배치 탐지

개요

배치 탐지 시나리오는 주기적으로 또는 일정에 따라 로그프레소 쿼리를 실행하여 다양한 시스템에서 수집된 서로 다른 데이터 간의 연관성을 분석하고 이벤트를 탐지합니다. 이에 따라 다양한 이벤트, 활동, 패턴 사이의 상관관계를 분석 및 탐지할 수 있습니다. 다음 그림은 배치 탐지 시나리오의 동작을 표현한 것입니다. 배치 탐지 시나리오는 보통 테이블에 저장된 데이터 원본을 대상으로 적용됩니다.

배치 탐지 시나리오의 동작 개요

배치 탐지 시나리오는 로그프레소 쿼리 명령어 및 함수를 이용하므로 유연한 시나리오 작성이 가능합니다. 예를 들어 특정 사용자의 활동 관계를 파악하여 관련된 잠재적인 위협을 예측하고 의심스러운 활동을 탐지할 수 있습니다.

배치 탐지 시나리오는 대부분의 경우 이벤트 탐지 시 티켓을 발행하거나, 이밴트 행위자에게 소명을 요청합니다. 과다한 티켓 발행은 악성코드 분석가나 보안관제 담당자의 업무 피로도를 높이므로 중복 티켓 발행을 최소화할 필요가 있습니다. 로그프레소 소나는 이벤트 탐지 시 알람 메시지와 티켓 제목으로 사용되는 메시지, 또는 중복 기준 필드를 기준으로 동일한 내용의 이벤트를 하나의 티켓으로 처리하는 기능을 제공합니다.

배치 탐지 시나리오 목록 조회/검색

정책 > 배치 탐지에서 배치 탐지 시나리오 목록을 조회하거나 검색할 수 있습니다.

배치 탐지 시나리오 목록

  • : 탐지 시나리오와 관련된 앱 아이콘. 기본 시나리오나 사용자가 추가한 시나리오는 로그프레소 아이콘으로, 설치된 앱의 시나리오는 해당 앱 아이콘으로 표시합니다.
  • 활성화: 탐지 시나리오 활성화 토글 버튼(활성화: 활성화됨, 비활성화: 비활성화됨)
  • 중요도: 탐지 시나리오의 중요도(상/중/하)
  • 분류: 시나리오에 적용된 분류 정보
  • 시나리오: 탐지 시나리오 이름
  • 일정: 탐지 시나리오의 실행 주기
  • 티켓: 티켓 생성 설정 여부
  • 소명: 소명 요청 사용 설정 여부
  • 수정일: 탐지 시나리오가 마지막으로 수정된 날짜 (또는 생성된 날짜)

배치 탐지 목록에서 특정 배치 탐지 시나리오를 찾으려면 도구 모음에 있는 검색 도구를 사용하세요. 검색 도구는 입력한 단어가 이름, 설명, 스트림 쿼리 항목에 포함된 배치 탐지 시나리오를 찾아서 보여줍니다. 검색 도구는 대소문자를 구분하지 않습니다.

시나리오 활성화/비활성화

배치 탐지 시나리오를 활성화하거나 비활성화하려면 탐지 시나리오의 활성화 열에 있는 토글 버튼을 클릭하세요(활성화: 활성화됨, 비활성화: 비활성화됨).

목록 다운로드

배치 탐지 시나리오 목록을 로컬 PC에 저장하려면 도구모음에서 다운로드를 클릭하세요.

목록 새로 고침

배치 탐지 시나리오의 목록을 최신 정보로 조회하려면 도구모음에서 새로 고침을 클릭하세요.

배치 탐지 시나리오 추가

배치 탐지 시나리오를 추가하려면,

  1. 정책 > 배치 탐지에서 도구 모음에 있는 추가를 클릭하세요.

  2. 배치 탐지 시나리오 추가 화면에서 공통 설정 항목을 설정하세요.

    배치 탐지 시나리오 추가 1

    • 이름: 탐지 시나리오 이름(최대 50자). 다른 시나리오와 중복된 이름을 지정할 수 없습니다.

    • 분류: 탐지 시나리오 분류. 분류는 분석 > 탐지 현황에서 탐지 현황 목록에 분류로 표시됩니다. 도구 모음에서 시나리오 분류 관리를 클릭하면 시나리오 분류를 추가 설정할 수 있습니다. 미분류 시 티켓이 생성되지 않습니다.

