728x90 컨설팅2 [외부침해위협] 방화벽 로그 기준 탐지 시나리오 설계 및 운용 방안 방화벽의 최근 1달간 로그를 FULL로 분석하여 일정 단위시간 동안...(1분) 특정범위를 넘어서는 접속시도를 탐지....(threshold) 단, 업무상 정상적인 접속을 하는 IP의 경우에는 예외처리를 통해 탐지에서 제외한다. 이때 탐지하는 임계치는 통계적 기법인 3시그마 공식을 활용하여 일반적인 경우의 99%의 범위 밖의 값을 산정하였다. 탐지가 된 IP 에 대해서는 무조건 차단을 하는 것은 권장하지 않는다. 해당 IP에 대해서 정상적인 접속을 하는 IP인지 로그 분석을 통해 판단을 하고 예외처리를 적용한다. Best case는 정상적인 접속을 하는 IP에 대해 예외처리를 적용한 직후 다시 임계치 값을 재조정 하는 것을 권장한다. 일반적인 경우 탐지되는 접속건수의 범위에 대해서는 3개월/6개월에 한번.. 2020. 11. 17. SOAR로 관제 업무 효율화 http://www.datanet.co.kr/news/articleView.html?idxno=148245 SOAR가 보안 탐지·대응을 직접 수행하는 것은 아니다. 이종 보안 장비로부터 보안위협을 수집해 분석장비로 보내고, 위협 인텔리전스와 연계 분석해 도출된 결과를 보안 장비로 다시 보내 대응하도록 하는 일련의 과정을 통제한다. SOAR 도입을 위해서는 보안 관제 프로세스가 정확하게 정의되고 표준화돼야 하며, 실제 현장에서 사용 가능한 플레이북이 충분히 확보돼 있어 야 한다. SIEM 벤더들은 차세대 SIEM이 SOAR로 발전할 것 으로 보고 있지만, SIEM도 SOAR와 연동되는 시스템의 하나이며, SOAR는 보안관제 플랫폼으로 진화할 것 이라는 전망이 우세하다. SOAR가 필요한 이유는 보안위협이 .. 2020. 7. 22. 이전 1 다음 728x90