본문 바로가기
728x90

[컨설팅] 시나리오 개발 - SIEM8

정보보안 / 보안관제(4/4) - 이벤트 처리절차 https://zerotrust.tistory.com/25 [보안이야기#8]정보보안 직무-보안관제(4) 안녕하세요 보안코치 제로썬이에요 :) 보안관제(3)에서는 보안관제 보호대상, 필요 요소(사람, 기술, 절차) 등에 대해서 알아봤어요~!! https://zerotrust.tistory.com/18 [보안이야기#7]정보보안 직무-보안 zerotrust.tistory.com 퍼온 내용 입니다. 안녕하세요 보안코치 제로썬이에요 :) 보안관제(3)에서는 보안관제 보호대상, 필요 요소(사람, 기술, 절차) 등에 대해서 알아봤어요~!! 자~ 오늘은 보안관제 이벤트 처리 절차에 대해서 알아보도록 해요. 이벤트 처리 절차(예시)는 참고로 봐주시고 부족한 부분은 댓글로 달아 주시면 좋을 것 같아요 :) 보안관제 이벤트.. 2023. 6. 12.
정보보안 / 보안관제(3/4) - 보호대상, 필요 요소(사람, 기술, 절차) https://zerotrust.tistory.com/18 [보안이야기#7]정보보안 직무-보안관제(3) 안녕하세요 보안코치 제로썬이에요 :) 보안관제(2)에서는 보안관제 법적근거, 원칙, 업무내역에 대해서 알아봤어요~ https://zerotrust.tistory.com/17 [보안이야기#6]정보보안 직무-보안관제(2) 안녕하세 zerotrust.tistory.com 퍼온 내용 입니다. 안녕하세요 보안코치 제로썬이에요 :) 보안관제(2)에서는 보안관제 법적근거, 원칙, 업무내역에 대해서 알아봤어요~ 보안관제는 사이버 공격으로부터 정보자산 보호를 365일 24시간 실시간 모니터링, 탐지, 분석, 대응하는 서비스라고 했었죠? 잊으신거 아니죠?!......... 네?!........... 계속 보셔야합니다~~.. 2023. 6. 12.
정보보안 / 보안관제(2/4) - 법적근거, 원칙, 업무내역 https://zerotrust.tistory.com/17 [보안이야기#6]정보보안 직무-보안관제(2) 안녕하세요 보안코치 제로썬이에요 :) 보안관제(1)에서는 보안관제 정의, 업무 절차 등 보안관제가 무슨일 하는지 대략적으로 알았을텐데요 https://zerotrust.tistory.com/15 [보안이야기#5]정보보안 직 zerotrust.tistory.com 퍼온 내용 입니다. 안녕하세요 보안코치 제로썬이에요 :) 보안관제(1)에서는 보안관제 정의, 업무 절차 등 보안관제가 무슨일 하는지 대략적으로 알았을텐데요 보통 보안관제는 주주야야비비 근무 시간을 말해주기도 하는데 근무시간은 운영하는 사이트(기관 등)마다 다르기에 다른 블로그에서 보안관제 근무에 대해서 쓰신글이 있으니 궁금하시면 찾아보시면 되세.. 2023. 6. 12.
정보보안 / 보안관제(1/4) - 정의 및 업무절차 https://zerotrust.tistory.com/15 [보안이야기#5]정보보안 직무-보안관제(1) 안녕하세요 보안코치 제로썬이에요 :) 오늘은 여러분들에게 정보보안 직무에 대해 소개 해주려고 해요~!! 보안 직무는 다양하게 있는데요 정보보안 분야 일을 하고 싶으나, 정작 어떤 직무가 있 zerotrust.tistory.com 퍼온 내용 입니다. 안녕하세요 보안코치 제로썬이에요 :) 오늘은 여러분들에게 정보보안 직무에 대해 소개 해주려고 해요~!! 보안 직무는 다양하게 있는데요 정보보안 분야 일을 하고 싶으나, 정작 어떤 직무가 있고, 어떤 업무를 하는지 정확하게 모르는 경우를 많이 봐왔는데요. 10년 전보다는 훨씬~~많이 알려지긴 했어도 여전히 부족한건 어쩔수 없는것 같아요 제가 여러분들에게 보안 .. 2023. 6. 12.
관제 시나리오 컨설팅 수행 가이드 보호되어 있는 글 입니다. 2021. 5. 14.
시나리오 컨설팅 이력 [내부정보유출/외부침해위협 시나리오 컨설팅] 더보기 1. 우리은행 정보보안 통합보안관제시스템 구축 기간 : 2017년 12월~2018년 11월 역할 : 내부정보유출/외부침해위협 시나리오 개발 및 검증 성과 : 우리은행 통합보안관제 시나리오 적용 (Splunk ES) 2. 농협생명 보안관제시스템 및 보안포털 구축 기간 : 2019년 8월~2020년 2월 역할 : 내부정보유출/외부침해위협 시나리오 개발 및 검증 성과 : 농협생명 내/외부 보안관제 시나리오 적용 (Logpresso SONAR) [외부침해위협 시나리오 컨설팅] 더보기 1. 경남은행 정보보호 통합플랫폼 구축 기간 : 2020년 6월~2020년 7월(1개월) 역할 : 외부침해위협 시나리오 설계 성과 : 경남은행 외부침해위협 시나리오 적용 (Logp.. 2021. 3. 25.
[외부침해위협] 방화벽 로그 기준 탐지 시나리오 설계 및 운용 방안 방화벽의 최근 1달간 로그를 FULL로 분석하여 일정 단위시간 동안...(1분) 특정범위를 넘어서는 접속시도를 탐지....(threshold) 단, 업무상 정상적인 접속을 하는 IP의 경우에는 예외처리를 통해 탐지에서 제외한다. 이때 탐지하는 임계치는 통계적 기법인 3시그마 공식을 활용하여 일반적인 경우의 99%의 범위 밖의 값을 산정하였다. 탐지가 된 IP 에 대해서는 무조건 차단을 하는 것은 권장하지 않는다. 해당 IP에 대해서 정상적인 접속을 하는 IP인지 로그 분석을 통해 판단을 하고 예외처리를 적용한다. Best case는 정상적인 접속을 하는 IP에 대해 예외처리를 적용한 직후 다시 임계치 값을 재조정 하는 것을 권장한다. 일반적인 경우 탐지되는 접속건수의 범위에 대해서는 3개월/6개월에 한번.. 2020. 11. 17.
[방화벽] One IP -> 과다트래픽 탐지 시나리오 (스캔공격 탐지) ■ One IP -> 과다트래픽 탐지 네트워크 스캔의 특성상 스캔 공격 시도 자체를 원천적으로 차단할 방법은 존재하지 않는다. 지속적인 모니터링 작업을 통해 스캔 공격 로그를 탐지한 후 이상징후가 발견될 경우 조치를 하는 것을 원칙으로 한다. 과거 방화벽 장비만 존재하였을 경우에는 스캔 공격의 임계치를 고정적으로 운용하여 매우 타이트하게 운용하였으나 통합 정보보호모니터링 시스템(SIEM) 도입을 통해 유연하게 대처가 가능한 지금은 IDS/IPS에서 공격으로 인지하는 포트스캔 등의 임계치(Threshold) 값 미만의 공격을 탐지하거나 DDOS에서 공격으로 인지하기 전 단계의 경고성 의미로 해당 시나리오를 설계한다. 2020. 11. 17.
728x90

티스토리툴바