    • 메시지: 이벤트 탐지 시 티켓에 부여할 제목

      • 로그 스키마에 정의된 필드 이름을 $필드이름 또는 $필드이름$ 형식으로 입력하면 이벤트 탐지의 근거가 된 로그에서 필드 값을 가져와 메시지를 생성합니다(예: $src_ip). 필드 이름에 한글이 포함되어 있는 경우, 반드시 $필드이름$ 형식을 사용하세요.
      • 고급 설정에서 중복 기준 필드 미설정 시, 생성된 메시지(범위: 최대 2,000자)의 동일 여부를 기준으로 중복 티켓 발생을 방지(중복 티켓 축약)합니다.

    • 중요도: 탐지된 이벤트의 중요도(상, 중, 하)

    • 분석대상 기간: 분석 방식쿼리일 때 적용되는 기능으로, 데이터를 분석할 대상 기간을 지정하는 매개변수 from, to에 할당할 값을 계산하는데 사용됩니다. 시간 단위(초, 분, 시, 일)와 함께 숫자를 입력하세요(기본값: 설정 안 함). 이 기능을 이용하려면 쿼리문에서 데이터를 가져오는 명령(예: table)에 from=$("from") to=$("to") 옵션이 필요합니다.

      예를 들어, 분석대상 기간에 "30일"을 지정하면 쿼리(예: table from=$("from") to=$("to") FW_*로 시작하는 쿼리)를 실행할 때마다 쿼리 실행 시각부터 역산하여 30일 전부터 수집된 데이터를 (이름이 "FW_"로 시작하는) 테이블에서 가져옵니다(범위: 1 ~ 3,153,600,000)

    • 절사 단위: 가져온 데이터에 적용할 시간 정밀도. 시간 단위(기본값: 선택 안 함, 범위: 선택 안 함, 초, 분, 시, 일)를 선택하면 해당 시간 단위로 데이터의 시간 정밀도를 일치시켜 보여줍니다.

      예를 들어, 분석 대상 기간5분, 절사 단위일 때, 분석대상 데이터의 시간 정보 중에서 밀리초 값은 버리고 초 단위로 변경됩니다.

    • 담당자: 발행된 티켓을 할당할 담당자 계정. 계정은 1개 이상 선택할 수 있습니다. 미지정 시 담당자 없이 티켓이 생성됩니다.

    • 일정: 탐지 시나리오의 실행 주기 일정. ... 버튼을 클릭하면 CRON 문법에 따라 실행 주기를 지정할 수 있습니다.

    • 알람 그룹: 이벤트 탐지 시 알람을 수신할 알람 그룹

      Note
      알람 수신 방법은 알람 그룹에서 선택하세요.

    • 분석 방식: 일정에 따라 실행할 데이터 분석 방식(기본값: 쿼리, 범위: 데이터셋, 쿼리)

      • 데이터셋일 때: 데이터셋 목록에서 실행할 데이터셋을 선택하세요.

      • 쿼리일 때: 쿼리문을 직접 입력(최대 5,000자).

    • 설명: 탐지 시나리오의 세부 설명(최대 2,000자)

  3. 이벤트 탐지 시 공격자의 IP 주소 또는 이상 행위자의 IP 주소를 별도 관리하거나, 방화벽, IPS 등과 연동하여 주소 그룹 정보를 전달하려면 다음 항목을 설정하세요.

    배치 탐지 시나리오 추가 2

    • 주소 그룹: 이벤트가 탐지되면 IP 차단 필드에 설정된 필드의 IP 주소를 추가할 주소 그룹. 필요한 경우 정책 > 주소 그룹에서 추가 설정.
    • 차단기간: 위협 의심 IP 주소로 식별된 IP 주소가 주소 그룹에 추가된 후 해당 IP 주소를 주소 그룹에 유지하는 시간(분 단위). 이벤트 탐지 시 IP 차단 필드에 지정된 필드의 IP 주소가 주소 그룹에 추가되면, 설정한 차단 기간이 경과한 후 자동으로 주소 그룹에서 삭제됨. 차단 기간을 설정하지 않으면 제한 없이 계속해서 주소 그룹에 유지됨(범위: 1~100000000)
    • IP 차단 필드: 이벤트 탐지 시 주소 그룹에 추가하여 관리할 IP 주소 필드. 이때 로그 스키마에 설정한 IP 주소 관련 필드 이름을 입력(예: src_ip, dst_ip)(최대 50자)
    Note
    타사 정보보호 시스템과의 차단 연동 설정은 '시스템 > 차단 연동'를 참고하세요.

