Transcript 2. 제공 기능
ArcSight ESM 표준제안서 2012. 4 ㈜ 투비닉스 목차 1. 제안 개요 1.1 제안 목표 1.2 제안시스템 특징 및 장점 1.3 기대 효과 2. 제공 기능 2.1 시스템 구성도 2.2 제안시스템 기능 2.3 보안시스템 연동 방안 3. 교육 및 유지보수 3.1 교육 3.2 기술지원 및 유지보수 -2- 1. 제안 개요 1.1 제안 목표 본 제품의 제안은 대 고객 주요업무를 수행하는데 있어 신뢰성과 안정성을 확보할 수 있도록 고객사의 각종 업무시스템 및 관리자원에 대한 보안성을 강화하고 관리효율성을 높이는데 목표를 두고 있습니다. 제안사는 목표에 맞는 통합로그분석관리시스템의 구축을 위해 필요한 최적의 소프트웨어를 선정하고 납기 내에 성공적인 시스템을 구축할 수 있도록 원활한 기술지원을 실시하여 기술변화, 환경 변화 등에 유연하게 대처할 수 있는 안전하고 신뢰받는 시스템을 구축하고자 합니다. 제안의 목표 지속적 예방으로 사고발생 최소화 보안역량 강화로 안정적 서비스 정확, 신속한 탐지체계 구현 전문성을 바탕으로 사이버 방어 고도화 지능화, 전문화 된 사이버 위협에 대해 체계적, 전문화 된 관리시스템 구축 관리/운영 단위솔루션 개별 대응이 아닌 통합관리를 통한 운영 효율성 확보 로그분석을 통한 운영수준 향상 저장된 로그데이터를 바탕으로 규제보고서 등 다양한 자료로 활용 보안사고 예방/탐지 분석/대응 네트워크, 정보시스템, DB 및 어플리케이션에 대한 상시 모니터링 체계 24시간 365일 침해 대응 기반시스템 구축 필요 시 요구사항에 맞는 행위추적/분석 시스템 구축 이상 상황 발생 시 경보 및 자동 대응 시스템 구축 수천만 보안로그로 부터 시나리오 설정을 통한 의미 있는 상황 도출 보안서비스 통합, 업무처리 절차 자동화로 생산성 강화 -3- 1. 제안 개요 1.2 제안시스템 특징 및 장점 ArcSight ESM은 8년 연속 가트너 그룹이 선정한 SIEM(보안정보이벤트 통합관리)분야 최고의 제품으로 전 세계 시장점유율 1위의 제품입니다. 타 제품과의 차별성 있는 강력한 상호연관분석 기능과 사용자가 필요에 따라 손쉽게 작성하고 분석에 활용할 수 있는 유연한 사용자 관리화면 등 최고의 제품기능을 제공합니다. ArcSight ESM 특징 사용자에 맞게 조정할 수 있는 아키텍처 데이터를 100% 취합하여 정규화 자산/취약점/이벤트 정보를 통한 삼차원적 상관관계 분석 확장성 있는 분류 기법에 근거한 장치 독립적인 상관분석 유연성 사용자가 손쉽게 작성할 수 있는 관리 자원 직관적인 레포팅/저작 툴 환경에 자유자재로 출력할 수 있는 아키텍처 정보 분석력 ArcSight 특징 다양화 상관분석 연계 장비 다양화를 통한 데이터 정보 수집력 업무상의 영향력 분석 카데고리화 및 자산정보의 관련성을 통한 업무상의 영향력 분석 -4- 1. 제안 개요 1.3 기대 효과 차별화되고 검증된 솔루션과 서비스, 최고의 인력투입을 통해 완벽하게 통합로그분석관리시스템을 구축함으로써, 로그자료의 체계적 관리를 통한 사고 발생시 신속한 원인규명 및 재발방지, 회사주요 정보의 유출위험을 사전에 예측하고 실시간 분석 가능한 시스템을 구현하도록 제공합니다. 기대 효과 안전하고 신뢰받는 통합로그분석관리시스템 구현 비전 기대효과 역할 해킹, 장애 발생시 신속한 원인규명 및 재발방지 주요정보의 유출위험 사전예측, 피해 최소화 보안관리 수준 극대화 로그관리 비용 절감 사이버보안 사고 분석/대응 사이버보안 사고 탐지 사이버보안 사고 예방 관리시스템 공동활용 보안사고 분석, 조치, 복구 및 재발방지 대축 수립 보안사고 발생을 24시간 365일 실시간으로 탐지 IT 자원에 대한 보안 위험요소를 사전에 제거 차별화된 핵심 성공요소를 통해 본 프로젝트를 수행 -5- 단위시스템 별 로그관리 통합 2. 제공 기능 2.1 시스템 구성도 ArcSight ESM은 매니저, 에이전트, 데이터베이스, 콘솔로 구성됩니다. 