KR102351223B1 - 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법 - Google Patents

로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법 Download PDF

Info

Publication number
KR102351223B1
KR102351223B1 KR1020210134361A KR20210134361A KR102351223B1 KR 102351223 B1 KR102351223 B1 KR 102351223B1 KR 1020210134361 A KR1020210134361 A KR 1020210134361A KR 20210134361 A KR20210134361 A KR 20210134361A KR 102351223 B1 KR102351223 B1 KR 102351223B1
Authority
KR
South Korea
Prior art keywords
installation
siem
components
software
operation related
Prior art date
Application number
KR1020210134361A
Other languages
English (en)
Inventor
문소윤
황은학
이서연
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020210134361A priority Critical patent/KR102351223B1/ko
Application granted granted Critical
Publication of KR102351223B1 publication Critical patent/KR102351223B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일 실시예에 따르면 장치에 의하여 수행되는 방법이 제공될 수 있다.
상기 방법은: 상기 장치가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및 상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함한다.

Description

로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 SIEM 원클릭 설치 방법{SIEM ONE-CLICK INSTALLATION METHOD INCLUDED IN PACKAGING BY PROFILING RELEVANT SEARCH CONDITIONS FOR ANALYZING LOGS}
본 발명은 SIEM 을 지원하기 위한 시스템에서 장치의 동작 방법 및 이를 지원하는 장치에 관한 것이다.
SIEM (security information event management) 분야 컴퓨터 보안과 관련된 분야이다. SIEM 분야는 1) 네트워크 및/또는 네트워킹된 장치로부터 네트워크 활동 및/또는 장치의 동작을 나타내는 데이터 수집 2) 수집된 데이터에 대한 분석을 이용한 보안 강화와 관련될 수 있다. 예를 들어, 수집된 데이터에 대한 분석에 기초하여 네트워크 및/또는 네트워킹된 장치에 대한 공격 등이 식별될 수 있고, 공격이 진행 중인 경우 대항책이 수행되어 공격에 대한 방해 및 공격에 의한 손상 완호/복구가 수행될 수 있다.
등록 특허 제10-1451640호, 2014.10.16
본 발명이 해결하고자 하는 과제는 SIEM 을 지원하기 위한 시스템에서 장치의 동작 방법 및 이를 지원하는 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 장치에 의하여 수행되는 방법은 상기 장치가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및 상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함할 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함할 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행될 수 있다.
일 실시예에 따르면, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 상기 장치에 기 설치된 것으로 식별됨에 기초하여, 상기 특정 구성 요소 중 상기 적어도 일부를 제외한 나머지가 설치될 수 있다.
일 실시예에 따르면, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작은: 오픈 소스 (open source) 에 기초한 패키지 (package) 의 설치; 상기 패키지의 설치 이후 수행되는 RDBMS (relational database management system) 에 기초한 데이터베이스의 설치; 상기 데이터베이스의 설치 이후 수행되는 관리 모듈의 설치; 상기 관리 모듈의 설치 이후 수행되는 미들웨어 (middleware) 모듈의 설치; 상기 미들웨어 모듈의 설치 이후 수행되는 검색 엔진 모듈의 설치; 상기 검색 엔진 모듈의 설치 이후 수행되는 통합 모듈의 설치; 및 상기 통합 모듈의 설치 이후 수행되는 로그 수집 모듈의 설치; 를 포함할 수 있다.
일 실시예에 따르면, 상기 데이터베이스의 설치에서, 상기 데이터베이스를 위한 포트 (port) 는 상기 하나 이상의 스크립트에 기초하여 자율적으로 설정될 수 있다.
일 실시예에 따르면, 상기 통합 모듈은, SIEM 서비스를 위하여 미리 설정된 표준화된 복수의 데이터들을 포함할 수 있다.
일 실시예에 따르면, 상기 복수의 데이터는: 수집되는 로그 정보에 대한 분석을 위하여 로그를 필드 단위로 부여하기 위한 로그 필드에 대한 로그 필드 데이터, 상기 로그 정보에 대응되는 외부 장치의 특성에 따라 필드를 구분하기 위한 방식과 관련된 로그 파서에 대한 로그 파서 데이터, 상기 로그 정보에 대한 파싱 후, 상기 파싱된 로그 정보에 대한 분석에 기초하여 식별된 이벤트가 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 위협 시나리오를 포함하는 경보 규칙 집합 (rule set) 에 대한 경보 데이터, 상기 경보 규칙 집합을 위하여 사용되는 오브젝트 (object) 데이터, 상기 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 비교 데이터를 포함하는 목록화 데이터베이스, 상기 이벤트의 종류에 대응되는 대응방안을 가이드 하기 위한 침해 사고 가이드 데이터, 상기 로그 정보에 대한 분석에서 사용되는 빈도수가 일정 임계 이상으로 높은 하나 이상의 검색 쿼리문에 대한 검색 쿼리문 데이터, 상기 하나 이상의 검색 쿼리문과 관련된 검색 결과를 위하여 사용되는 빈도수가 일정 임계 이상으로 높은 하나 이상의 필드 구성 프로파일에 대한 필드 구성 프로파일 데이터, 공격 징후가 분석된 하나 이상의 IP (internet protocol) 에 대한 유해 IP 데이터, 상기 공격 징후가 분석된 하나 이상의 URL (uniform resource locator) 에 대한 유해 URL 데이터, 및 사용되는 빈도수가 일정 임계 이상으로 높은 하나 이상의 대시 보드에 대한 사용자 정의 대시 보드 데이터를 포함할 수 있다.
일 실시예에 따르면, 상기 방법은: 상기 SIEM 소프트웨어의 설치와 관련된 동작에 따라 상기 SIEM 소프트웨어가 설치된 이후, 상기 하나 이상의 스크립트에 포함된 셸 스크립트 (shell script) 에 기초하여 상기 설치된 SIEM 소프트웨어의 운용을 위하여 프로파일화된 복수의 제1 설정값들을 자율적으로 등록하는 단계; 를 더 포함할 수 있다.
일 실시예에 따르면, 상기 프로파일화된 복수의 제1 설정값들은: 수집되는 로그 정보에 대한 파싱을 수행하기 위하여 상기 로그 정보의 전처리에 사용되는 필드; 상기 파싱을 수행하기 위한 파서; 및 상기 로그 정보에 대한 파싱 후, 상기 파싱된 로그 정보에 대한 분석에 기초하여 식별된 이벤트가 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 위협 시나리오를 포함하는 경보 규칙 집합; 을 포함할 수 있다.
일 실시예에 따르면, 상기 방법은: 상기 설치된 SIEM 소프트웨어를 이용하여 SIEM 과 관련된 서비스를 제공하는 동안 식별된 복수의 공격들에 대한 유형을 분류함에 기초하여 학습 데이터를 생성하는 단계; 및 상기 학습 데이터를 이용한 기계 학습 (machine learning) 에 기초하여 상기 경보 규칙 집합을 업데이트하는 단계; 를 더 포함할 수 있다.
일 실시예에 따르면, 상기 프로파일화된 복수의 제1 설정값들은: 상기 장치가 통신을 수행하기 위한 IP 어드레스와 포트를 포함할 수 있다.
일 실시예에 따르면, 상기 방법은: 상기 설치된 SIEM 소프트웨어를 이용하여 SIEM 과 관련된 서비스를 제공하는 동안 식별되는 상기 SIEM 소프트웨어의 파라미터와 관련된 사용되는 빈도수에 따라 부여되는 가중치 요소 (weigh factor) 에 기초한 업데이트를 수행하는 단계; 를 더 포함할 수 있다.
일 실시예에 따르면, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 상기 장치에 기 설치된 것으로 식별되고, 상기 특정 구성 요소의 적어도 일부에 대한 재설정이 필요하지 않다고 결정됨에 기초하여, 상기 특정 구성 요소 중 상기 적어도 일부를 제외한 나머지가 설치될 수 있다.
일 실시예에 따르면, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 상기 장치에 기 설치된 것으로 식별되고, 상기 특정 구성 요소의 적어도 일부에 대한 재설정이 필요하다고 결정됨에 기초하여, 상기 특정 구성 요소 중 상기 적어도 일부는 업데이트될 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작의 수행 이전에, 상기 장치에 기 설치된 OS (operating system) 에 대하여 기 설정된 복수의 제2 설정값들 중 재설정이 필요하다고 결정된 하나 이상의 설정값을 재설정하는 동작이 상기 하나 이상의 스크립트에 기초하여 수행될 수 있다.