  4. 탐지된 이벤트가 조직의 임직원과 관련 있는 경우, 해당 임직원에게 소명을 요구할 수 있습니다.

    실시간 탐지 시나리오 설정 5

    • 소명 요청: 소명 요청 사용 여부(기본값: 사용 안 함)

    • 소명 대상자 필드: 소명 대상 임직원의 사번 정보 필드.

      위협이 탐지되면 해당 사번에 매핑된 임직원에게 자동으로 소명 요청 메일 발송. 이 경우
      정책 > 임직원에서 임직원 정보(사번, 계정, 이메일) 설정 필요

    • 분류: 소명의 분류. 필요한 경우 대응 > 소명에서 소명분류 관리를 클릭하여 추가 설정

    • 1차 검토자: 소명의 1차 검토자. 부서장으로 설정 시 해당 임직원이 속한 부서의 장이 자동으로 지정됩니다. 부서장 외의 다른 임직원을 검토자로 설정하려면 드롭다운 메뉴에서 선택하세요(범위: 등록된 모든 임직원)

    • 2차 검토자: 소명의 2차 검토자(기본값: 부서장 전결). 1차 검토자, 2차 검토자에 대한 자세한 내용은 소명을 참고하세요(범위: 관리자 계정(로그인 이름)이 설정된 임직원)

    • 마감시한: 소명 처리 기한(기본값: 7일). 마감시한이 지나면 소명 대상자는 소명을 제출할 수 없습니다.

    • 비고: 소명 요청 메일에 추가할 내용. 입력한 내용은 메일/SMS 템플릿 본문에서 텍스트 매크로 $user_note가 삽입된 위치에 들어갑니다. 스키마에 정의한 필드 이름을 $필드이름과 같은 매크로 형식으로 비고에 입력하면 필드 값으로 치환됩니다. 대응 > 소명에서 소명 상세 내용의 비고에서 내용을 확인할 수 있습니다(최대 10,000자).

    Note
    소명 요청을 하려면 이름이 "emp_key"인 필드가 필요합니다. 이 필드가 없으면 3에서 쿼리를 작성할 때 emp_key 필드를 생성하고, 사용자 계정 또는 IP 주소와 매핑할 수 있도록 쿼리문을 작성하세요.

  5. 이벤트 탐지 시 티켓을 발행하려면 고급 설정 항목을 설정하세요.

    배치 탐지 시나리오 추가 4

    • 티켓 분류: 보안관제 작업 중 티켓을 구분하는데 필요한 티켓 분류 (기본값: 선택 안함)

      Note
      이벤트 탐지 시 자동으로 티켓이 생성되도록 하려면 반드시 티켓 분류를 지정하세요. 이벤트를 트리거로 동작하는 플레이북에서도 티켓 생성 여부를 결정할 수 있습니다. 플레이북에서 티켓 생성 여부를 결정하려면 이 항목을 사용하지 마세요.

    • 중복 기준 필드: 티켓 중복 확인 기준 필드의 이름을 쉼표(,)를 구분자로 해서 $필드이름과 같은 매크로 형식으로 입력(범위: 2,000자 이내의 문자). 미설정 시 메시지 문자열을 기준으로 판단합니다.

      Note
      예를 들어, 메시지 항목을 "C&C 서버 접속: $src_ip -> $dst_ip"로 설정했지만, 동일 호스트에서 다른 C&C 서버로 접속하는 이벤트나 티켓을 불필요하게 다수 발생하지 않도록 하려면 중복 판단 기준 키를 '$src_ip'로 설정하세요.

    • 중복 이벤트 제거: 티켓 발행 후 동일한 이벤트가 연속해서 발생할 때, 중복 이벤트를 무시할 기간(기본값: 0, 범위: 0 ~ 86,400초).