매니저는 분석과 워크플로우를 처리하고 에이전트는 데이터 수집, 고성능의 이벤트 전달, 완벽한 정보처리를 수행합니다. 관계형 데이터베이스에 수집된 이벤트, 사용자, 그룹, 권한, 규칙, 자산, 보고서 등 보안관리 구성정보가 저장되며, 사용자는 콘솔을 통해 직관적 관리, 다양한 그래픽 뷰, 상세 조사/분석 등의 보안관제 업무를 수행합니다. ArcSight ESM 구성도 정규화 범주화 장비 이벤트 로그 지식기반 보안관리 관리자 GUI 상관분석 상황판 ArcSight Connector ArcSight Manager 이벤트 조사 … … … … Embedded DB -6- 리포트 ArcSight Console 2. 제공 기능 2.2 제안시스템 기능 2.2.1 다양한 방식의 로그 수집 ArcSight ESM은 SNMP, Syslog, ODBC, LEA, LogFile(FTP,SFTP) 등과 같은 원격 로그 프로토콜을 지원하여 운영 시스템에 영향을 미치지 않고 원격지에서 로그 수집이 가능합니다. 또한 고객사의 비정형 장비에 대해서도 FlexAgent라는 툴킷을 사용하여 연동을 지원하며 로그 수집 시 정규화 및 원본 형태로 저장할 수 있습니다. 로그 수집 Firewall & VPN IDS & IPS UNIX Server Windows Server Network Devices Server & Content Security Anti-virus ETC SNMP Collector Aggregation Syslog Collector DB Normalization Logfile Collector ODBC Collector Categorization LEA Collector Time zone Correction Flex Collector ArcSight Smart Connector OS Filtering & Reduction ArcSight Manager Engine ArcSight Manager 암호화구간 OS -7- 2. 제공 기능 2.2.2 로그 수집 과정 ArcSight ESM은 300개 이상의 가장 많은 대상 장비를 지원합니다. 효과적으로 데이터를 수집할 수 있는 선진기법을 제공하여 100% 이벤트 데이터를 수집하고 정규화 및 범주화를 통하여 실시간, historical 분석에 이용할 수 있습니다. 로그 수집 과정 수집 로그의 정규화(Nomalization) 및 범주화(Categorization) 로그 수집 흐름도 -8- 2. 제공 기능 2.2.3 수집 로그 처리 ArcSight ESM은 이기종 장비간의 모든 로그를 수집하여 통합관리합니다. 상관분석 엔진을 통하여 장비의 구분 없이 침해사고를 분석하고 발생된 상관분석 로그 및 모든 로그를 데이터베이스에 저장합니다. 사용자는 Console을 통하여 분석 및 메모리 상의 실시간 모니터링을 진행합니다. 수집 로그 처리 Real –Time Monitoring Data Processing Network 상의 다수 이 기종 장비의 로그 수집 대상 장비로부터 수집되는 로그들은 관리자가 실시간으로 확인한다. Event Category 상관분석 로그 Network Model DashBoard Data Source 모니터링 & 조사/분석 정규화 로그 Logs/ Input Active Channel 모든 과정이 끝난 로그에 대해서 Manager로 전송 -9- Query Viewers 2. 제공 기능 2.2.4 강력한 상호연관분석 기능 ArcSight ESM은 고도의 상관분석 엔진으로 실시간 메모리상의 고성능 상관분석 처리를 제공하며 장비의 구분 없이 조건과 패턴을 통한 상관분석을 제공합니다. 또한 자산(네트워크모델)과의 연계 상관분석을 지원하여 조직의 정책, 위기관리 목적을 결합하고 취약성과 로그의 상호연관분석을 통해 거짓위험 정보를 제거합니다. 