RSA enVision 통합로그관리분석및보안 · • 어플리케이션 - user login, logout 로그 ... •시그니처, 룰기반탐지기법=> 정확도는높지만, ... 뛰어난데이터수집성능

RSA enVision

통합 로그관리 분석 및 보안

2

로그 관리 - 정의

로그 (Log)

• 조직의 시스템 또는 네트워크에서 일어난 이벤트 또는 행위에 대한 기록

• 방화벽 -allow, deny 로그

• 네트웍 - configuration change 로그

• Operating System - system shutdown, startup 로그

• 어플리케이션 - user login, logout 로그

• DB - 주요 자원 query 로그

• 등등…

로그 관리(Log Management)

• 기업 전반에서 발생하는 로그의 수집/저장/분석/관리 하는 총체적인 프로세스

• 보안 시스템

• 네트워크 장비

• Operating System

• 어플리케이션 / DB

• 스토리지

상관관계 분석(Correlation Analysis)

보안 운영

네트웍 운영

시스템 운영

리스크 관리

3

시장 동향

ESM

(Enterprise Security Management)

TMS

(Threat Management System

RMS

(Risk Management System)

• 보안장비 대상, 단순 보안분석 시스템• IT 인프라스트럭쳐 총체적인 관리에는 한계• 시그니처, 룰기반 탐지기법 => 정확도는 높지만,

새로운 보안위협 대응력은 떨어짐

• 보안위협 조기 예/경보 시스템• ESM // FW // IDS // IPS의 솔루션 기반 제품• 트래픽 중심(유해/정상)으로 공격탐지(보안장비 / 시스템 자체의 로그 기반이 아님)

• ESM과 보완관계로 이용

• 관리대상 시스템의 위협분석• 정보시스템의 취약성 및 손실 분석

(위험도 종합 지표 마련)

• 주요자산의 중요도 평가기능• ESM기반 RMS // 스캐너기반 RMS 제품

SIEM

(Security Information and Event Management)

- 전체 시스템 아키텍쳐에 대한 접근 방법론 제시

- 기업 전사적인 이벤트 수집 및 상관관계 분석(보안, 네트웍, 시스템, 어플리케이션, DB, 스토리지)

- 보안운영, IT/NW 운영, 컴플라이언스 규제대응

- 규정화(Normalization), 필터링(Filtering) 없는원본로그 저장 및 분석

- 고정된 경보(Alert), 고정된 레포팅(Report) 이외에,

수시로 변화하는 상황에 맞는 Dynamic Alert,

Dynamic Report 생성

- 전사적인 시스템의 원본로그저장 및 장기간 보관등의 ILM (Information Lifecycle Management) 관리

차세대 보안정보 이벤트관리 솔루션

4

기업 로그관리 현실수많은 로그 데이터 / 저장소의 산재 / 개별 로그 관리

어떻게 모든 로그를 수집 / 분석 / 관리해서기업의 효율적인 운영에 필요한 정보로 변환할 것인가?

Router logs

IDS/IDP logs

VPN logs

Firewall logs

Switch logs

Windows logs

Client & file

server logs

Wireless

access

logs

Windows

domain

logins

Oracle Financial

Logs

San File

Access

Logs

VLAN Access

& Control logs

DHCP logs

Linux, Unix,

Windows OS

logs

Mainframe

logs

Database Logs

Web server

activity logsContent management logs

Web cache & proxy logs

VA Scan logs

인가되지 않은서비스 감지IP Leakage

설정 관리Lockdown enforcement

False Positive

감쇄

접근 제어 적용Privileged User Management

악성 코드 감지Spyware detection

실시간 모니터링Troubleshooting

사용자모니터링 서비스 레벨 준수

모니터링

5

ALL THE DATATM

R S A

보안

운영

로그 관리

IT/NW

운영

컴플라이언스

운영

RSA enVision통합로그관리 = 보안정보.이벤트관리(SIEM)

6

Configuration Changes

0

2

4

6

8

10

12

14

Sat

urda

y, J

anua

ry 0

1, 2

005

Sun

day,

Jan

uary

02,

200

5

Mon

day,

Jan

uary

03,

200

5

Tue

sday

, Ja

nuar

y 04

, 20

05

Wed

nesd

ay,

Janu

ary

05,

2005

Thu

rsda

y, J

anua

ry 0

6, 2

005

Frid

ay,

Janu

ary

07,

2005

Sat

urda

y, J

anua

ry 0

8, 2

005

Sun

day,

Jan

uary

09,

200

5

Mon

day,

Jan

uary

10,

200

5

Tue

sday

, Ja

nuar

y 11

, 20

05

Wed

nesd

ay,

Janu

ary

12,

2005

Thu

rsda

y, J

anua

ry 1

3, 2

005

Frid

ay,

Janu

ary

14,

2005

Sat

urda

y, J

anua

ry 1

5, 2

005

Sun

day,

Jan

uary

16,

200

5

Mon

day,

Jan

uary

17,

200

5

Tue

sday

, Ja

nuar

y 18

, 20

05

Wed

nesd

ay,

Janu

ary

19,

2005

Thu

rsda

y, J

anua

ry 2

0, 2

005

Frid

ay,

Janu

ary

21,

2005

Sat

urda

y, J

anua

ry 2

2, 2

005

Sun

day,

Jan

uary

23,

200

5

Mon

day,

Jan

uary

24,

200

5

Tue

sday

, Ja

nuar

y 25

, 20

05

Wed

nesd

ay,

Janu

ary

26,

2005

Thu

rsda

y, J

anua

ry 2

7, 2

005

Frid

ay,

Janu

ary

28,

2005

Sat

urda

y, J

anua

ry 2

9, 2

005

Sun

day,

Jan

uary

30,

200

5

Mon

day,

Jan

uary

31,

200

5

# o

f Ch

ang

es

Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.

Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\issmsg.xml.




Juniper: 2005-01-02 02:00:01 - ive - [210.4.75.60] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\nfrnids_verify.dev.

Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ISS_15806.

Juniper: 2005-01-02 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_2005.



Juniper: 2005-01-02 02:00:01 - ive - [210.4.75.60] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\nfrnids_verify.dev.

Juniper: 2005-01-09 02:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushieldmsg.xml.

Juniper: 2005-01-09 02:00:04 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_readme.txt.

Juniper: 2005-01-09 02:00:05 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_verify.dev.

Juniper: 2005-01-09 02:00:06 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushieldmsg-12-15-05-04-57.xml.

Juniper: 2005-01-09 02:00:06 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_readme-12-15-05-04-57.txt.

Juniper: 2005-01-09 02:00:07 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_verify-12-15-05-04-57.dev.

Juniper: 2005-01-09 02:00:07 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushieldmsg.xml.

Juniper: 2005-01-09 02:00:08 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_readme.txt.

Juniper: 2005-01-13 13:00:01 - ive - [203.82.192.226] ntoss\buddin(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\intrushield_verify.dev.

Juniper: 2005-01-13 13:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxmlmsg.xml.

Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxml_readme-12-16-05-14-25.txt.

Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxml_verify-12-16-05-14-25.dev.

Juniper: 2005-01-16 02:00:03 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscoidsxml_verify.dev.

Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\issmsg.xml.

Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_readme.txt.

Juniper: 2005-01-16 02:00:01 - ive - [10.10.30.42] ntoss\jhart(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\iss_verify.dev.

Juniper: 2005-01-16 02:00:04 - ive - [203.82.192.226] ntoss\aislam(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\ciscopixmsg-12-14-05-06-25.xml.

Juniper: 2005-01-16 02:00:01 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpointmsg.xml.

Juniper: 2005-01-16 02:00:05 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpoint_readme.txt.

Juniper: 2005-01-16 02:00:06 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpoint_verify.dev.

Juniper: 2005-01-16 02:00:07 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpointmsg.xml.

Juniper: 2005-01-16 02:00:07 - ive - [207.190.229.140] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\tippingpoint_verify.dev.

Juniper: 2005-01-23 02:00:01 - ive - [10.10.30.32] ntoss\dolsen(ArrAy)[ArrAy] - Deleted Windows file \\wa1-clearcase\pub\sonicwallmsg.xml.

RSA enVisionRaw Data 를 중요한 정보로 변환

7

800개 이상의 엔터프라이즈 및 공공 기관 고객Market Presence

전사적인 통합 로그 관리 및 보안 운영을 위한 정보 관리 플랫폼Vision

Internet Protocol Database™ (IPDB) 특허 출원

필터링 없이 모든 로그 데이터 수집 가능Technology

Technology Partners

- Cisco

- Juniper

- Nortel

- Foundry

- Symantec

- ISS

- McAfee

- Check Point

- RSA

- Microsoft

- Linux / Unix

- Sun / HP

- IBM AS400/Main

- MS Exchange

- Oracle

- MS SQL

- Websense

- Bluecoat

- Apache

- EMC / NetApp

Network Security Operating System Application Other

수상 경력“Leader, 3rd Year in a Row”

“Only vendor with all the data”

“Excellent”

“2005 Appliance bake-off winner”

“Leader”

“Largest Market Presence”

RSA enVision 개요

8

RSA enVisionThe Best Solution in the market place

[ Gartner 자료 ][ Gartner 자료 ]

9

RSA enVision 주요 기능유연하고 효과적인 로그 데이터 수집

뛰어난 데이터 수집 성능

• 로그 수집을 위한 전용 DB 사용 - LogSmart® IPDB™

• 최대 초당 300,000개의 로그 데이터 수집 가능

• 필터링, 정규화, 데이터 감소 없이 모든 데이터 수집

원시 데이터 수집

• 필요에 따라 다양한 목적으로 데이터 활용

• Write Once Read Many (WORM) 디자인을 통해 데이터 무결성 확보

• 법적인 증거 및 포렌식의 증거 자료로 사용

Universal Device Support (UDS)

• 모든 장비를 폭넓게 지원

• 기존 장비를 손쉽게 업데이트 할 수 있는 방법을 제공

• 알려지지 않은 장비로부터도 정확한 데이터를 수집

LogSmart IPDB

10

RSA enVision원본로그 통합 및 상관관계분석 (1)

“공격(Attack)은 일반적으로 ,

기업의 여러 시스템을 경유하면서 ,

모든 시스템에 복합 로그를 생성시키고, 흔적을 남긴다.”

• Time Stamps

• IP addresss

• Event Types

• Boolean logic-driven correlation

• Anomaly-based correlation

• Vulnerability Asset Management

상관관계

분석

- 경보의 False-Positive 감소

- 즉각적인 사고 대응 가능

-------------------------------------------

“개별 시스템의 로그를 통합하여,

가치있고 유용한 정보로 제공”

Event Event Event Event Event EventEvent EventEvent

11

RSA enVision원본로그 통합 및 상관관계분석 (2)

모든 타입의 디바이스 로그를 받을 준비가 되었는가?Legacy Device / Custom Application 로그의 쉬운 연동성?

신규

디바이스 추가

Custom

Application

추가

또는

- Agent 필요한가 // R&D 레벨에서 개발 과정을 거친다면, (???)

: 개발 시간 문제 / 임베디드 Agent 구현 문제 => 언제까지 벤더사 개발에 의존?

모든

타입의

디바이스

- Cisco

- Juniper

- Nortel

- Foundry

- Symantec

- ISS

- McAfee

- Check Point

- RSA

- Microsoft

- Linux / Unix

- Sun / HP

- IBM AS400/Main

- MS Exchange

- Oracle

- MS SQL

- Websense

- Bluecoat

- Apache

- EMC / NetApp

Network SecurityOperating

System Application Storage/Other

- 사용자 레벨에서 디바이스 구분 및 로그 메세지 타입 정의가 가능하다면,

: 원본로그 수집 후,

: 사용자 레벨의 디바이스 및 메세지 구분

: 이후부터, 로그 자동 분류

OK

12

RSA enVision 통합로그 수집 및 캡쳐 부문

대용량 로그 수집에 대한 고려사항

0

50

100

150

200

250

GBs Per Day

1000 EPS 5000 EPS 10,000 EPS

Events Per Second (EPS)

데이터 저장 공간

RDBMS LogSmart IPDB

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

10,000

(EPS)

System Performance

데이터 수집 성능

RDBMS LogSmart IPDB

원본로그 + 압축수행(75%~90%)

Storage 비용 절감 고려

필터링, 정규화, 데이터 감소없이

원본로그 수집성능 최대화 고려

13

RSA enVision 통합 원본로그 정보수명주기 관리

로그 정보수명주기정책 적용가능 여부 확인(ILM – Information Lifecycle Management)

수집 압축 보호 폐기보존온라인

저장

[ 로그 저장 및 보존 정책 설정 필요컴플라이언스 이슈 ]

보존 정책

Near-line Storage

로그 관리 온라인 정책 (1 년)

On-line Storage

- Frequent Access- Ready Access- Real-time Monitoring- Production Log Data

- Active Archive Data- Backup Data

14

RSA enVision 제품 라이센스 정책고객 환경에 적합한 다양한 모델 지원

EPS

500

1000

2500

5000

10000

30000

# DEVICES

7500

300,000

100 200 400 750 1250 1500 2048 30,000

15

RSA enVision – 활용 방안“3-in-1” log management platform

보안 운영(Security) 규제 대응(Compliance) IT & Network 운영

접근 권한 통제

SLA 준수여부 모니터링

실시간 경보

오탐 방지

특수 사용자 모니터링

비인가 네트워크 서비스감지

접근 통제

시스템 구성 통제

악의적인 소프트웨어 탐지

보안 정책 적용

사용자 모니터링 및 관리

시스템 환경 및 전송 보안

PCI, SOX, HIPPA,

FISMA 등에 대응하는다양한 리포트 제공

네트워크 문제 해결

Helpdesk 운영 지원

특정 사용자 행동 모니터링

시스템 구성 관리

네트워크 자산 모니터링

네트워크 운영 최적화

보안팀과 IT팀의 협업 지원

문제 분석 시간 단축

Simplify Compliance

Enhance Security & Mitigate Risk

Optimize IT & Network Operations

16

New Title – Head of Security event management

17

RSA enVision국내 S 대학교 – 도입배경

모든 이벤트

원시로그 형태

보관 시스템 부재

대량의 트래픽

실시간

분석 시스템 부재

20 Gbps

인터넷 관문

방화벽 운영

과거 특정시간의

이벤트 과부하

탐지 불가능

긴급상황 발생시

원인파악 및

긴급 조치 불가능

과부하 트래픽

긴급 상황 발생

대량의 이벤트

처리 성능

필요성 대두

초당 이벤트 수

10,000 ~ 30,000

EPS 처리 필요

로그/이벤트 수집

성능 이슈

이기종 이벤트

취합 및

상호 연관성

분석 시스템 부재

임베디드 장비

II

로그수집 Agent

설치 불가능

이기종 / 임베디드

장비 운영에 의한

이슈

도

입

배

경모든로그

모든장비

수집저장

경보레포팅

고성능

분석관리

18

RSA enVision국내 S 대학교 - 도입 효과 및 향후 계획

보안사고 발생시, 분석 자료로 활용

비인가자의 시스템 접속 인지 후, 경보 발생 및 관리자의신속한 접속 차단 및 예방 조치 근거 제시

시스템별 접근기록 점검 및 비인가자의 동향 분석

위협정보 분석기능 강화로, 학내 정보 자산의 안정성 확보

손실없는 원시로그 장기간 보관

도 입 효 과

주요 서버 로그 수집 계획

보안장비 및 주요서버 로그의 상관 분석 계획

정보통신망 이용정보 및 이력 관리의 체계화 계획

학내망 전체 시스템에 대한 로그수집 로드맵 수립

enVision 확장 로드맵 수립

향 후 계 획

확장의 편리성확보

최대 성능확보 및

편리한 시스템 확장 가능Local Collector Local Collector

Application 서버

Data 서버

Local Collector

Storage

19

RSA enVision국내 S 화재보험사 – 도입 효과

Application 서버

Data 서버

Local Collector

NAS

스토리지

Agentless 방식의 로그 수집 !!!

전체 4,700 여대의 이기종시스템 원본로그의

중앙집중 수집 및 상호 Correlation 분석 !!

UDS(Universal Device Support) 기능 제공으로

별도의 연동관련 개발이슈 Zero !!!

NW / Security 통합 운영 및 TCO 절감 !!!

조건별 Dynamic Custom Reporting 생성 !!!

20

Thank you!

Documents

RSA enVision 통합로그관리분석및보안 · • 어플리케이션 - user login, logout 로그 ... •시그니처, 룰기반탐지기법=> 정확도는높지만, ... 뛰어난데이터수집성능