보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
Real-time Log
2021.10.05
5,533
SPiDER TM V5.0은 이글루시큐리티 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.
01. 개요
SPiDER TM은 분석 조건에 맞지 않아 탐지되지 않은 지능형 공격에 대한 빠른 식별, 분석 및 대응을 위해 실시간으로 들어오는 보안 로그를 기반으로 각 출발지IP로 부터 받는 패킷 추이를 확인할 수 있는 기능을 제공하고 있다.
이번 호에서는 설정 한 분석 조건 외에 놓친 공격을 찾아내 탐지의 정확성을 높이는 방법 중 실시간 로그 탭에서 제공하는 기능을 활용하여 탐지하는 방법을 알아보겠다.
02. Real-time Log
Real-time Log란 연동 되어있는 보안 장비에서 수집되는 다양한 이벤트를 실시간으로 확인해 좀 더 즉각적인 대응과 유연한 관제 업무를 돕는 기능이다. 이 기능을 이용하여 실시간으로 감시를 하기 위해서는 RTM(Real Time Monitor) 프로그램 설치가 필요하다.
03. Real-Time Monitor 설치
1) 보안관제 > 실시간로그 : 실시간 로그 관련 Real-Time Monitor 설치 및 접속 화면
SpamMail탐지 솔루션을 통하여 제목에 ‘견적’, ’계약’, ‘구매’, ’결제‘ 등 문구를 포함하고 첨부파일이 존재하는 피싱 메일 탐지
· 실행 : Real-Time Monitor가 설치되어 있는 경우 실행
· 다운로드 x86 : 32비트 PC 전용 파일 다운로드
· 다운로드 x64 : 64비트 PC 전용 파일 다운로드
· IP: 매니저 서버 IP 입력
· port : 미들웨어 연결 포트 입력
· user : TM UI의 접속 id 입력
· Password: TM UI의 접속 id 의 패스워드 입력
2) RTM – DataGrid : 실시간으로 들어오는 로그를 관제할 수 있는 화면
· RTM 접속시 위와 같이 로그소스 목록을 확인할 수 있으며, 관제할 로그소스 체크 후 start 클릭 시 우측에서 해당 로그소스에서 발생하는 이벤트를 실시간으로 관제할 수 있다.
· 주요 항목들의 설명은 아래와 같다.
- Log Source: 현재 등록되어 있는 로그소스 목록
- Category: 로그를 유형별로 분류해 출력
- Profile: 실시간으로 들어오는 이벤트들을 필터링 해 원하는 필드만 출력하고 싶을 시 설정하는 기능
3) RTM – Analyze : 여러 조건들에 맞게 모니터링할 수 있는 화면
· 컬럼을 선택해 해당 컬럼에 들어오는 값을 분류해 표와 그래프로 확인 가능하다.
· 여러 컬럼을 선택할 경우 선택한 컬럼들을 동시에 분류해 출력해 확인 가능하다.
04. RTM을 이용한 탐지
1) 리소스 사용량 급증 탐지
요즘 유행하는 공격 방식인 크립토마이닝(Cryptomining)은 사용자 몰래 암호화폐를 채굴하려는 방식으로 365일 내내 기동하여 CPU 사용률을 100%에 근접하게 기동 하게 된다. 이에 따라, 리소스를 100% 가량 사용하는 환경, 또는 리소스 사용률의 급증이 보여지면 악성 활동을 의심해 볼 수 있다.
[그림 1] SPiDER TM 경보설정
SPiDER TM에서 경보를 활용하여 cpu, memory 의 일정 사용률에 도달할 경우 경보를 발생 할 수 있지만, 리소스 사용률이 급증하였으나 경보에 설정한 임계치에 도달 하지 않을 경우엔 탐지가 어렵다.
이때 RTM을 이용하면 실시간 관제를 통해 원만한 관제가 가능하다.
1) RTM-Analyze에서 v2(cpu) 또는 v5(memory) 선택해 cpu 또는 memory 사용량을 실시간으로 관제가 가능하다.
2) 위와 같이 cpu 사용률이 10%대 사용률이 많으나 7~80%의 cpu 사용률이 있다면 악성 활동 공격 의심해 볼 수 있다.
2) 내부 기밀자료 다운로드 탐지
단일경보에 내부자료 다운로드 관련 경보가 설정 되어 있으나, 발생 주기 설정이 1분이기 때문에 네트워크
상태가 좋지 않을 경우, 1분내 전송 바이트(sent_byte) 크기가 정확하지 않아 즉각 대응이 어려울 수 있다.
이럴 경우 RTM을 이용하여 전송 바이트(sent_byte) 크기를 집중 관제 하여, 실제 내부자료 다운로드를 의심해 볼 수 있다.
[그림 1] SPiDER TM 경보설정
① RTM-Analyze에서 목적지IP(d_ip), 전송 바이트(sent_bytes) 필드를 선택하여 각 목적지IP(d_ip)별로 전송 바이트(sent_bytes) 를 실시간으로 관제 할 수 있음.
→ Count 수가 높다면 내부 자료 유출을 의심해 볼 수 있다.
3) 랜섬웨어 공격 탐지
단일경보에서는 랜섬웨어 공격탐지 관련 경보가 특정 공격명으로 설정 되어 있지만, 조건정의에 설정조건을 우회하거나 다른 공격 유형의 랜섬웨어 공격이 발생 할 수 가있다. 이럴 경우 RTM을 이용하여 탐지하지 못한 공격 명이나, 조건을 우회한 데이터들을 실시간으로 모니터링 및 탐지를 할 수 있다.
[그림 2] SPiDER TM 경보설정
① RTM > Property > Set Filter에서 attack 컬럼과 Contain (LIKE) 선택 후, “Ransom”으로 필터 조건 값을 추가 한다.
② Attack 컬럼에 “Ransom”이 포함되어 있는 로그들의 실시간 모니터링이 가능하여 또다른 랜섬웨어 공격 탐지가 가능하다.
05. 결론
SPiDER TM 실시간 로그 기능 활용
이번 호에서는 실시간 로그(Real-Time Monitor) 기능을 이용하여 단일 경보에 등록된 조건 외에 대한 공격에 대해서 관제 및 탐지하는 내용을 다뤄 보았다.
앞서 설명한 내용과 같이 실시간 로그 기능을 활용하여 여러 보안장비의 로그를 실시간 확인 및 연관성 분석을 통하여 다양한 공격을 탐지 및 대응을 할 수 있으며, 유연한 관제 및 이상행위 공격으로 부터 사전 방어를 할 수 있는 효과를 얻을 수 있다.
