RSA enVision
통합 로그관리 분석 및 보안
2
로그 관리 - 정의
로그 (Log)
• 조직의 시스템 또는 네트워크에서 일어난 이벤트 또는 행위에 대한 기록
• 방화벽 -allow, deny 로그
• 네트웍 - configuration change 로그
• Operating System - system shutdown, startup 로그
• 어플리케이션 - user login, logout 로그
• DB - 주요 자원 query 로그
• 등등…
로그 관리(Log Management)
• 기업 전반에서 발생하는 로그의 수집/저장/분석/관리 하는 총체적인 프로세스
• 보안 시스템
• 네트워크 장비
• Operating System
• 어플리케이션 / DB
• 스토리지
상관관계 분석(Correlation Analysis)
보안 운영
네트웍 운영
시스템 운영
리스크 관리
3
시장 동향
ESM
(Enterprise Security Management)
TMS
(Threat Management System
RMS
(Risk Management System)
• 보안장비 대상, 단순 보안분석 시스템• IT 인프라스트럭쳐 총체적인 관리에는 한계• 시그니처, 룰기반 탐지기법 => 정확도는 높지만,
새로운 보안위협 대응력은 떨어짐
• 보안위협 조기 예/경보 시스템• ESM // FW // IDS // IPS의 솔루션 기반 제품• 트래픽 중심(유해/정상)으로 공격탐지(보안장비 / 시스템 자체의 로그 기반이 아님)
• ESM과 보완관계로 이용
• 관리대상 시스템의 위협분석• 정보시스템의 취약성 및 손실 분석
(위험도 종합 지표 마련)
• 주요자산의 중요도 평가기능• ESM기반 RMS // 스캐너기반 RMS 제품
SIEM
(Security Information and Event Management)
- 전체 시스템 아키텍쳐에 대한 접근 방법론 제시
- 기업 전사적인 이벤트 수집 및 상관관계 분석(보안, 네트웍, 시스템, 어플리케이션, DB, 스토리지)
- 보안운영, IT/NW 운영, 컴플라이언스 규제대응
- 규정화(Normalization), 필터링(Filtering) 없는원본로그 저장 및 분석
- 고정된 경보(Alert), 고정된 레포팅(Report) 이외에,
수시로 변화하는 상황에 맞는 Dynamic Alert,
Dynamic Report 생성
- 전사적인 시스템의 원본로그저장 및 장기간 보관등의 ILM (Information Lifecycle Management) 관리
차세대 보안정보 이벤트관리 솔루션
4
기업 로그관리 현실수많은 로그 데이터 / 저장소의 산재 / 개별 로그 관리
어떻게 모든 로그를 수집 / 분석 / 관리해서기업의 효율적인 운영에 필요한 정보로 변환할 것인가?
Router logs
IDS/IDP logs
VPN logs
Firewall logs
Switch logs
Windows logs
Client & file
server logs
Wireless
access
logs
Windows
domain
logins
Oracle Financial
Logs
San File
Access
Logs
VLAN Access
& Control logs
DHCP logs
Linux, Unix,
Windows OS
logs
Mainframe
logs
Database Logs
Web server
activity logsContent management logs
Web cache & proxy logs
VA Scan logs
인가되지 않은서비스 감지IP Leakage
설정 관리Lockdown enforcement
False Positive
감쇄
접근 제어 적용Privileged User Management
악성 코드 감지Spyware detection
실시간 모니터링Troubleshooting
사용자모니터링 서비스 레벨 준수
모니터링
5
ALL THE DATATM
R S A
보안
운영
로그 관리
IT/NW
운영
컴플라이언스
운영
RSA enVision통합로그관리 = 보안정보.이벤트관리(SIEM)
6
Configuration Changes
0
2
4
6
8
10
12
14
Sat
urda
y, J
anua
ry 0
1, 2
005
Sun
day,
Jan
uary
02,
200
5
Mon
day,
Jan
uary
03,
200
5
Tue
sday
, Ja
nuar
y 04
, 20
05
Wed
nesd
ay,
Janu
ary
05,
2005
Thu
rsda
y, J
anua
ry 0
6, 2
005
Frid
ay,
Janu
ary
07,
2005
Sat
urda
y, J
anua
ry 0
8, 2
005
Sun
day,
Jan
uary
09,
200
5
Mon
day,
Jan
uary
10,
200
5
Tue
sday
, Ja
nuar
y 11
, 20
05
Wed
nesd
ay,
Janu
ary
12,
2005
Thu
rsda
y, J
anua
ry 1
3, 2
005
Frid
ay,
Janu
ary
14,
2005
Sat
urda
y, J
anua
ry 1
5, 2
005
Sun
day,
Jan
uary
16,
200
5
Mon
day,
Jan
uary
17,
200
5
Tue
sday
, Ja
nuar
y 18
, 20
05
Wed
nesd
ay,
Janu
ary
19,
2005
Thu
rsda
y, J
anua
ry 2
0, 2
005
Frid
ay,
Janu
ary
21,
2005
Sat
urda
y, J
anua
ry 2
2, 2
005
Sun
day,
Jan
uary
23,
200
5
Mon
day,
Jan
uary
24,
200
5
Tue
sday
, Ja
nuar
y 25
, 20
05
Wed
nesd
ay,
Janu
ary
26,
2005
Thu
rsda
y, J
anua
ry 2
7, 2
005
Frid
ay,
Janu
ary
28,
2005
Sat
urda
y, J
anua
ry 2
9, 2
005
Sun
day,
Jan
uary
30,
200
5
Mon
day,
Jan
uary
31,
200
5
# o
f Ch
ang
es
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\issmsg.xml.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\issmsg.xml.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.
Juniper: 2005-01-02 02:00:01 - ive - [210.4.75.60] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\nfrnids_verify.dev.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ISS_15806.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_2005.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\issmsg.xml.
Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.
Juniper: 2005-01-02 02:00:01 - ive - [210.4.75.60] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\nfrnids_verify.dev.
Juniper: 2005-01-09 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushieldmsg.xml.
Juniper: 2005-01-09 02:00:04 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_readme.txt.
Juniper: 2005-01-09 02:00:05 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_verify.dev.
Juniper: 2005-01-09 02:00:06 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushieldmsg-12-15-05-04-57.xml.
Juniper: 2005-01-09 02:00:06 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_readme-12-15-05-04-57.txt.
Juniper: 2005-01-09 02:00:07 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_verify-12-15-05-04-57.dev.
Juniper: 2005-01-09 02:00:07 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushieldmsg.xml.
Juniper: 2005-01-09 02:00:08 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_readme.txt.
Juniper: 2005-01-13 13:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_verify.dev.
Juniper: 2005-01-13 13:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxmlmsg.xml.
Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxml_readme-12-16-05-14-25.txt.
Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxml_verify-12-16-05-14-25.dev.
Juniper: 2005-01-16 02:00:03 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxml_verify.dev.
Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\issmsg.xml.
Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_readme.txt.
Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.
Juniper: 2005-01-16 02:00:04 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscopixmsg-12-14-05-06-25.xml.
Juniper: 2005-01-16 02:00:01 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpointmsg.xml.
Juniper: 2005-01-16 02:00:05 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpoint_readme.txt.
Juniper: 2005-01-16 02:00:06 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpoint_verify.dev.
Juniper: 2005-01-16 02:00:07 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpointmsg.xml.
Juniper: 2005-01-16 02:00:07 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpoint_verify.dev.
Juniper: 2005-01-23 02:00:01 - ive - [10.10.30.32] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\sonicwallmsg.xml.