일 실시예에 따르면, 상기 복수의 제2 설정값들은: 호스트명 설정, 보안 아키텍쳐 설정, 방화벽 설정, 네트워크 자동 연결 설정 프로그램 설정, 상기 장치에 포함된 하나 이상의 프로세서 (processor) 의 속도 구성 매개 변수 설정, 상기 하나 이상의 프로세서와 연결된 메모리 (memory) 에 대한 접근 최대화 설정, 상기 메모리의 관리 시스템 설정 및 프로세스 (process) 에 대한 자원 한도 설정; 각각에 대한 설정값을 포함할 수 있다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 장치는 메모리 (memory); 및 상기 메모리와 연결된 하나 이상의 프로세서 (processor) 를 포함할 수 있다.
일 실시예에 따르면, 상기 하나 이상의 프로세서는: 상기 하나 이상의 프로세서가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하고, 상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행할 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함할 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행될 수 있다.
일 실시예에 따르면, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 상기 장치에 기 설치된 것으로 식별됨에 기초하여, 상기 특정 구성 요소의 상기 적어도 일부를 제외한 나머지가 설치될 수 있다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 하나 이상의 프로세서 (processor) 가 방법을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어 (software) 를 저장하는 비-휘발성 (non-transitory) 컴퓨터-판독 가능 매체 (computer-readable medium) 가 제공될 수 있다.
일 실시예에 따르면, 상기 방법은: 상기 하나 이상의 프로세서가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 상기 하나 이상의 스크립트를 포함하는 상기 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및 상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함할 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함할 수 있다.
일 실시예에 따르면, 상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행될 수 있다.
일 실시예에 따르면, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 기 설치된 것으로 식별되는 경우, 상기 특정 구성 요소의 상기 적어도 일부를 제외한 나머지가 설치될 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
일 실시예에 따르면, SIEM 을 지원하기 위한 시스템에서 장치의 동작 방법 및 이를 지원하는 장치가 제공될 수 있다.
일 실시예에 따르면, SIEM 소프트웨어의 자동 설치가 지원되어 편의성이 증대될 수 있다.
일 실시예에 따르면, SIEM 소프트웨어의 운용을 위한 설정이 프로파일의 형태로 제공되어 편의성이 증대될 수 있다.
일 실싱예에 따르면, SIEM 서비스를 제공하기 위한 복수의 데이터들이 표준화되어 제공되어, 통일적인 서비스 제공이 가능할 수 있다.
일 실시예에 따르면, 인공 지능에 따른 기계학습에 따라 새로운 공격 유형이 자동적으로 도출/업데이트될 수 있어, 보안이 강화될 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 SIEM 을 지원하기 위한 시스템의 일 예를 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 제1 디바이스 및/또는 제2 디바이스의 구성을 도시한 도면이다.
도 3 은 본 발명의 일 실시예에 따른 서버의 동작의 일 예를 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 SIEM 소프트웨어의 복수의 구성 요소들이 설치되는 과정을 나타낸 도면이다.
도 5 는 본 발명의 일 실시예에 따른 SIEM 소프트웨어의 구성 (architecture) 의 일 예를 나타낸 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 SIEM 을 지원하기 위한 시스템의 일 예를 나타낸 도면이다.
도 1을 참조하면, 일 실시예에 따른 SIEM 을 지원하기 위한 시스템은 다양한 종류의 장치들에 구현될 수 있다. 예를 들어, SIEM 을 지원하기 위한 시스템은 제1 디바이스(100) 및/또는 제2 디바이스(200) 에 구현될 수 있다. 달리 말해, 제1 디바이스(100) 및/또는 제2 디바이스(200)는 각각의 장치에 구현된 SIEM 을 지원하기 위한 시스템을 기반으로, 일 실시예에 따른 동작을 수행할 수 있다. 한편, 일 실시예에 따른 SIEM 을 지원하기 위한 시스템은, 상기 도 1에 도시된 바에 국한되지 않고, 더 다양한 장치들 및/또는 서버들에 구현될 수도 있을 것이다.
일 실시예에 따른 제1 디바이스(100)는, 제2 디바이스(200)와 무선 및/또는 유선 통신을 수행하며, 제2 디바이스(200)으로부터 SIEM 과 관련된 서비스를 제공 받는 클라이언트 (client) 디바이스일 수 있다. 예를 들어, 제1 디바이스(100)는 복수 개의 제2 디바이스(200)들과 연동될 수도 있다.
일 실시예에 따른 제2 디바이스(200)는, 제1 디바이스(100)들과 무선 및/또는 유선 통신을 수행하며, 제1 디바이스(100)들에 SIEM 과 관련된 서비스를 제공하며, 대단위의 저장 용량을 갖는 저장부를 포함하는 장치일 수 있다. 예를 들어, 제2 디바이스(200)는 복수 개의 제1 디바이스(100)들과 연동될 수도 있다.
일 실시예에 따르면, 복수 개의 제2 디바이스(200)들은 하나의 클러스터 (cluster) 를 구성할 수 있다. 일 실시예에 따르면, 하나의 클러스터 (cluster)는 복수 개의 로컬 매니저(Local Manager; LM) 및 하나의 글로벌 매니저(Global Manager; GM)를 포함할 수 있다. 일 실시예에 따르면, 하나의 글로벌 매니저(GM)는 클러스터에 포함된 복수 개의 제2 디바이스(200)들 중에서 클러스터를 위한 관리 프로그램에 의하여 선정될 수 있다. 일 실시예에 따르면, 복수 개의 제1 디바이스(100)들 중 적어도 하나는 글로벌 매니저(GM)와 직접 연결될 수 있다. 일 실시예에 따르면, 제1 디바이스(100)는 복수의 제2 디바이스(200)와 연결될 수 있다. 일 실시예에 따르면, 제1 디바이스(100)는 복수의 제2 디바이스(200) 중 글로벌 매니저(GM)과 연결되어 데이터를 송수신할 수 있다. 일 실시예에 따르면, 글로벌 매니저(GM)는 로컬 매니저(LM)들과 연결되고, 데이터를 상호 통신할 수 있다.
일 실시예에 따른 SIEM 을 지원하기 위한 시스템은 동작을 위한 다양한 모듈들을 포함할 수 있다. SIEM 을 지원하기 위한 시스템에 포함된 모듈들은 SIEM 을 지원하기 위한 시스템이 구현되는(또는, 물리적 장치에 포함되는) 물리적 장치(예: 제1 디바이스(100) 및/또는 제2 디바이스(200))가 지정된 동작을 수행할 수 있도록 구현된 컴퓨터 코드 내지는 하나 이상의 인스트럭션 (instruction) 일 수 있다. 다시 말해, SIEM 을 지원하기 위한 시스템이 구현되는 물리적 장치는 복수 개의 모듈들을 컴퓨터 코드 형태로 메모리에 저장하고, 메모리에 저장된 복수 개의 모듈들이 실행되는 경우 복수 개의 모듈들은 물리적 장치가 복수 개의 모듈들에 대응하는 지정된 동작들을 수행하도록 할 수 있다.
도 2는 본 발명의 일 실시예에 따른 제1 디바이스 및/또는 제2 디바이스의 구성을 도시한 도면이다.
도 2를 참조하면, 제1 디바이스 및/또는 제2 디바이스는 입/출력부(210), 통신부(220), 저장부(230) 및 프로세서(240)를 포함할 수 있다.
입/출력부(210)는 사용자 입력을 받거나 또는 사용자에게 정보를 출력하는 각종 인터페이스나 연결 포트 등일 수 있다. 입/출력부(210)는 입력 모듈과 출력 모듈로 구분될 수 있는데, 입력 모듈은 사용자로부터 사용자 입력을 수신한다. 사용자 입력은 키 입력, 터치 입력, 음성 입력을 비롯한 다양한 형태로 이루어질 수 있다. 이러한 사용자 입력을 받을 수 있는 입력 모듈의 예로는 전통적인 형태의 키패드나 키보드, 마우스는 물론, 사용자의 터치를 감지하는 터치 센서, 음성 신호를 입력 받는 마이크, 영상 인식을 통해 제스처 등을 인식하는 카메라, 사용자 접근을 감지하는 조도 센서나 적외선 센서 등으로 구성되는 근접 센서, 가속도 센서나 자이로 센서 등을 통해 사용자 동작을 인식하는 모션 센서 및 그 외의 다양한 형태의 사용자 입력을 감지하거나 입력 받는 다양한 형태의 입력 수단을 모두 포함하는 포괄적인 개념이다. 여기서, 터치 센서는 디스플레이 패널에 부착되는 터치 패널이나 터치 필름을 통해 터치를 감지하는 압전식 또는 정전식 터치 센서, 광학적인 방식에 의해 터치를 감지하는 광학식 터치 센서 등으로 구현될 수 있다. 이외에도 입력 모듈은 자체적으로 사용자 입력을 감지하는 장치 대신 사용자 입력을 입력 받는 외부의 입력 장치를 연결시키는 입력 인터페이스(USB 포트, PS/2 포트 등)의 형태로 구현될 수도 있다. 또 출력 모듈은 각종 정보를 출력해 사용자에게 이를 제공할 수 있다. 출력 모듈은 영상을 출력하는 디스플레이, 소리를 출력하는 스피커, 진동을 발생시키는 햅틱 장치 및 그 외의 다양한 형태의 출력 수단을 모두 포함하는 포괄적인 개념이다. 이외에도 출력 모듈은 상술한 개별 출력 수단을 연결시키는 포트 타입의 출력 인터페이스의 형태로 구현될 수도 있다.