상호연관분석 Who: User Identity Asset Value: What Time Window: When Where: Contextual Analysis Correlation Engine Prioritized Base Events ArcSight Correlation Event How 수집된 이벤트간에 상관 관계 패턴 발견 Network Model을 통하여 이벤트 경로 확인 수 천만건의 이벤트 중 연관분석을 통한 중요한 침해를 발견 - 10 - Rule에 의해 탐지된 상관 분석 이벤트 발생 2. 제공 기능 2.2.5 유연한 필터 기능 ArcSight ESM은 장비의 종류와 상관 없이 자체 제공하는 100개 이상의 필드를 사용하여 상세한 필터(조건)를 정의할 수 있습니다. 상관분석 규칙, 이벤트 뷰어(활성채널), 보고서 등에서 정의된 필터를 사용할 수 있으며, 이러한 필터는 여러 개의 리소스에서 동시 사용 및 재사용이 가능하여 활용범위가 다양합니다. 유연한 필터 기능 상세한 조건 정의 (기 정의된 필터 연계, 자산 연계) 관리되는 모든 필드 조건 추가 Ftilter : 목표포트 = 80 GUI 환경의 다양한 조건의 필터 설정이 가능하다. 자산위험도 = high Ftilter : 장치제조업체 = SecuI 목표주소 = 192.168.2..15 SmartConnector Event 자산 범주 = Detect System Manager Ftilter : 다양한 조건의 필터 설정 이름 contain Attack 공격자주소 = 10.10.2.125 - 11 - 2. 제공 기능 2.2.6 네트워크 모델링 ArcSight ESM 은 네 트워크 모 델링을 지 원하여 보 안 이벤 트 발생 시 공격 대 상 시스 템 또 는 공 격 시 스 템 의 상 세 정보(OS/부서/사용자/등등)를 빠르고 손쉽게 파악할 수 있으며, 자산 정보와 필터를 연계시켜 효율성을 극대화 시킬 수 있습니다. 네트워크 모델링 개념도 네트워크 모델링을 통하여 공격/장비/목표 장비의 파악을 직관적으로 확인 네트워크 모델링과 필터와의 연계 결합으로 인하여 효율성 극대화 - 12 - 2. 제공 기능 2.2.7 자산 / 취약점 관리 ArcSight ESM은 자산정보를 연동하여 활용할 수 있습니다. 업무, OS, 관리자 등 다양한 자산정보를 연동하여 보고서, 상관분석, 모니터링 등에 활용할 수 있으며, 취약점 관리 기능과 연계되어 취약점 Scanner를 통하여 확인된 자산 취약점이 자동으로 자산에 업데이트 및 관리됩니다. 자산, 취약점 데이터 처리 Network Model Wizard works Network Model 자산 취약점 등록 Network Asset Manager를 통한 자산 취약점 등록 CSV 파일을 통한 대량의 자산 자동 등록 Agent를 통한 Report 수집 CSV File Network Model Wizard 취약점 Scanner Manager Scanner Report - 13 - Connector 자산 자산 범주 Manager 취약점 2. 제공 기능 2.2.8 사용자 권한 관리 ArcSight ESM은 사용자 그룹을 생성하고 해당 그룹 별로 관리하는 모든 자원에 대해서 권한을 할당하여 세분화된 권한 관리를 제공합니다. 권한관리 그룹 권한 설정 내역 관제팀 그룹 권한 관리 ` ESM 사용자 관리 사용자 허가 운영팀 그룹 권한 관리 ESM 그룹 별 권한 관리 - 14 - ArcSight 전체 리소스 중 사용자들이 접근 가능한 리소스들을 정의 접근 권한 해당 그룹들의 사용자들을 관리할 수 있는 계정을 선택 로그 권한 ArcSight ESM에서 수집되는 로그 중 해당 그룹 사용자들이 확인할 수 있는 로그를 정의 정렬 가능한 필드 셋 ArcSight ESM에서 제공하는 모든 필드 중 확인할 수 있는 필드 정의 Operation 각 사용자들이 생성한 대시보드를 타 사용자에게 배포 권한을 정의 2. 제공 기능 2.2.9 손쉬운 사용자 인터페이스 ArcSight ESM의 UI는 탐색기, 뷰어, 검사/편집 창으로 구분되어 동작합니다. 사용자는 탐색기를 통하여 윈도우 트리 형태로 그룹화된 리소스를 관리할 수 있습니다. 뷰어 와 검사/편집 창 사용시 탭 형태로 구분되어 동시에 여러 리소스들에 대해서 관리가 가능하며, 로그 뷰어에서 한번의 클릭만으로 상세정보를 바로 확인할 수 있습니다. 사용자 인터페이스 검사/편집 각 리소스가 탭 형태로 구분되어 동시에 여러 리소스들에 대해서 확인/편집이 가능합니다. 상세 이벤트 확 인 탐색 기 뷰어 탐색기 각 리소스 타입 별로 관리를 하여 사용자가 손쉽게 찾고자 하는 리소스들을 빠르게 찾아 갈 수 있습니다. - 15 - 이벤트 우선순위 별 이벤트 카운트를 확인 및 검색을 통하여 Alert에 대한 직관적인 식별이 가능합니다. 2. 제공 기능 2.2.10 사용자 정의 보고서 ArcSight ESM은 사용자가 필요에 따라 직접 보고서를 생성할 수 있으며, 다양한 형태(바, 차트, 파이차트, 라인차트, 표 등)의 보고서를 출력할 수 있습니다. 또한 XLS, CSV, RTF, PDF, HTML 등과 같은 다양한 양식을 지원하고 있습니다. 사용자 정의 보고서 기본 리포팅의 예시이며 고객의 요구 사항을 반영하여 개발 없이 다양한 표현방법을 제공하고 있습니다. - 16 - 사용자가 원하는 시간에 자동으로 보고서 생성이 가능하며, 일회성 또는 반복적인 스케줄 시간 설정을 지원합니다. 2. 제공 기능 2.2.11 감사 관리 기능 ArcSight ESM은 최상위 관리자가 업무 특성에 따라 사용자 그룹 및 사용자를 생성할 수 있으며, ArcSight ESM의 전체 리소스에 대한 권한을 자유자재로 그룹에 할당하여 사용자의 권한을 제어할 수 있습니다. 생성된 사용자는 ESM에 접속하게 되면 감사 이벤트가 자동으로 생성되어 전체 사용자의 접속 이력을 조회 및 확인할 수 있습니다. 사용자 관리 및 감사 어떤 사용자가 언제, 무슨 IP로 로그인을 했는지와 해당 사용자가 어느 그룹에 속해 있는지 및 기타 상세한 정보 확인이 가능합니다. 최상위 관리자 운영팀 관리자 분석팀 관리자 관제팀 관리자 사용자 인증과 관련된 모든 감사 이벤트 조회 감사 이벤트 상세 내역 확인 - 17 - 2. 제공 기능 2.2.12 사용자 정의 대시보드 ArcSight ESM은 다양한 대시보드와 사용자가 손쉽게 작성할 수 있는 화면제작 기능을 제공합니다. 장비와 구분 없이 수집되는 모든 로그에 대해서 사용자가 화면을 제작하고 실시간 통계분석화면을 통하여 직관적으로 로그 확인이 가능합니다. 사용자 정의 대시보드 평면 막대 차트 파이 차트 막대 차트 상태 그래프 표 이동 평균 그래프 타일 그래프 영역 그래프 지도 이벤트 그래프 막대 차트 표 3D 막대 차트 - 18 - 2. 제공 기능 2.2.13 사용자 정의 로그 뷰어 ArcSight ESM은 통합 뷰어를 통하여 장비와 구분 없이 모든 로그에 대해서 사용자가 정의한 조건에 매치되는 로그에 대해서 조회할 수 있습니다. 또한 ArcSight ESM에서 관리하는 모든 필드에 대해서 추가, 삭제가 가능하여 사용자가 보고자 하는 필드들에 대해서 직접 정의하여 확인 할 수 있습니다. 사용자 정의 로그 뷰어 장비 종류와 관계없이 모든 장비 조회 실시간 필드 추가/삭제 기능 - 19 - 2. 제공 기능 2.3 보안시스템 연동 방안 2.3.1 미 지원 장비 연동 ArcSight ESM은 300개 이상의 장비를 연동할 수 있는 Agent가 이미 생성되어 있습니다. 그밖에 미 지원 비정형 이기종 장비와도 로그 연동을 손쉽게 할 수 있도록 연동 Tool을 제공합니다. 연동 Tool을 이용하여 별도 Application 개발 없이 손쉽게 로그를 연동할 수 있습니다. logfile, syslog, SNMP, ODBC, XML 등 다양한 형태의 표준 프로토콜을 지원하므로 빠르고 유연한 로그 통합을 지원합니다. 미 지원 장비 연동 방안 1 지원 프로토콜 및 이벤트 포맷 검토 2 연동 Tool을 이용한 Agent 생성 3 이벤트 수집, 파싱 확인 및 적용 FlexAgent Regex Tool - 20 - 2. 제공 기능 2.3.2 표준 프로토콜을 이용한 연동 Syslog Agent, ODBC Agent, SNMP Agent에 연동장비의 로그 포맷에 따른 파싱 정보를 생성하여 등록하면 각 Agent는 해당 프로토콜로 로그를 수집하고 수집된 로그를 정규화하여 Manager로 전송합니다. 표준 프로토콜을 이용한 연동 Flex Agent 타입 Syslog Time-Based Database ID-Based Database Multi-Database SNMP 설명 로그 발생 장비에서 syslog로 이벤트 전송 Syslog 로그 연동 시 DB 테이블의 타임스탬프 필드로 구분 Connector Database 로그 연동 시 DB 테이블의 키 필드로 구분 SNMP Trap 하나 이상의 DB 테이블에서 로그 연동 로그 발생 장비에서 SNMP trap으로 로그 전송 이 기종 장비 범례 : Flex Agent - 21 - ESM 2. 제공 기능 2.3.3 파일 형태를 통한 연동 로그 발생 장비에서 파일 형태로 로그 통합을 지원하는 경우, Agent를 해당 장비에 설치하여 이벤트를 수집하거나 에이전트 서버로 scp, sftp, ftp 등으로 파일을 전송하여 로그를 수집할 수 있습니다. 파일을 이용한 연동 Flex Agent 타입 설명 이기종 장비 Log File Regex Log File XML 필드 수와 순서가 일정하고 필드 구분자로 필드를 정의할 수 있는 고정포맷 파일 Log File 필드 구분자 없이 PERL-compatible 정규 표현 형태로 구분하여 필드를 정의할 수 있는 파일 이벤트 발생 장비에서 생성한 XML 파일(standard XML schema)을 읽어서 이벤트 연동 Log File 전송 scp, sftp, ftp 프로토콜 사용 Connector 범례 : Flex Agent - 22 - ESM 3. 교육 및 유지보수 3.1 교육 교육과정 구분 시간 장소 교육내용 관리자 교육 1회 On-site 통합로그분석관리시스템을 관리하는 관리자를 대상으로 시스템 사용교육 운영자 교육 1회 On-site 통합로그분석관리시스템을 최종적으로 사용하는 사용자를 위한 프로젝트 교육 교육내용 구분 교육목표 교육 시간 시스템 관리자 시스템의 관리에 필요한 정보기술 습득 1일 교육내용 ArcSight ESM 시스템의 이해 ArcSight ESM 기능 교육 ArcSight ESM 시스템 운용법 관리대상 설비 등록 및 GUI 운영 시스템 운영자 시스템의 운영과 개발에 필요한 정보기술 습득 시스템 안정화 지원 6일 이기종 시스템간 이벤트 실시간 상호분석 상호연관 분석정책의 추가/변경/조합 상호연관 분석정책의 추가/변경/조합 이벤트 관리 기능 / 보고서관리방법 장애대처 및 복구 방법 자체운영 능력 확보 기능사용 능력 확보 구축 기간 - 23 - 프로젝트 공동수행을 통한 교육 3. 교육 및 유지보수 3.2 기술지원 및 유지보수 시스템 안정성 및 시스템 신뢰성 확보 통합로그분석관리시스템 안정성 및 시스템 신뢰성 확보 시스템 효율의 극대화 신속한 장애대처 시스템 안전성 및 신뢰성 확보 유지보수 조직과 긴밀한 협조체계 유상 유지보수 • 계약 기준에 따른 기능변경 • 사용자 요구 사항 처리 • 기타 유상계약사항 예 방 활 동 • 응용 프로그램, 시스템 운영 상태 SW 기술지원 무상 하자보증 • 검수 후 12개월 • 제공 솔루션 하자보수 • 운용 중 질의 응답 • 기타 무상계약사항 - 24 - • 시스템의 효율적 운영과 성능향상을 위한 기술자문 및 지원 • 신기술 및 S/W 기술동향 제공 • 조직변경이나 담당자 변경 시 요청에 의한 교육 기 술 지 원 감사합니다. - 25 -