728x90 이상징후3 로그의 통찰 로그 인텔리전스(AIOps) 로그의 통찰 로그 인텔리전스 (AIOps) 로그는 어플리케이션에서 생기는 오류나 처리 상황을 파악하기 위해 사용하는 프로그램의 모니터링에 가장 기본적인 기능입니다. 최근 로그들의 분석 환경들은 클라우드 및 분산 환경의 다양하고 방대한 로그를 수집하여 실시간 분석하여 자동화 하는 것이 로그 인텔리전스의 동향입니다. 일반적인 로그의 활용 개발 측면에서는 어플리케이션과 시스템의 로그를 수집하여 어플리케이션들의 결함을 찾고 성능과 품질을 개선합니다. 보안 측면에서는 서비스의 이상 징후나 침해 예방을 위한 보안 감시를 통해 서비스를 보로 하는데도 활용됩니다. 또 비즈니스 상에서는 서비스의 결함과 처리 상태를 확인하여 완전한 서비스 품질관리 차원에서 활용 되고 있습니다 이러한 일반적인 환경에서 대부분 통합 로그시스.. 2022. 10. 7. [외부침해위협] 방화벽 로그 기준 탐지 시나리오 설계 및 운용 방안 방화벽의 최근 1달간 로그를 FULL로 분석하여 일정 단위시간 동안...(1분) 특정범위를 넘어서는 접속시도를 탐지....(threshold) 단, 업무상 정상적인 접속을 하는 IP의 경우에는 예외처리를 통해 탐지에서 제외한다. 이때 탐지하는 임계치는 통계적 기법인 3시그마 공식을 활용하여 일반적인 경우의 99%의 범위 밖의 값을 산정하였다. 탐지가 된 IP 에 대해서는 무조건 차단을 하는 것은 권장하지 않는다. 해당 IP에 대해서 정상적인 접속을 하는 IP인지 로그 분석을 통해 판단을 하고 예외처리를 적용한다. Best case는 정상적인 접속을 하는 IP에 대해 예외처리를 적용한 직후 다시 임계치 값을 재조정 하는 것을 권장한다. 일반적인 경우 탐지되는 접속건수의 범위에 대해서는 3개월/6개월에 한번.. 2020. 11. 17. [방화벽] One IP -> 과다트래픽 탐지 시나리오 (스캔공격 탐지) ■ One IP -> 과다트래픽 탐지 네트워크 스캔의 특성상 스캔 공격 시도 자체를 원천적으로 차단할 방법은 존재하지 않는다. 지속적인 모니터링 작업을 통해 스캔 공격 로그를 탐지한 후 이상징후가 발견될 경우 조치를 하는 것을 원칙으로 한다. 과거 방화벽 장비만 존재하였을 경우에는 스캔 공격의 임계치를 고정적으로 운용하여 매우 타이트하게 운용하였으나 통합 정보보호모니터링 시스템(SIEM) 도입을 통해 유연하게 대처가 가능한 지금은 IDS/IPS에서 공격으로 인지하는 포트스캔 등의 임계치(Threshold) 값 미만의 공격을 탐지하거나 DDOS에서 공격으로 인지하기 전 단계의 경고성 의미로 해당 시나리오를 설계한다. 2020. 11. 17. 이전 1 다음 728x90