일 예로, 디스플레이 형태의 출력 모듈은 텍스트, 정지 영상, 동영상을 디스플레이 할 수 있다. 디스플레이는 액정 디스플레이(LCD: Liquid Crystal Display), 발광 다이오드(LED: light emitting diode) 디스플레이, 유기 발광 다이오드(OLED: Organic Light Emitting Diode) 디스플레이, 평판 디스플레이(FPD: Flat Panel Display), 투명 디스플레이(transparent display), 곡면 디스플레이(Curved Display), 플렉시블 디스플레이(flexible display), 3차원 디스플레이(3D display), 홀로그래픽 디스플레이(holographic display), 프로젝터 및 그 외의 영상 출력 기능을 수행할 수 있는 다양한 형태의 장치를 모두 포함하는 광의의 영상 표시 장치를 의미하는 개념이다. 이러한 디스플레이는 입력 모듈의 터치 센서와 일체로 구성된 터치 디스플레이의 형태일 수도 있다.
통신부(220)는 외부 기기와 통신할 수 있다. 따라서, 제1 디바이스 및/또는 제2 디바이스는 통신부를 통해 외부 기기와 정보를 송수신할 수 있다. 예를 들어, 제1 디바이스 및/또는 제2 디바이스는 통신부를 이용해 SIEM 을 지원하기 위한 시스템에 저장 및 생성된 정보들이 공유되도록 외부 기기와 통신을 수행할 수 있다.
여기서, 통신, 즉 데이터의 송수신은 유선 또는 무선으로 이루어질 수 있다. 이를 위해 통신부는 LAN(Local Area Network)를 통해 인터넷 등에 접속하는 유선 통신 모듈, 이동 통신 기지국을 거쳐 이동 통신 네트워크에 접속하여 데이터를 송수신하는 이동 통신 모듈, 와이파이(Wi-Fi) 같은 WLAN(Wireless Local Area Network) 계열의 통신 방식이나 블루투스(Bluetooth), 직비(Zigbee)와 같은 WPAN(Wireless Personal Area Network) 계열의 통신 방식을 이용하는 근거리 통신 모듈, GPS(Global Positioning System)과 같은 GNSS(Global Navigation Satellite System)을 이용하는 위성 통신 모듈 또는 이들의 조합으로 구성될 수 있다.
저장부(230)는 각종 정보를 저장할 수 있다. 저장부(230)는 데이터를 임시적으로 또는 반영구적으로 저장할 수 있다. 예를 들어, 저장부(230)에는 제1 디바이스 및/또는 제2 디바이스를 구동하기 위한 운용 프로그램(OS: Operating System), 웹 사이트를 호스팅하기 위한 데이터나 점자 생성을 위한 프로그램 내지는 어플리케이션(예를 들어, 웹 어플리케이션)에 관한 데이터 등이 저장될 수 있다. 또, 저장부(230)는 상술한 바와 같이 모듈들을 컴퓨터 코드 형태로 저장할 수 있다.
저장부(230)의 예로는 하드 디스크(HDD: Hard Disk Drive), SSD(Solid State Drive), 플래쉬 메모리(flash memory), 롬(ROM: Read-Only Memory), 램(RAM: Random Access Memory) 등이 있을 수 있다. 이러한 저장부(230)는 내장 타입 또는 탈부착 가능한 타입으로 제공될 수 있다.
