보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
SPiDER TM V5.0 DashBoard를 이용한 대용량 데이터의 시각화 2017.07.03 0 5613

 

기술지원센터 기술지원팀​

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보합니다.   

 

 

1. 개요

 

▶ 데이터 시각화의 필요성

 

기업이 보유하고 있는 데이터가 급증하고 IT인프라가 늘어남에 따라 이기종 정보보호시스템에서 수집되는 보안데이터는 급증하고 있으며 기업을 대상으로 하는 사이버 위협은 늘어나고 있다. 따라서 사이버 위협에 대응하는 보안관제 담당자의 업무가 과중 되고 있다.

 

이에 따라 매일 수만 건에 달하는 방대한 보안 정보 중 의미 있는 데이터를 자동으로 추출하고, 시각화 기능을 통해 사이버 위협을 직관적으로 파악할 수 있는 보안관제 솔루션이 각광을 받고 있다.

 

SPIDER TM V5.0의 사용자 정의 DashBoard는 보안 이벤트 분석 결과와 연관 자료를 빠르게 확인할 수 있도록 다양한 필터를 제공한다. 이상 징후를 발견할 경우, 해당 이슈와 관련된 데이터를 불러와 공격의 유효성을 신속히 검증할 수 있게 한다.

 

 

2. 활용사례

 

▶ 인사정보 DashBoard의 내부 통제 모니터링


 

 

 

▶ 침해사고대응 DashBoard의 사고 처리 통계 현황

 

 

 

일일 사고처리현황의 사고 접수된 건수와 처리가 완료된 건수를 DashBoard로 구현한 화면이다.

위의 DashBoard는 관제시 경보유형별 사고 처리 통계 및 추이 현황을 실시간으로 확인이 가능하다

 

 

▶ 상관분석 DashBoard의 분석 플로우

 

 

 

 

▶ 상관분석 DashBoard의 연관 경보 통계 시각화 

 


 

상관분석 대시보드는 유해 IP 국가별, IP별/PORT별 발생 경보 TopN 및 공격유형별 상관 분석 통계를 한눈에 파악할 수 있다.

위 대시보드를 통하여 관제 담당자들은 해외에서 공격하는 IP 및 대량으로 발생되는 상관분석 경보를 즉각적으로 확인이 가능하여 대응함으로써 공격 지속시간을 단축 시킬 수 있다.

 

 

3. SPIDER TM V5.0 DashBoard 등록 가이드

 

▶ 일반 대시보드 

 

 

 

대시보드 상에서 특정 위젯에서 특정 이벤트가 발생 시 해당 이벤트를 주위의 다른 위젯들이 받아 그에 맞는 데이터만 추출하여 표현하는 방식이다. 

 

 

1) Dataset 생성

 

 

① 접속할 DB Connection 선택 (default : ESM)

② 카테고리 선택 (default : ESM)

③ 캐시데이터 (Cache Data) 사용 주기 지정

④ 데이터 셋 내용 입력

⑤ 쿼리입력 후 실행

⑥ 저장 및 취소

 

 

2) Widget 생성

 

 

 

① 대시보드에 사용할 컴포넌트 선택( 예시 : Line Chart )

② 위젯 정보 입력

③ 사용할 데이터셋 선택

④ 카테고리 선택 (default : ESM)

⑤ 선택한 데이터셋의 컬럼과 맵핑

⑥ 미리보기로 확인 후 저장

 

 

 

 

 3) Dashboard 생성

 

 

 

① 위젯을 등록할 영역을 추가하거나 레이아웃을 선택

② 만들어 놓은 위젯 목록

③ 영역추가 한 화면

④ 저장

 

 

 

① 대시보드 이름 및 정보 입력

② 저장

 

 

4) Dashboard 보기

 

 

 

① 생성된 대시보드 선택

② 선택 보기 클릭 

 

 

▶ 팝업 대시보드 

 

 

 

상위(Parent) 위젯과 하위(Children) 위젯을 지정하면, 상위(Parent) 위젯에서 특정 

이벤트 발생 시 해당 이벤트를 하위(Children) 위젯이 그에 맞는 데이터만 추출하여 표현 

 

 

1) Dataset 생성(쿼리작성법)

 

 

 

 

파라미터(Parameter) 변수 정의 

- 위젯에서 파라미터를 넘길 경우 받는 쪽 위젯의 데이터 셋에는 파라미터(Parameter) 값이 들어가는 부분을 지정 

 

예) select idate, agent_name from table $where agent_id = @AGENT_ID@$ order by idate 

 

A. @@ 지정자 

- @ 지정자는 넘어오는 해당 파라미터(Parameter)의 KEY를 입력 받는 부분으로 

      파라미터(Parameter)가 되는 인자 부분을 @ 지정자로 묶음 

 

B. $$ 지정자 

- $ 지정자는 @ 지정자가 포함 되는 where 절 조건에 지정 

- $where agent_name = @AGENTNAME@$ 과 같이 지정 해 주면 초기 위젯이 

  실행 될 때 넘어오는 파라미터(Parameter)가 없기 때문에 $ 지정자 부분은 

  제외하고 데이터를 조회 함 

 

 

 

상위,하위 Dataset 생성은 동일하나 쿼리입력 방법만 다름.