RSA enVisionRaw Data 를 중요한 정보로 변환
7
800개 이상의 엔터프라이즈 및 공공 기관 고객Market Presence
전사적인 통합 로그 관리 및 보안 운영을 위한 정보 관리 플랫폼Vision
Internet Protocol Database™ (IPDB) 특허 출원
필터링 없이 모든 로그 데이터 수집 가능Technology
Technology Partners
- Cisco
- Juniper
- Nortel
- Foundry
- Symantec
- ISS
- McAfee
- Check Point
- RSA
- Microsoft
- Linux / Unix
- Sun / HP
- IBM AS400/Main
- MS Exchange
- Oracle
- MS SQL
- Websense
- Bluecoat
- Apache
- EMC / NetApp
Network Security Operating System Application Other
수상 경력“Leader, 3rd Year in a Row”
“Only vendor with all the data”
“Excellent”
“2005 Appliance bake-off winner”
“Leader”
“Largest Market Presence”
RSA enVision 개요
8
RSA enVisionThe Best Solution in the market place
[ Gartner 자료 ][ Gartner 자료 ]
9
RSA enVision 주요 기능유연하고 효과적인 로그 데이터 수집
뛰어난 데이터 수집 성능
• 로그 수집을 위한 전용 DB 사용 - LogSmart® IPDB™
• 최대 초당 300,000개의 로그 데이터 수집 가능
• 필터링, 정규화, 데이터 감소 없이 모든 데이터 수집
원시 데이터 수집
• 필요에 따라 다양한 목적으로 데이터 활용
• Write Once Read Many (WORM) 디자인을 통해 데이터 무결성 확보
• 법적인 증거 및 포렌식의 증거 자료로 사용
Universal Device Support (UDS)
• 모든 장비를 폭넓게 지원
• 기존 장비를 손쉽게 업데이트 할 수 있는 방법을 제공
• 알려지지 않은 장비로부터도 정확한 데이터를 수집
LogSmart IPDB
10
RSA enVision원본로그 통합 및 상관관계분석 (1)
“공격(Attack)은 일반적으로 ,
기업의 여러 시스템을 경유하면서 ,
모든 시스템에 복합 로그를 생성시키고, 흔적을 남긴다.”
• Time Stamps
• IP addresss
• Event Types
• Boolean logic-driven correlation
• Anomaly-based correlation
• Vulnerability Asset Management
상관관계
분석
- 경보의 False-Positive 감소
- 즉각적인 사고 대응 가능
-------------------------------------------
“개별 시스템의 로그를 통합하여,
가치있고 유용한 정보로 제공”
Event Event Event Event Event EventEvent EventEvent
11
RSA enVision원본로그 통합 및 상관관계분석 (2)
모든 타입의 디바이스 로그를 받을 준비가 되었는가?Legacy Device / Custom Application 로그의 쉬운 연동성?
신규
디바이스 추가
Custom
Application
추가
또는
- Agent 필요한가 // R&D 레벨에서 개발 과정을 거친다면, (???)
: 개발 시간 문제 / 임베디드 Agent 구현 문제 => 언제까지 벤더사 개발에 의존?
모든
타입의
디바이스
- Cisco
- Juniper
- Nortel
- Foundry
- Symantec
- ISS
- McAfee
- Check Point
- RSA
- Microsoft
- Linux / Unix
- Sun / HP
- IBM AS400/Main
- MS Exchange
- Oracle
- MS SQL
- Websense
- Bluecoat
- Apache
- EMC / NetApp
Network SecurityOperating
System Application Storage/Other
- 사용자 레벨에서 디바이스 구분 및 로그 메세지 타입 정의가 가능하다면,
: 원본로그 수집 후,
: 사용자 레벨의 디바이스 및 메세지 구분
: 이후부터, 로그 자동 분류
OK
12
RSA enVision 통합로그 수집 및 캡쳐 부문
대용량 로그 수집에 대한 고려사항
0
50
100
150
200
250
GBs Per Day
1000 EPS 5000 EPS 10,000 EPS
Events Per Second (EPS)
데이터 저장 공간
RDBMS LogSmart IPDB
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
(EPS)
System Performance
데이터 수집 성능
RDBMS LogSmart IPDB
원본로그 + 압축수행(75%~90%)
Storage 비용 절감 고려
필터링, 정규화, 데이터 감소없이
원본로그 수집성능 최대화 고려
13
RSA enVision 통합 원본로그 정보수명주기 관리
로그 정보수명주기정책 적용가능 여부 확인(ILM – Information Lifecycle Management)
수집 압축 보호 폐기보존온라인
저장
[ 로그 저장 및 보존 정책 설정 필요컴플라이언스 이슈 ]
보존 정책
Near-line Storage
로그 관리 온라인 정책 (1 년)
On-line Storage
- Frequent Access- Ready Access- Real-time Monitoring- Production Log Data
- Active Archive Data- Backup Data
14
RSA enVision 제품 라이센스 정책고객 환경에 적합한 다양한 모델 지원
EPS
500
1000
2500
5000
10000
30000
# DEVICES
7500
300,000
100 200 400 750 1250 1500 2048 30,000
15
RSA enVision – 활용 방안“3-in-1” log management platform
보안 운영(Security) 규제 대응(Compliance) IT & Network 운영
접근 권한 통제
SLA 준수여부 모니터링
실시간 경보
오탐 방지
특수 사용자 모니터링
비인가 네트워크 서비스감지
접근 통제
시스템 구성 통제
악의적인 소프트웨어 탐지
보안 정책 적용
사용자 모니터링 및 관리
시스템 환경 및 전송 보안
PCI, SOX, HIPPA,
FISMA 등에 대응하는다양한 리포트 제공
네트워크 문제 해결
Helpdesk 운영 지원
특정 사용자 행동 모니터링
시스템 구성 관리
네트워크 자산 모니터링
네트워크 운영 최적화
보안팀과 IT팀의 협업 지원
문제 분석 시간 단축
Simplify Compliance
Enhance Security & Mitigate Risk
Optimize IT & Network Operations
16
New Title – Head of Security event management
17
RSA enVision국내 S 대학교 – 도입배경
모든 이벤트
원시로그 형태
보관 시스템 부재
대량의 트래픽
실시간
분석 시스템 부재
20 Gbps
인터넷 관문
방화벽 운영
과거 특정시간의
이벤트 과부하
탐지 불가능
긴급상황 발생시
원인파악 및
긴급 조치 불가능
과부하 트래픽
긴급 상황 발생
대량의 이벤트
처리 성능
필요성 대두
초당 이벤트 수
10,000 ~ 30,000
EPS 처리 필요
로그/이벤트 수집
성능 이슈
이기종 이벤트
취합 및
상호 연관성
분석 시스템 부재
임베디드 장비
II
로그수집 Agent
설치 불가능
이기종 / 임베디드
장비 운영에 의한
이슈
도
입
배
경모든로그
모든장비
수집저장
경보레포팅
고성능
분석관리
18
RSA enVision국내 S 대학교 - 도입 효과 및 향후 계획
보안사고 발생시, 분석 자료로 활용
비인가자의 시스템 접속 인지 후, 경보 발생 및 관리자의신속한 접속 차단 및 예방 조치 근거 제시
시스템별 접근기록 점검 및 비인가자의 동향 분석
위협정보 분석기능 강화로, 학내 정보 자산의 안정성 확보
손실없는 원시로그 장기간 보관
도 입 효 과
주요 서버 로그 수집 계획
보안장비 및 주요서버 로그의 상관 분석 계획
정보통신망 이용정보 및 이력 관리의 체계화 계획
학내망 전체 시스템에 대한 로그수집 로드맵 수립
enVision 확장 로드맵 수립
향 후 계 획
확장의 편리성확보
최대 성능확보 및
편리한 시스템 확장 가능Local Collector Local Collector
Application 서버
Data 서버
Local Collector
Storage
19
RSA enVision국내 S 화재보험사 – 도입 효과
Application 서버
Data 서버
Local Collector
NAS
스토리지
Agentless 방식의 로그 수집 !!!
전체 4,700 여대의 이기종시스템 원본로그의
중앙집중 수집 및 상호 Correlation 분석 !!
UDS(Universal Device Support) 기능 제공으로
별도의 연동관련 개발이슈 Zero !!!
NW / Security 통합 운영 및 TCO 절감 !!!
조건별 Dynamic Custom Reporting 생성 !!!
20
Thank you!