스플렁크(Splunk)를 통한 APT공격 분석 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.03.04 13:47 / 카테고리 :




스플렁크를 통한 APT공격 상관분석

스플렁크를 통해서 최근 정보보안의 큰 이슈인 APT 공격에 대한 상관분석을 할 수 있습니다. Splunk 는 APT 인지를 위하여 네트워크 데이터 및 호스트 파일 무결성 관리 데이터의 조합으로 분석 모니터 할 수 있는 강력한 Co-Relation 엔진을 제공합니다. 




Splunk는 고유 잠재적인 공격을 분석 하는데 필요한 긴 기간의 “Big Data” 수집 및 처리를 지원하여 방대한 양의 데이터 분석의 요구사항을 수용 할 수 있습니다. 


Splunk의 분석과 수치적 분석 Function 기능은 임계 값을 적용 복잡한 검색을 만드는 데 사용 합니다.





스플렁크를 통한 APT공격 분석방법 : 상관분석

데이터 상관분석을 통해서 방화벽, IPS, DDOS 장비에서 발견된 IP가 내부 웹서버, 파일 서버, 바이러스월에서 발견되는지 추적하여 요주의 IP를 선정하여 관리하며, 요주의 IP가 특정서버에 접속할 시에 접속을 차단합니다.


[APT 공격 분석 방법 : 데이터 상관분석]








스플렁크를 통한 APT공격 분석 방법 : 장기간 빅데이터 상관 분석

해킹시도 시에 포트 스캔을 하게 되는데 포트스캔 시 방화벽에서 Deny된 IP가 시간이 지난 후에 다시 Allow로 내부로 접속되는 경우를 검색하여 횟수가 많아질 경우 요주의 IP로 관리하고 특정서버 접속 시에 차단합니다.



방화벽에서 DenyIP가 시간이 지난 후에 다시 Allow로 내부로 접속되는 경우를 매일 검색하여 관리하고 3-6개월 사이에 이러한 경우의 횟수가 많아질 경우를 실시간으로 검색 및 분석합니다.




▶ 장기간 빅데이터 상관 분석 (Phase 1st)

방화벽에서 Deny된 IP가 시간이 지난 후에 다시 Allow로 내부로 접속되는 경우를 매일 검색합니다.





▶ 장기간 빅데이터 상관 분석 (Phase 2nd)

3-6개월 사이에 이러한 경우의 횟수가 많아질 경우를 실시간으로 검색 및 분석합니다.






스플렁크를 통한 어드밴드 분석 : 실시간 임팩트 분석

내부의 호스트중에 공격당하는 호스트들을 실시간으로 검색 및 분석합니다.




공격 시도중인 IP에 대해 공격IP와 목적지 IP를 페어로 실시간으로 모니터링합니다.






스플렁크 대시보드를 통한 보안 위협관리

스플렁크 대시보드에서는 보안 위협표시 라이브러리와 위협 상태 표시기를 통해 비정상적인 패턴을 한눈에 감지할 수 있습니다.


1. 보안 위협표시 라이브러리 제공

- 100가지 이상의 사용가능한 키 보안 표시기를 제공합니다.

- 허용 값인지 아닌지를 나타내는 각 메트릭에 대한 임계 값을 설정할 수 있습니다.

- 정의 된 임계 값을 기반으로 색상 변경을 통해 상태를 쉽게 판단할 수 있습니다.

- 수치가 좋은 영향을 끼치는지 아닌지를 판단할 수 있는 설명을 지원합니다.

- 더 많은 정보를 제공하는 대시보드 메트릭에서 드릴 다운이 가능합니다.





2. 보안 위협표시 라이브러리 제공
- 자산 및 디렉터리 또는 ID 기반으로 비정상적인 행동 패턴을 검색할 수 있습니다.
- 고객이 이벤트를 시간 동기화 과정에서 사전에 결정할 수 있습니다.



스플렁크 솔루션에 대한 다양한 견적 및 기능 문의는 아래의 아이마켓코리아 IT 솔루션 담당자에게 연락주시면 친절한 컨설팅을 받으실 수 있습니다.


APT공격, 스플렁크, Splunk, 데이터분석, 보안솔루션, 빅데이터 솔루션, 상관분석, 보안 위협 탐지, APT, 아이마켓 빅데이터솔루션, 아이마켓코리아 스플렁크, 인덱싱, 상관분석, 데이터 분석 엔진, 스플렁크 라이브, 빅데이터 교육, Advanced Persistent Threat



| 제품 구입 및 견적문의 |
(주) 아이마켓코리아

윤 용 비

대리 │ IT 솔루션 영업팀

TEL +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,295
  • 오늘 : 54
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.