 

① 접속할 DB Connection 선택 (default : ESM)

② 카테고리 선택 (default : ESM)

③ 캐시데이터 (Cache Data) 사용 주기 지정

④ 데이터 셋 내용 입력

⑤ 쿼리입력 후 실행

⑥ 저장 및 취소

 

 

 

하위 Dataset 생성 시 쿼리실행하면 파라미터 입력하는 팝업창이 생김.

 

 

2) Widget 생성(하위 Widget 생성)

 

 

 

* 상위,하위 Widget 생성시 하위 Widget 부터 생성 해주어야 한다.

 

① 대시보드에 사용할 컴포넌트 선택

② 위젯 정보 입력

③ 사용할 데이터셋 선택

④ 카테고리 선택 (default : ESM)

⑤ 팝업 선택

⑥하위 위젯 선택

⑦ 선택한 데이터셋의 컬럼과 맵핑

⑧ 하위 위젯으로 넘길 파라미터 선택

⑨ 미리보기로 확인 후 저장

 

 

3) 대시보드 생성

 

 

 

 

① 위젯을 등록할 영역을 추가하거나 레이아웃을 선택

② 만들어 놓은 위젯 목록

③ 영역추가 한 화면

④ 저장

 

 

 

 

4) Dashboard 보기

 

 

 

① 생성된 대시보드 선택

② 선택 보기 클릭 

 

 

▶ 외부링크 대시보드 

 

 

팝업 대시보드와 동일 한 구조 이지만, 외부링크에 접속하기 위해 특정 URL을 입력 하여 원하는 외부 링크 팝업으로 표현.​



1) Dataset 생성

 

 

 

일반 대시보드와 같이 생성하면 되며, 하위 Dataset 은 없음. 

 

① 접속할 DB Connection 선택 (default : ESM)

② 카테고리 선택 (default : ESM)

③ 캐시데이터 (Cache Data) 사용 주기 지정

④ 데이터 셋 내용 입력

⑤ 쿼리입력 후 실행

⑥ 저장 및 취소

 

 

2) Widget 생성

 

 

 

① 대시보드에 사용할 컴포넌트 선택

② 위젯 정보 입력

③ 사용할 데이터셋 선택

④ 카테고리 선택 (default : ESM)

⑤ 팝업 선택

⑥ 외부링크팝업 ON

⑦ 선택한 데이터셋의 컬럼과 맵핑

⑧ 링크 URL으로 넘길 파라미터 선택

⑨ 링크 URL입력

⑩ 미리보기로 확인 후 저장

 

 

3) 대시보드 생성

 

 

 

① 위젯을 등록할 영역을 추가하거나 레이아웃을 선택

② 만들어 놓은 위젯 목록

③ 영역추가 한 화면

④ 저장

 

 

 


4) Dashboard 보기

 

 


 

① 생성된 대시보드 선택

② 선택 보기 클릭 

 

 

4. 기대효과

 

1) 가독성

 

SPIDER TM V5.0은 직관적인 대시보드를 통하여 사용자들에게 방대한 양의 시각 정보를 사용하기 편리한 형태로 제공하고 보다 향상된 침해 대응의 통찰력을 가질 수 있도록 지원한다. 

 

 

2) 편의성

 

대용량 데이터의 대시보드 시각화를 통하여 실시간 장애 및 위협 요소 상황, 악성 URL/IP, 취약 포트, 지속되는 혹은 종료된 경보 리스트, 로그/네트워크 패킷 상세 분석 진행 상태 등 사용자가 확인하고자 하는 모든 정보의 흐름을 즉각적으로 확인할 수 있게 지원함으로써, 공격지속시간을 단축시키고 사용자의 편의성을 향상시킨다.

 

 

3) 효율성

 

사용자의 요구를 바탕으로 최적화된 통합 관제가 가능하며, 강력하고 정확한 데이터 분석을 통해 직관적인 운영 지표를 제공하여 운영 효과를 극대화시킨다. 또한 정량화된 데이터 수집 및 자료를 토대로 자원관리의 효율성을 높이며, 다양한 시스템과의 연동으로 유연한 통합관리 기능을 제공한다.

 

 

 

이전글, 다음글 목록
다음글 SIEM 검색기능 활용
이전글 비인가 원격 접근/제어 트래픽 로그 분석

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte