배치 탐지

개요

배치 탐지는 일정에 따라 로그프레소 쿼리나 데이터셋을 실행해, 일정 기간 누적된 로그와 테이블 데이터를 분석하는 기능입니다. 보안관제 담당자는 정책 > 배치 탐지에서 시나리오를 관리하고, 탐지 결과는 탐지 현황, 티켓, 소명, 플레이북과 같은 후속 대응 기능으로 연결할 수 있습니다.

실시간 탐지가 즉시 반응하는 탐지에 적합하다면, 배치 탐지는 저빈도 공격, 장기간 지속된 이상 행위, 다수의 로그를 묶어서 판단해야 하는 패턴을 찾는 데 적합합니다. 예를 들어 일정 시간 동안 누적된 접속 기록이나 방화벽 로그를 기준으로 포트 스캔, 반복 실패, 내부 이동 징후를 찾아내는 식으로 활용할 수 있습니다. Sonar 5에서는 시나리오를 MITRE ATT&CK 공격 기법과 전술에 연결해 탐지 목적을 더 구조적으로 관리할 수 있습니다.

다음 그림은 배치 탐지 시나리오의 동작을 표현한 것입니다. 배치 탐지 시나리오는 보통 테이블에 저장된 데이터 원본을 대상으로 적용됩니다.

배치 탐지 시나리오 동작 개요

배치 탐지 시나리오는 로그프레소 쿼리 명령어 및 함수를 이용하므로 유연한 시나리오 작성이 가능합니다. 예를 들어 특정 사용자의 활동 관계를 파악하여 관련된 잠재적인 위협을 예측하고 의심스러운 활동을 탐지할 수 있습니다.

배치 탐지 시나리오는 대부분의 경우 이벤트 탐지 시 티켓을 발행하거나, 이벤트 행위자에게 소명을 요청합니다. 과도한 티켓 발행은 악성코드 분석가나 보안관제 담당자의 업무 피로도를 높이므로 중복 티켓 발행을 최소화할 필요가 있습니다. 로그프레소 소나는 이벤트 탐지 시 알람 메시지와 티켓 제목으로 사용되는 메시지, 또는 중복 기준 필드를 기준으로 동일한 내용의 이벤트를 하나의 티켓으로 처리하는 기능을 제공합니다.

배치 탐지 시나리오 목록 조회/검색

정책 > 배치 탐지에서 배치 탐지 시나리오 목록을 조회하거나 검색할 수 있습니다.

배치 탐지 시나리오 목록

  • : 탐지 시나리오와 관련된 앱 아이콘. 기본 시나리오나 사용자가 추가한 시나리오는 로그프레소 아이콘으로, 설치된 앱의 시나리오는 해당 앱 아이콘으로 표시합니다.
  • 활성화: 탐지 시나리오 활성화 토글 버튼(활성화: 활성화됨, 비활성화: 비활성화됨)
  • 중요도: 탐지 시나리오의 중요도(상/중/하)
  • 분류: 시나리오에 적용된 분류 정보
  • 시나리오: 탐지 시나리오 이름
  • 일정: 탐지 시나리오의 실행 주기
  • 티켓: 티켓 발행 설정 여부
  • 소명: 소명 요청 설정 여부
  • 수정일: 탐지 시나리오가 마지막으로 수정된 날짜 (또는 생성된 날짜)

배치 탐지 목록에서 특정 배치 탐지 시나리오를 찾으려면 도구 모음에 있는 검색 도구를 사용하세요. 검색 도구에 키워드를 입력해 목록을 필터링할 수 있습니다.

도구 모음의 분류, 활성화, 티켓, 소명 드롭다운을 이용하면 필요한 시나리오만 빠르게 필터링할 수 있습니다.

시나리오 활성화/비활성화

배치 탐지 시나리오를 활성화하거나 비활성화하려면 탐지 시나리오의 활성화 열에 있는 토글 버튼을 클릭하세요(활성화: 활성화됨, 비활성화: 비활성화됨).

목록 다운로드

배치 탐지 시나리오 목록을 로컬 PC에 저장하려면 도구 모음에서 다운로드를 클릭하세요.

배치 탐지 시나리오 목록 다운로드

목록 새로 고침

배치 탐지 시나리오의 목록을 최신 정보로 조회하려면 도구 모음에서 새로 고침을 클릭하세요.

수용 가능 위험 설정

XDR 라이선스가 활성화된 환경에서는 배치 탐지 시나리오에 수용 가능 위험 점수를 설정하여 예상 티켓 수를 추정할 수 있습니다.

수용 가능 위험을 설정하려면,

  1. 배치 탐지 시나리오 목록에서 설정할 시나리오 행의 체크박스를 선택하세요.

  2. 도구 모음의 설정을 클릭하고, 나타나는 메뉴에서 수용 가능 위험 설정을 클릭하세요.

