728x90
<시나리오 설계 방안>
방화벽의 최근 1달간 로그를 FULL로 분석하여
일정 단위시간 동안...(1분)
특정범위를 넘어서는 접속시도를 탐지....(threshold)
단, 업무상 정상적인 접속을 하는 IP의 경우에는 예외처리를 통해 탐지에서 제외한다.
이때 탐지하는 임계치는 통계적 기법인 3시그마 공식을 활용하여 일반적인 경우의 99%의 범위 밖의 값을 산정하였다.
<시나리오 운용 방안>
탐지가 된 IP 에 대해서는 무조건 차단을 하는 것은 권장하지 않는다.
해당 IP에 대해서 정상적인 접속을 하는 IP인지 로그 분석을 통해 판단을 하고 예외처리를 적용한다.
Best case는 정상적인 접속을 하는 IP에 대해 예외처리를 적용한 직후 다시 임계치 값을 재조정 하는 것을 권장한다.
일반적인 경우 탐지되는 접속건수의 범위에 대해서는 3개월/6개월에 한번 임계치(Threshold) 값을 재조정하여 다시 산정해야 한다.
이 재조정 작업을 거치지 않으면 시나리오의 설계 의도인 보안장비(IPS/DDOS)에서 공격으로 인지하기 전단계의 경고성 의미의 신뢰도가 떨어진다.
728x90
'[컨설팅] 시나리오 개발 - SIEM' 카테고리의 다른 글
| 정보보안 / 보안관제(2/4) - 법적근거, 원칙, 업무내역 (0) | 2023.06.12 |
|---|---|
| 정보보안 / 보안관제(1/4) - 정의 및 업무절차 (0) | 2023.06.12 |
| 관제 시나리오 컨설팅 수행 가이드 (0) | 2021.05.14 |
| 시나리오 컨설팅 이력 (0) | 2021.03.25 |
| [방화벽] One IP -> 과다트래픽 탐지 시나리오 (스캔공격 탐지) (0) | 2020.11.17 |