      • "0"일 때: 중복 티켓 축약 설정에 따라 동작
      • "0"이 아닐 때: 지정된 기간동안 동일한 이벤트를 무시하고, 해당 티켓의 근거 자료로도 사용하지 않음

    • 중복 티켓 축약: 티켓 발행 후 동일한 이벤트 발생할 때, 새 티켓을 발행하지 않고 이미 발행된 티켓에 근거 자료 및 발생 횟수만 추가할 기간(기본값: 3,600, 범위: 0 ~ 86,400초)

      • "0"일 때: 이벤트가 발생할 때마다 동일한 제목의 티켓 생성
      • "0"이 아닐 때: 지정된 기간 동안 기존 티켓에 근거 자료 및 발생 횟수만 기록

    • 출력 필드 순서: 티켓의 근거 자료에 표시할 로그 데이터의 필드 순서. 필드 이름을 표시할 순서대로 쉼표(,)로 구분하여 입력(범위: 2,000자. 특수문자 및 파이프 기호 제외)

    • 티켓 완료 처리 방식: 중복 티켓 축약이 설정된 티켓이 완료된 이후 처리 방식 설정(기본값: 축약 타이머 초기화)

      • 축약 타이머 유지: 티켓이 완료 처리되더라도 중복 티켓 축약 시간이 만료될 때까지 동일한 위협 이벤트가 발생하면 완료된 티켓에 근거 자료 및 발생 횟수 기록
      • 축약 타이머 초기화: 티켓이 완료 처리되면 중복 티켓 축약 시간도 만료된 것으로 보고, 동일한 위협 이벤트 발생 시 새 티켓 발행

  6. 배치 탐지 시나리오를 과거 또는 미래의 특정 시각에 맞춰 실행하도록 시뮬레이션해볼 수 있습니다. 배치 시나리오 시뮬레이션에서 가상 실행 시각을 설정한 후 실행을 클릭하세요.

    배치 탐지 시나리오 추가 5

    Note
    분석 방식 입력 시 올바르지 않은 쿼리문 입력 또는 존재하지 않는 데이터 테이블 지정 등으로 쿼리를 실행할 수 없는 경우 배치 탐지 시나리오 시뮬레이션을 실행할 수 없습니다.

배치 탐지 시나리오 복제

기존에 추가한 배치 탐지 시나리오를 복제하려면,

  1. 배치 탐지 시나리오 목록에서 복제할 배치 탐지 시나리오 행의 체크박스를 선택하면 도구 모음에 작업 수행 메뉴가 나타납니다.
  2. 도구 모음에서 복제를 클릭하세요.
  3. 배치 탐지 시나리오 복제 대화상자에서 복제할 배치 탐지 시나리오 목록을 확인한 후 복제를 클릭하세요. 복제하지 않으려면 취소를 클릭하세요.
  4. '복제 대상 시나리오 이름의 사본'으로 새로운 시나리오가 비활성화 상태로 추가됩니다.

배치 탐지 시나리오 수정

배치 탐지 시나리오를 수정하려면,

  1. 배치 탐지 시나리오 목록에서 수정할 배치 탐지 시나리오 이름을 클릭하세요.
  2. 배치 탐지 시나리오 수정 화면에서 정보를 수정한 후 확인을 클릭하세요. 수정할 속성에 대한 설명은 배치 탐지 시나리오 추가를 참고하세요.

배치 탐지 시나리오 실행

배치 탐지 시나리오를 바로 실행하려면,

  1. 배치 탐지 시나리오 목록에서 실행할 배치 탐지 시나리오 행의 체크박스를 선택하세요.
  2. 도구 모음에 작업 수행 메뉴가 나타납니다. 작업 수행 메뉴에서 지금 실행을 클릭하세요.
  3. 시나리오에 따라 이벤트가 탐지되면 대응 > 티켓분석 > 탐지 현황에서 탐지 결과를 확인할 수 있습니다.
Note
비활성화된 배치 탐지 시나리오를 실행하면 정상적으로 실행되지만 티켓은 생성하지 않습니다.

배치 탐지 시나리오 삭제

배치 탐지 시나리오를 삭제하려면,

  1. 배치 탐지 시나리오 목록에서 삭제할 배치 탐지 시나리오 행의 체크박스를 선택하세요.
  2. 도구 모음에 작업 수행 메뉴가 나타납니다. 작업 수행 메뉴에서 삭제를 클릭하세요.
  3. 배치 탐지 시나리오 삭제 대화상자에서 삭제할 배치 탐지 시나리오 목록을 확인한 후 삭제를 클릭하세요. 삭제하지 않으려면 취소를 클릭하세요.

탐지 시나리오 분류 관리

탐지 시나리오에 따라 탐지된 위협을 효율적으로 관리하고 분류하기 위해 시나리오 분류를 추가, 수정, 삭제할 수 있습니다. 시나리오 분류 관리에 대한 자세한 사항은 실시간 탐지-탐지 시나리오 분류 관리를 참고하세요.