    배치 탐지 시나리오 위험 수용 메뉴

  3. 수용 가능 위험 설정 대화상자에서 수용 가능 위험 점수(1~100)를 입력한 후 티켓 수 추정을 클릭해 일일 예상 티켓 수를 확인하세요. 적용하려면 저장을 클릭합니다. 취소하려면 취소를 클릭하세요.

    배치 탐지 시나리오 위험 수용 설정

배치 탐지 시나리오 추가

배치 탐지 시나리오를 추가하려면,

  1. 정책 > 배치 탐지에서 도구 모음에 있는 추가를 클릭하세요.

  2. 배치 탐지 시나리오 추가 화면에서 공통 설정 항목을 설정하세요.

    배치 탐지 시나리오 공통 설정

    • 이름: 탐지 시나리오 이름(최대 255자). 다른 시나리오와 중복된 이름을 지정할 수 없습니다.

    • 분류: 탐지 시나리오 분류. 분류는 분석 > 탐지 현황에서 탐지 현황 목록에 분류로 표시됩니다. 필요한 분류는 시나리오 분류에서 미리 추가해 둘 수 있습니다.

    • 메시지: 이벤트 탐지 시 티켓에 부여할 제목

      • 로그 스키마에 정의된 필드 이름을 $필드이름 또는 $필드이름$ 형식으로 입력하면 이벤트 탐지의 근거가 된 로그에서 필드 값을 가져와 메시지를 생성합니다(예: $src_ip). 필드 이름에 한글이 포함되어 있는 경우, 반드시 $필드이름$ 형식을 사용하세요.
      • 고급 설정에서 중복 기준 필드 미설정 시, 생성된 메시지(범위: 최대 2,000자)의 동일 여부를 기준으로 중복 티켓 발생을 방지(중복 티켓 축약)합니다.

    • 중요도: 탐지된 이벤트의 중요도(상, 중, 하)

    • 분석대상 기간: 분석 방식쿼리일 때 적용되는 기능으로, 데이터를 분석할 대상 기간을 지정하는 매개변수 from, to에 할당할 값을 계산하는 데 사용됩니다. 시간 단위(초, 분, 시, 일)와 함께 숫자를 입력하세요(기본값: 설정 안 함). 이 기능을 이용하려면 쿼리문에서 데이터를 가져오는 명령(예: table)에 from=$("from") to=$("to") 옵션이 필요합니다.

      예를 들어, 분석대상 기간에 "30일"을 지정하면 쿼리(예: table from=$("from") to=$("to") FW_*로 시작하는 쿼리)를 실행할 때마다 쿼리 실행 시각부터 역산하여 30일 전부터 수집된 데이터를 이름이 FW_*로 시작하는 테이블에서 가져옵니다(범위: 1 ~ 3,153,600,000).

    • 절사 단위: 가져온 데이터에 적용할 시간 정밀도. 시간 단위(기본값: 선택 안 함, 범위: 선택 안 함, 초, 분, 시, 일)를 선택하면 해당 시간 단위로 데이터의 시간 정밀도를 일치시켜 보여줍니다.

      예를 들어, 분석 대상 기간5분, 절사 단위일 때, 분석대상 데이터의 시간 정보 중에서 밀리초 값은 버리고 초 단위로 변경됩니다.

    • 담당자: 발행된 티켓을 할당할 담당자 계정. 계정은 1개 이상 선택할 수 있습니다. 미지정 시 담당자 없이 티켓이 생성됩니다.

    • 일정: 탐지 시나리오의 실행 주기 일정. ... 버튼을 클릭하면 CRON 문법에 따라 실행 주기를 지정할 수 있습니다.

    • 알람 그룹: 이벤트 탐지 시 알람을 수신할 알람 그룹

      Note
      알람 수신 방법은 알람 그룹에서 선택하세요.

    • 분석 방식: 일정에 따라 실행할 데이터 분석 방식(기본값: 쿼리, 범위: 데이터셋, 쿼리)

      • 데이터셋일 때: 데이터셋 목록에서 실행할 데이터셋을 선택하세요.

      • 쿼리일 때: 쿼리문을 직접 입력(최대 10,000자).

    • 설명: 탐지 시나리오의 세부 설명(최대 2,000자)

  3. 배치 탐지 시나리오를 특정 앱과 MITRE ATT&CK TTP에 연결해 관리하려면 다음 항목을 설정하세요.

