728x90
■ One IP -> 과다트래픽 탐지
<시나리오 설계 의도>
네트워크 스캔의 특성상 스캔 공격 시도 자체를 원천적으로 차단할 방법은 존재하지 않는다.
지속적인 모니터링 작업을 통해 스캔 공격 로그를 탐지한 후 이상징후가 발견될 경우 조치를 하는 것을 원칙으로 한다.
과거 방화벽 장비만 존재하였을 경우에는 스캔 공격의 임계치를 고정적으로 운용하여 매우 타이트하게 운용하였으나
통합 정보보호모니터링 시스템(SIEM) 도입을 통해 유연하게 대처가 가능한 지금은
IDS/IPS에서 공격으로 인지하는 포트스캔 등의 임계치(Threshold) 값 미만의 공격을 탐지하거나
DDOS에서 공격으로 인지하기 전 단계의 경고성 의미로 해당 시나리오를 설계한다.
728x90
'[컨설팅] 시나리오 개발 - SIEM' 카테고리의 다른 글
| 정보보안 / 보안관제(2/4) - 법적근거, 원칙, 업무내역 (0) | 2023.06.12 |
|---|---|
| 정보보안 / 보안관제(1/4) - 정의 및 업무절차 (0) | 2023.06.12 |
| 관제 시나리오 컨설팅 수행 가이드 (0) | 2021.05.14 |
| 시나리오 컨설팅 이력 (0) | 2021.03.25 |
| [외부침해위협] 방화벽 로그 기준 탐지 시나리오 설계 및 운용 방안 (0) | 2020.11.17 |
