MOS Asia Co., Ltd.
Download
Report
Transcript MOS Asia Co., Ltd.
Splunk를 활용한 상관 분석 사례 모음
2011. 08, MOS Asia, Korea
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
인프라 장애 원인 분석
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
POC : 주요 기능 범위(분석, 알람, 리포팅)
▼ 검색 및 분석
운용
데이터
Messages
Splunk 엔진
분석
RAW
DATA
Raw Log
▼ 이벤트 및 알람 생성
Web / WAS
데이터
알람
보안 / 기타
데이터
▼ 통계, 리포팅 분석
Metrics
Scripts
Terabytes
데이터
리포팅
Raw Data
수집
Universal Index
다양한 포맷의 Raw데이터를
추가적인 parse rule없이 원
데이터 포맷 그대로 흡수하여
자동 Indexing 합니다.
© Copyright 2011 – Company Confidential
수집된 데이터는 자동으로 여러
패턴이 인식되고 Splunk특화 10:1
압축 포맷으로 저장, 인덱싱 됩니다.
Splunk엔진 검색을 통해 결과를 분석, 알람
생성, 리포팅 또는 타 시스템 연동
미들웨어를 통해 각기 다른 특화
데이터 처리 기능을 제공 합니다.
MOS Co., Ltd.
POC : 장애 원인 분석
Step 1 - 현황판 상에서 장애 인지
현황판상에서 장애를 인지하고 클릭하여
세부적인 장애 분석을 진행 한다.
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
POC : 장애 원인 분석
Step 2 - 문제 분석을 위해 Forensics 모드로 변환
포렌식 모드로 들어오면 해당
Transaction 장애 의 내역을 발생한
시점으로 확대하여 해당
Transaction발생 순간의 상관관계
분석을 위해 초 단위로 확대한다.
현황판상에서 장애를 인지하고 클릭하여
세부적인 장애 분석을 진행 한다.
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
POC : 장애 원인 분석
Step 3 – 동일한 시점때 따른 연관성 있는 시스템 및 서비스 로그의 분석
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
POC : 장애 원인 분석
Step 4 – 상관 관계 인지 및 분석
장애 시점에 같이 발생된 연관된 시스템,
애플리케이션의 에러 발생여부 인지. 이
후 세부 관계 시스템의 로그 현황 및
빈도수 분석.
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
POC : 장애 원인 분석
Step 5 – 세부 상관된 이벤트 분석
Database의 용량 문제 확인, DB
Space초가로 인한 신규 Transaction
처리 불가 판단
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
Advanced Persistent Threats 추적
(보안 : APT공격 추적 시나리오)
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
Advanced Persistent Threats의 인지
•
Splunk 는 APT 인지를 위하여 네트워크데이터 및
호스트 파일 무결성관리 데이터의 조합으로 분석모니터 할 수 있는강력한 Co-relation
엔진을 제공 합니다.
• Splunk는고유잠재적인공격을분석하는데필요한
긴기간의“Big Data” 수집및처리를지원하여방대한
양의데이터분석의요구사항을허락합니다.
• Splunk의분석과수치적분석
Function기능은 임계값을적용복잡한검색을만드는
데사용합니다.
Window서비스를 사용하는
Persistence Threat의추이
10
MOS Asia Co., Ltd.
APT 유형 분석의 기법 1
방화벽
IPS / IDS
CERT
공격
내부망
APT 우선 관리 대상
131.178.233.243
128.241.220.82
12.130.60.5
141.146.8.66
130.253.37.97
Hacker
3차 Virus와 Malware 비교 분석
결과
131.178.233.243
128.241.220.82
12.130.60.4
125.17.14.100
201.42.223.29
217.197.192.20
89.167.143.32
217.132.169.69
217.197.192.20
89.167.143.32
217.132.169.69
2 차 Windows Host Registry 비교
69.80.0.18
분석 Match결과
1 차 Recon 호스트 리스트
11
MOS Asia Co., Ltd.
APT 유형 분석의 기법 1
•
Advance 이벤트 Co-relation 기능으로 Behavior 분석을 합니다.
일
1
2
3
BAD
IP
4
5
6
BAD
IP
BAD
IP
7
8
9
10
BAD
IP
BAD
IP
BAD
IP
11
12
13
14
13
BAD
IP
일일 탐지 List
1차 : 공격의 페턴의
기간을 인지 Factor로
적용
IP : 201.42.223.29
적용 임계치 > 3개월
2차 : Deny에서 Accept의 페턴 분석
동일한 IP가 시작 페턴 “Deny” 가 “Allow”
변하되 이벤트 묶음 분석
MOS Asia Co., Ltd.
Splunk APT 유형 분석 절차- 1 단계
1단계 : 매일 SRC, DEST, PORT의 조합 트레픽 분석 결과를 다시 SUM Index에 저장한다.
Splunk 일일 검색 방법:
eventtype="cisco_firewall" | strcatsrc_ip"--->" dest_ip" Port : "
dest_portsrc_dest_port| stats count by src_dest_port
일일 SUM
Index
MOS Asia Co., Ltd.
Splunk APT 유형 분석 절차- 2 단계
2단계 : 지난 60일간을 대상을 일일 Capture되어 있는 Session통계를 분석 신규 동일 SRC
와 DEST의 Session중 총 합이 10일 이상 접근한 대상 분석
일일 SUM
Index
Day -60
Day -59
Day -58 ~ -3
Day -2
Day -1
상위 장기간 특정 HOST 및 서비스 접근 위험군
Splunk 일일 검색 방법:
eventtype=“day_capture" | stats count by src_dest_port|
search count > 10
MOS Asia Co., Ltd.
E-Mail 트랜젝션 추적
© Copyright 2011 – Company Confidential
MOS Co., Ltd.
Validate Email Transaction Status
Tracking email transaction across different
components across the infrastructure
Anti-Spam Mail Server
[email protected], Message Accepted,
Transaction_ID_23
Sendmail Server
Transaction_ID_23 | Order Shipped |
Shipped_ID_35
Exchange Server
Anti-Spam
Mail Server
Sendmail
Server
Shipped_ID_35 ; Message Queued; Queue_ID_9
Exchange
Server
16
MOS Asia Co., Ltd.