    배치 탐지 시나리오 MITRE TTP 설정

    배치 탐지 시나리오 MITRE TTP 선택 예

    • 시그니처 앱: 시나리오와 연관된 앱을 선택합니다. 앱을 선택하면 해당 시나리오의 출처나 적용 맥락을 함께 식별하기 쉽습니다.
    • MITRE 공격 기법: 시나리오가 탐지하려는 MITRE ATT&CK 공격 기법을 검색해 하나 이상 선택합니다. 검색창에서는 T1078처럼 기법 ID나 기법 이름으로 검색할 수 있으며, 선택한 항목은 태그 형태로 표시됩니다.
    • MITRE 전술: 시나리오가 대응하는 MITRE ATT&CK 전술을 검색해 선택합니다. 전술 역시 TA0001 같은 전술 ID나 전술 이름으로 검색할 수 있습니다.

  4. 이벤트 탐지 시 공격자의 IP 주소 또는 이상 행위자의 IP 주소를 별도 관리하거나, 방화벽, IPS 등과 연동하여 주소 그룹 정보를 전달하려면 다음 항목을 설정하세요.

    배치 탐지 시나리오 차단 설정

    • 주소 그룹: 이벤트가 탐지되면 IP 차단 필드에 설정된 필드의 IP 주소를 추가할 주소 그룹. 필요한 경우 정책 > 주소 그룹에서 추가 설정.
    • 차단기간: 위협 의심 IP 주소로 식별된 IP 주소가 주소 그룹에 추가된 후 해당 IP 주소를 주소 그룹에 유지하는 시간(분 단위). 이벤트 탐지 시 IP 차단 필드에 지정된 필드의 IP 주소가 주소 그룹에 추가되면, 설정한 차단 기간이 경과한 후 자동으로 주소 그룹에서 삭제됩니다. 차단 기간을 설정하지 않으면 제한 없이 계속해서 주소 그룹에 유지됩니다(범위: 1~100,000,000).
    • IP 차단 필드: 이벤트 탐지 시 주소 그룹에 추가하여 관리할 IP 주소 필드입니다. 로그 스키마에 설정한 IP 주소 관련 필드 이름을 입력하세요(예: src_ip, dst_ip) (최대 50자).
    Note
    타사 정보보호 시스템과의 차단 연동 설정은 [차단 연동](section-response-target)을 참고하세요.

  5. 탐지된 이벤트가 조직의 임직원과 관련 있는 경우, 해당 임직원에게 소명을 요구할 수 있습니다.

    배치 탐지 시나리오 소명 설정

    • 소명 요청: 소명 요청 사용 여부(기본값: 사용 안 함)

    • 소명 대상자 필드: 소명 대상 임직원의 사번 정보 필드.

      위협이 탐지되면 해당 사번에 매핑된 임직원에게 자동으로 소명 요청 메일이 발송됩니다. 이 경우 계정 > 임직원에서 임직원 정보(사번, 계정, 이메일)를 먼저 설정해야 합니다.

    • 분류: 소명의 분류. 필요한 경우 대응 > 소명에서 소명 분류 관리를 클릭하여 추가 설정

    • 1차 검토자: 소명 내용의 1차 검토자입니다. 필요하면 계정을 직접 지정할 수 있습니다.

    • 2차 검토자: 소명의 2차 검토자입니다. 1차 검토자, 2차 검토자에 대해서는 소명을 참고하세요.

    • 마감시한 (일): 소명 처리 기한입니다(기본값: 7일). 마감시한이 지나면 소명 대상자는 소명을 제출할 수 없습니다.

    • 소명 요청 메시지: 소명 요청 시 전달할 메시지입니다. $src_ip, $dst_ip처럼 필드 매크로를 포함해 탐지 근거를 함께 안내할 수 있습니다.

    Note
    소명 요청을 하려면 이름이 `emp_key`인 필드가 필요합니다. 이 필드가 없으면 2에서 쿼리를 작성할 때 `emp_key` 필드를 생성하고, 사용자 계정 또는 IP 주소와 매핑할 수 있도록 쿼리문을 작성하세요.

  6. 이벤트 탐지 시 티켓을 발행하려면 고급 설정 항목을 설정하세요.

    배치 탐지 시나리오 고급 설정

    • 티켓 발생 조건: 배치 탐지 결과가 어떤 조건을 만족할 때 티켓을 발행할지 지정합니다.

    • 티켓 분류: 보안관제 작업 중 티켓을 구분하는 데 필요한 티켓 분류 (기본값: 선택 안함)

      Note
      이벤트 탐지 시 자동으로 티켓이 생성되도록 하려면 반드시 티켓 분류를 지정하세요. 이벤트를 트리거로 동작하는 플레이북에서도 티켓 생성 여부를 결정할 수 있습니다. 플레이북에서 티켓 생성 여부를 결정하려면 이 항목을 사용하지 마세요.

    • 중복 기준 필드: 티켓 중복 확인 기준 필드의 이름을 쉼표(,)를 구분자로 해서 $필드이름과 같은 매크로 형식으로 입력(범위: 2,000자 이내의 문자). 미설정 시 메시지 문자열을 기준으로 판단합니다.

      Note
      예를 들어, 메시지 항목을 "C&C 서버 접속: $src_ip -> $dst_ip"로 설정했지만, 동일 호스트에서 다른 C&C 서버로 접속하는 이벤트나 티켓을 불필요하게 다수 발생하지 않도록 하려면 중복 판단 기준 키를 '$src_ip'로 설정하세요.

    • 중복 이벤트 제거: 티켓 발행 후 동일한 이벤트가 연속해서 발생할 때, 중복 이벤트를 무시할 기간(기본값: 0, 범위: 0 ~ 86,400초).

      • "0"일 때: 중복 티켓 축약 설정에 따라 동작
      • "0"이 아닐 때: 지정된 기간 동안 동일한 이벤트를 무시하고, 해당 티켓의 근거 자료로도 사용하지 않음

    • 중복 티켓 축약: 티켓 발행 후 동일한 이벤트 발생할 때, 새 티켓을 발행하지 않고 이미 발행된 티켓에 근거 자료 및 발생 횟수만 추가할 기간(기본값: 3,600, 범위: 0 ~ 86,400초)

      • "0"일 때: 이벤트가 발생할 때마다 동일한 제목의 티켓 생성
      • "0"이 아닐 때: 지정된 기간 동안 기존 티켓에 근거 자료 및 발생 횟수만 기록

    • 출력 필드 순서: 티켓의 근거 자료에 표시할 로그 데이터의 필드 순서. 필드 이름을 표시할 순서대로 쉼표(,)로 구분하여 입력(범위: 2,000자. 특수문자 및 파이프 기호 제외)

    • 티켓 완료 처리 방식: 중복 티켓 축약이 설정된 티켓이 완료된 이후 처리 방식 설정(기본값: 축약 타이머 초기화)

      • 축약 타이머 유지: 티켓이 완료 처리되더라도 중복 티켓 축약 시간이 만료될 때까지 동일한 위협 이벤트가 발생하면 완료된 티켓에 근거 자료 및 발생 횟수 기록
      • 축약 타이머 초기화: 티켓이 완료 처리되면 중복 티켓 축약 시간도 만료된 것으로 보고, 동일한 위협 이벤트 발생 시 새 티켓 발행

  7. 입력한 속성이 올바른지 검토한 후 저장을 클릭하세요.

배치 탐지 시나리오 복제

기존에 추가한 배치 탐지 시나리오를 복제하려면,

  1. 배치 탐지 시나리오 목록에서 복제할 배치 탐지 시나리오 행의 체크박스를 선택하면 도구 모음에 작업 수행 메뉴가 나타납니다.
  2. 도구 모음에서 복제를 클릭하세요.
  3. 배치 탐지 시나리오 복제 대화상자에서 복제할 배치 탐지 시나리오 목록을 확인한 후 복제를 클릭하세요. 복제하지 않으려면 취소를 클릭하세요.
  4. 이름이 '복제 대상 시나리오 이름의 사본'인 새 시나리오가 비활성화 상태로 추가됩니다.

배치 탐지 시나리오 수정

배치 탐지 시나리오를 수정하려면,

  1. 배치 탐지 시나리오 목록에서 수정할 배치 탐지 시나리오 이름을 클릭하세요.
  2. 배치 탐지 시나리오 수정 화면에서 정보를 수정한 후 확인을 클릭하세요. 수정할 속성에 대한 설명은 배치 탐지 시나리오 추가를 참고하세요.

배치 탐지 시나리오 실행

배치 탐지 시나리오를 바로 실행하려면,

  1. 배치 탐지 시나리오 목록에서 실행할 배치 탐지 시나리오 행의 체크박스를 선택하세요.
  2. 도구 모음에 작업 수행 메뉴가 나타납니다. 작업 수행 메뉴에서 지금 실행을 클릭하세요.
  3. 시나리오에 따라 이벤트가 탐지되면 대응 > 티켓분석 > 탐지 현황에서 탐지 결과를 확인할 수 있습니다.
Note
비활성화된 배치 탐지 시나리오를 실행하면 정상적으로 실행되지만 티켓은 생성하지 않습니다.

배치 탐지 시나리오 삭제

배치 탐지 시나리오를 삭제하려면,

  1. 배치 탐지 시나리오 목록에서 삭제할 배치 탐지 시나리오 행의 체크박스를 선택하세요.
  2. 도구 모음에 작업 수행 메뉴가 나타납니다. 작업 수행 메뉴에서 삭제를 클릭하세요.
  3. 배치 탐지 시나리오 삭제 대화상자에서 삭제할 배치 탐지 시나리오 목록을 확인한 후 삭제를 클릭하세요. 삭제하지 않으려면 취소를 클릭하세요.