보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
SIEM을 통한 웹 서비스 모니터링 방안 2020.12.02 0 765


 

 

 

 

01. 개요

 

웹 서비스는 기업과 기업(Business to Business) 혹은 기업과 개인(Business to Customer)간 정보공유와 거래를 효율적으로 할 수 있는 핵심 어플리케이션이다. 예정되지 않은 웹 서비스의 중단은 해당 기관의 금전적인 손실과 함께 신뢰에 영향을 끼칠 수 있다.

 

이번 호에서는 SPiDER TM V5.0을 통해 웹 서비스에 대한 모니터링을 할 수 있는 방안을 알아보도록 하겠다.

 

 

[그림 1] 웹 서비스 장애 화면

 

02. 웹 서비스 모니터링 기능 활성화

 

1) 모니터링 대상 홈페이지 설정

 

SIEM에서 웹 서비스 모니터링 기능을 사용하기 위해서는 몇 가지의 사전 작업이 필요하다.

 

1. WEB 화면 우측 상단 ‘대시보드 > 통합 대시보드’ 내 홈페이지 모니터링 기능 확인

2. 홈페이지 모니터링 기능 내 설정 메뉴 선택 (그림 2 참조)

3. 모니터링 대상 웹 페이지 설정 (그림 3 참조)

 

 

[그림 2] 통합 대시보드 내 홈페이지 모니터링 기능

 


[그림 3] 모니터링대상 페이지 설정

 

2) 홈페이지모니터링 대상 결과 확인

 

홈페이지모니터링 기능을 활성화했다면 시스템 내부에서 일정 주기 간격으로 해당 홈페이지에 대한 모니터링을 실시하고 조회한 데이터를 화면으로 나타내 결과를 보여준다. 

 


[그림 4] 정상 데이터가 로딩된 화면

 


[그림 5] 비정상 데이터가 로딩된 화면

 

홈페이지모니터링 기능이 포함된 ‘통합 대시보드’를 모니터링 중이라면 웹 서비스에 이상이 발생했을 때 즉각적인 대응이 가능할 수 있을 것이다. 하지만 업무시간이 아니거나 ‘통합 대시보드’에 대해 실시간으로 모니터링을 할 수 없는 상황이라면 다른 대안이 필요하다. 

 

지금부터 해당 기능의 로그를 수집하고 경보를 설정해 실시간으로 웹 서비스에 대한 장애 여부를 파악할 수 있는 방법에 대해 알아보도록 하자.

 

03. 로그 수집을 통한 단일 경보 설정

 

1) 홈페이지모니터링 로그 수집 설정

 

· $SIEM/sptm4/was/logs/ids.log 파일에 대한 로그 수집 설정

    - 로그 중 ‘java:192’ 항목을 지정하여 로그 파서 생성

 


[그림 6] 홈페이지모니터링 로그

 

 

[그림 7] 로그 파서 생성

 

· m_status : 홈페이지 모니터링 대상 조회 결과 (1:성공, -1:실패)

· site_id : 홈페이지 모니터링 구분 ID

· url : 홈페이지 모니터링 대상 URL

 

필드 구분 후 생성된 파서를 로그허용조건, 필터 조건 값을 확인하여 SIEM 로그소스 파서정보에 저장한다. (필드 명은 임의 지정 가능)

 


[그림 8] 로그소스 파서 적용

 

파서를 저장했다면 홈페이지모니터링 로그가 수집되어 통합로그검색 시 아래 그림과 같이 나타나고, 실시간으로 저장될 것이다.

 


[그림 9] 홈페이지모니터링 로그 검색 결과

 

2) 홈페이지모니터링 단일 경보 설정 

 

홈페이지모니터링 로그를 수집하는 환경이 구성되었다면 경보 설정을 통해 웹 서비스의 비 정상적인 행동을 명확하게 파악 할 수 있다.

 

· 로그소스 : SIEM 장비 설정

· 조건정의 : 홈페이지모니터링 로그의 비 정상적인 상태

 


[그림 10] 홈페이지모니터링 단일경보 설정

 

현재 설정은 전체적인 URL에 대한 모니터링이며, 개별 URL 설정 시 조건정의 부분에 site_id 혹은 url 필드의 값을 추가해주면 된다. 

 

▶ 경보 발생 및 분석 

 

· 메뉴 ‘관제 > 경보분석’ 내 발생 경보 마우스오버 후 우클릭 하게되면 상세 정보 조회 가능

· 근거이벤트 조회 시 단일경보의 조건정의에 대한 정보 하이라이트 확인 가능

 


[그림 11] 홈페이지모니터링 경보 데이터 확인

 

홈페이지모니터링에 설정된 URL의 서버가 SIEM과 연동이 되어있다면 보다 심층적으로 장애가 발생한 내역에 대한 분석이 가능하다. 아래 [그림 12]과 같이 웹 로그가 연동되어있는 장비를 실제 분석했을 때 HTTP상태코드 부분에서 3xx, 4xx, 5xx과 같은 비 정상적인 값을 확인 할 수 있다. 

 


[그림 12] 비 정상적인 웹 서비스가 발생한 장비의 웹 로그

 

SIEM 시스템이 기관 내 메일서버 혹은 SMS서버에 연동되어있다면 모니터링을 할 수 없는 상황이 발생하더라도 실시간으로 웹 서비스의 장애현상을 파악해 대처할 수 있을 것이다.

 

04. 결론

 

지금까지 당사 SIEM(SPiDER TM V5.0)의 홈페이지모니터링 기능을 활용한 웹 서비스 모니터링 방법에 대하여 알아보았다. 

통합보안관제시스템의 주된 기능은 보안에 특화된 로그 분석, 사고 처리 부분이지만 솔루션의 내 부가적인 기능을 활용한다면 기관의 주요 서비스에 대한 운영적인 부분에도 도움을 줄 수 있을 것이다.

 

 

 

 

 

 

이전글, 다음글 목록
다음글 2020년 보안위협 분석을 통한 2021년 보안위협 및 보안기술 전망
이전글 사물인터넷(IoT)과 악성코드 : Part1. 임베디드 기반 악성코드와 미라이를 통한 시사점 분석

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte