슈팅으로 활용한다.

 

아래 표에서는 각 프로세스 별 로그 위치, 로그 파일명, 프로세스에 대한 간략한 설명을 나타내고 있다.

 

 

 

03. SIEM 프로세스 모니터링

 

1) Virgo GM/LM 연결 실패 단일 경보 설정

 

 

Virgo GM과 LM간의 연결 실패 오브젝트 조건을 활용하여, 단일 경보 설정을 한다.

 

 -  로그유형이 Virgo 프로세스 중 analysis 인 경우

 -  analysis.log 로그 안에 result : false 문장이 포함되어 있는 경우

 -  analysis.log 로그 안에 “Thread_3” 문구는 제외

 

 

 

▶ 경보 발생 및 분석

 

실제 Virgo GM과 LM 간의 세션 연결 실패 시 아래 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 

 

 

2) Virgo 프로세스 자가보호 단일 경보 설정

 

 

Virgo 분석 엔진에서 룰 부하로 인해 자가보호로 바뀐 정책에 대해 단일 경보 설정을 한다.

 

 - 로그유형이 Virgo 프로세스 중 protection 인 경우

 - protection.log 로그 안에 status=pause 문장이 포함되어 있는 경우

 

 

▶ 경보 발생 및 분석

 

실제 룰 부하로 인해 경보가 중지될 경우 아래 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 


 

3) SpDbReader 에러 단일 경보 설정 

 

SpDbReader 프로세스 사용 중 데이터베이스와의 연결 문제 발생에 대해 단일 경보 설정을 한다.

 

 -  프로세스가 SpDbReader 인 경우

 - SpDbReader_error_alyac.js.log 로그 안에 jdbc.SQLServerException 문장이 포함되어 있는 경우

 



▶ 경보 발생 및 분석

 

SpDbReader 프로세스가 동작중인 상태에서 데이터베이스와의 연결 문제가 발생할 경우 아래와 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 

 

4) Middleware 에러 단일 경보 설정 

 

 

Middleware 프로세스 사용 중 여러 가지 문제 발생에 대해 단일 경보 설정을 한다.

 

-  프로세스가 middleware 인 경우

 - spider-x_error_log.txt 로그 안에 RDB 관련 로그는 제외

 

 

▶ 경보 발생 및 분석

 

Middleware 프로세스가 동작중인 상태에서 RDB 외의 다른 에러가 나타날 경우 아래와 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 


 

04. 결론

 

지금까지 당사 SIEM(SPiDER TM V5.0)에서 사용하는 프로세스 관리에 필요한 로그를 수집하여 활용하는 방안을 알아보았다.

가장 기본적인 내용으로 구성되었지만, 실제 현장에서의 활용 방안은 무궁무진하다고 생각한다. 대부분의 솔루션은 이상 동작 및 오류 발생시 남겨진 로그를 활용하여 분석 및 장애대응이 이뤄진다.

솔루션을 담당하는 엔지니어도 문제가 발생한 시점의 로그를 토대로 분석 및 대응작업을 진행하듯이

로그의 수집 및 정책 설정을 통해, 솔루션의 이상징후를 사전에 확인하고 장애 발생시 보다 빠른 대응이 가능하도록, 발생된 문제에 따른 실질적인 정보의 취합이 이뤄질 수 있다. 만일, 관리에 어려움 또는 잦은 장애로 인한 불편을 야기하는 제품이 있다면, 솔루션 자체의 로그를 활용한 관리적 관제를 병행하는 것도 유익한 방향이라고 생각한다. 

 

 

 

이전글, 다음글 목록
다음글 IP 차단 기능을 통한 침해대응역량 강화
이전글 웹로그 및 파일 무결성을 이용한 웹쉘 탐지

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte