잘 되어 있는 공공기관이 점프하기에 좋다.
보안관제 쪽 5문제 나옴
10장 외우면 다섯문제 다 맞춤
보안관제
- 보안 장비로부터 수집된 이벤트를 분석하고, 이를 통해 보안 정책과 비교하여 이상 징후나 공격을 탐지하는 과정
SIEM 운영
- SIEM(보안 정보 및 이벤트 관리)은 보안 장비라기보다는 보안 솔루션의 일종입니다. SIEM은 다양한 보안 장비와 시스템에서 수집한 로그와 이벤트를 통합하여 분석하고, 실시간으로 모니터링, 경고 및 보고 기능을 제공합니다.
(시험) SIEM 구성 및 이해
Manager
- 경보 감사 데이터 발생 시, 다양한 알람 기능을 처리(Sound, Email, SMS, 스크립트, SNMP)
- 감사 데이터 및 설정 데이터 저장을 위한 데이터베이스 백업 및 삭제관리를 스케쥴링 처리
- 모든 자체 감사 데이터를 생성하고, 데이터베이스에 저장
Console
- 사용자 및 에이전트 그룹 관리, 구성관리, 수집조건, 연관성 분석, 데이터베이스 백업 및 삭제 관리 등 모든 설정 화면을 제공
Agent
- 관리대상 장비로부터 수집한 로그를 정해진 규칙에 따라 정규화하고, 수집조건 규칙과 비교하여 매니저로의 전송 여부를 결정
- 매니저로 전송 전에 동일 패턴으로 구분되는 이벤트는 축약 처리하여 네트워크 및 데이터베이스 등의 부하를 최소화
- Agent 방식 - Agent설치 됌
각 장비마다 Agent(데이터 수집 및 판단) 가 있어야함
- Agentless 방식 - Agent설치가 안되고 sys로그만 던져주는 방식
SIEM 구성 3가지 요소
Agent - Manager(Back-end) - Console(front-end)
로그
- 로그는 컴퓨터나 서버등에서 유저의 플레이 정보를 시간에 따라 남기는 기록
- 데이터 로그는 연속 데이터의 기록을 뜻한다.
로그 → 시간 → 관련된 포트는 NTP(Network Time Protocol) 123포트 에서 사용
로그의 시간 정보를 정확하게 동기화하기 위해 NTP(Network Time Protocol)를 사용하며, 이때 사용하는 포트가 123번입니다. NTP는 네트워크를 통해 시간 동기화를 수행하여 시스템 간의 시간 차이를 최소화하는 데 도움을 줍니다.
파싱(Parsing)
- 로그는 한줄로 쭉 들어오는데 이해하기 힘들다. 원본로그를 필드 별로 구분하는 것
SIEM 이상 그래프 확인 방법
- SIEM에서 연동된 각 보안장비에 대해 일일 그래프 또는 30분별 그래프 등을 만들어 해당 장비의 상태 및 이벤트 수치를 한눈에 확인하기 쉽도록 만들 수 있다.
이상 그래프를 탐지하였을 경우 해당 그래프에 대해서 발생시간, 출발지, IP목적지, IP Port 등 더 자세하게 어떠한 이벤트가 수집이 되었는지 확인이 필요하며, 확인된 정보를 바탕으로 이상 유무를 판단해 낼 수 있어야 한다.
→ 그래프를 프로파일로 저장하여 그떄 그떄 확인하고 싶은 여러 가지 그래프를 매번 생성하지 않고 저장시킨 프로파일을 불러 들어와 빠르게 확인하여 보다 효율적으로 관제할 수 있도록 한다.
번들룰 생성
- 번들룰은 가용성 체크를 위한 경보이다. 장애로 인한 이벤트 미 수집 / 보안장비 펌웨어 업데이트로 인한 로그필드 변경 시 미 수집 등이 발생할 수 있다. NMS와 같이 Ping Check를 통한 가용성도 확보할 수 있다.
- 번들룰 종류: 핑 체크, 프로세스 체크, 미 수집 체크
단일경보 생성
- Object는 단일 경보 생성 시 각 필드에 해당되는 탐지 상세 조건이다. SIEM에서 수집되는 로그를 기반으로 필드를 선택한 뒤 조건을 충족하여 경보가 발생하도록 운영자가 설정할 수 있다. 연산자(AND, OR, Like)를 통하여 해당 조건에 따라 발생 건수가 달라지며, 정/오탐 고도화가 진행된다.
경보를만들때 조건을 만드는게 중요 → 옵션은 오브젝트 - > 값을 정의하고 어떤 칼럼으로 파싱 되는지를 알아야한다. - > 이를 통해 where 조건을 다 만들 수 잇다.
단일 경보를 생성할 때 조건을 설정하는 것은 매우 중요합니다. 이를 통해 경보의 정확성과 유용성을 높일 수 있습니다. 다음은 단일 경보 생성을 위한 기본적인 단계입니다:
옵션 정의: 경보를 설정할 오브젝트를 선택합니다. 예를 들어, 특정 로그 유형이나 이벤트 소스를 선택할 수 있습니다.
값 정의: 오브젝트에 대한 조건을 설정합니다. 특정 값이나 상태를 기준으로 경보를 트리거할 수 있도록 합니다. 예를 들어, 특정 IP 주소나 사용자 계정 등입니다.
칼럼 파싱: 어떤 칼럼에서 값을 추출할지를 결정합니다. 로그 데이터의 구조를 이해하고, 필요한 정보를 올바르게 파싱할 수 있도록 해야 합니다.
WHERE 조건 작성: 위의 정보들을 바탕으로 SQL과 같은 쿼리 언어를 사용하여 WHERE 조건을 작성합니다. 이 조건은 경보가 발생할 기준을 설정하게 됩니다.
테스트 및 검증: 설정한 경보 조건이 올바르게 작동하는지 테스트하고, 필요에 따라 조정합니다.
이러한 과정을 통해 효과적인 경보를 생성할 수 있으며, 보안 이벤트를 신속하게 탐지하고 대응할 수 있는 기반을 마련할 수 있습니다.
상관분석
- 단일 경보의 조합으로 생성된다. Step 별로 경보 단계가 진행되기 떄문에 고도화를 위한 경보 생성 시 적합하다. 상관분석은 생성된 단일 경보를 기반으로 단계별 탐지 설정이 가능하며, 전 단계에 대한 상세 조건을 설정할 수 있다.
대법원 보안관제 사례
(시험)외부 침입으로부터의 방안
공격자
- 1단계 대량트래픽차단시스템 (DDOS) → 패킷 많이 들어오면 네트워크 과부하, 시스템한테 가는거니까 서비스가 안되는 것
서비스 자원 고갈, 서비스 거부 공격방어
- 2단계 침입방지시스템 IPS (In-line mode (IPS), sniffing (IDS) 미러링 떠서 데이터만 탐지할 수 있게 하는것)
비정상 패킷 차단
- 3단계 침입차단시스템 (방화벽)
비정상 세션 차단, IP,PORT 제어
- 4단계 악성메일차단 (URL, 악성 첨부파일을 차단)
스펨메일 차단, 악성 유포지 경로, 악성 첨부파일 차단
- 5단계 웹 안전도 검사 시스템 (홈페이지 바탕화면 바꾸는것, 기존이랑 변경된 사항이 있는지 확인하고 차단한다. )
웹 서비스 위변조 대응 (문자, 이미지 크기 변경)
- 6단계 웹방화벽 (WAF)
웹 공격, 정보유출 차단
- 7단계 서버보안, 감사
자원/프로세스 접근제어, 사용자 계정 및 로그감사
- 8단계 DB암호화, 접근제어
DB 중요정보 암호화, DB 사용자 인증 및 로그감사, 명령어 제어
정보시스템