프로세서(240)는 제1 디바이스(100) 및/또는 제2 디바이스(200)의 전반적인 동작을 제어한다. 이를 위해 프로세서(240)는 각종 정보의 연산 및 처리를 수행하고 제1 디바이스 및/또는 제2 디바이스의 구성요소들의 동작을 제어할 수 있다. 예를 들어, 프로세서(240)는 SIEM 을 지원하기 위한 프로그램 내지 어플리케이션을 실행시킬 수 있을 것이다. 프로세서(240)는 하드웨어 소프트웨어 또는 이들의 조합에 따라 컴퓨터나 이와 유사한 장치로 구현될 수 있다. 하드웨어적으로 프로세서(240)는 전기적인 신호를 처리하여 제어 기능을 수행하는 전자 회로 형태로 제공될 수 있으며, 소프트웨어적으로는 하드웨어적인 프로세서(240)를 구동시키는 프로그램 형태로 제공될 수 있다. 한편, 이하의 설명에서 특별한 언급이 없는 경우에는 제1 디바이스 및/또는 제2 디바이스의 동작은 프로세서(240)의 제어에 의해 수행되는 것으로 해석될 수 있다. 즉, SIEM 을 지원하기 위한 시스템에 구현되는 모듈들이 실행되는 경우, 모듈들은 프로세서(240)가 제1 디바이스 및/또는 제2 디바이스를 이하의 동작들을 수행하도록 제어하는 것으로 해석될 수 있다.
요약하면, 본 발명은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.
하드웨어에 의한 구현의 경우, 본 발명의 일 실시예에 따른 방법은 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시예에 따른 방법은 이하에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 예를 들어, 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치할 수 있으며, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
이하에서는, 상기와 같은 기술적 사상에 기초하여 본 발명의 일 실시예에 대해 보다 상세히 설명한다. 이하에서 설명되는 본 발명의 일 실시예는 상호 배척되지 않는 한 전부 또는 일부가 결합되어 또 다른 다양한 실시예들을 구성할 수도 있으며, 이는 당해 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있다.
이하에서 설명되는 본 발명의 일 실시예에 대해서는 앞서 설명한 제 1 절의 내용들이 적용될 수 있다. 예를 들어, 이하에서 설명되는 다양한 실시예들에서 정의되지 않은 동작, 기능, 용어 등은 제 1 절의 내용들에 기초하여 수행되고 설명될 수 있다.
특별히 달리 언급되지 않은 한, 본 발명에 대한 설명에서, A/B/C 는 A 및/또는 B 및/또는 C 를 의미할 수 있다.
특별히 달리 언급되지 않은 한, 본 발명에 대한 설명에서, A 초과/이상인 것은 A 이상/초과인 것으로 대체될 수 있다.
특별히 달리 언급되지 않은 한, 본 발명에 대한 설명에서, B 미만/이하인 것은 B 이하/미만인 것으로 대체될 수 있다.
특별히 달리 언급되지 않은 한, 본 발명에 대한 설명에서, 장치가 이용하는 정보/장치가 출력/표시하는 정보 등은 장치가 직접 식별/획득한 정보이거나, 장치에 포함된 저장부에 저장된 정보이거나, 서버 및/또는 기타 외부 기기로부터 수신 받은 정보 중 하나 이상일 수 있다.
이하에서는, 본 발명의 일 실시예에 따른 제1 디바이스(100)의 일 구현 예에 따른 클라이언트 디바이스가 설명되나, 이외에도 유사한 기능을 수행하는 다른 장치들도 제1 디바이스가 될 수 있다.
이하에서는, 본 발명의 일 실시예에 따른 제2 디바이스(200)의 일 구현 예에 따른 서버가 설명되나, 이외에도 유사한 기능을 수행하는 다른 장치들도 제2 디바이스가 될 수 있다. 예를 들어, 서버는 상술된 글로벌 매니저(GM)일 수 있으나, 본 발명이 이에 제한되는 것은 아니다.
클라이언트 디바이스는 서버로부터 SIEM 과 관련된 서비스를 제공 받을 수 있다. 예를 들어, 네트워크 및/또는 보안 장비로부터 수집된 정보 수집/분석, 위협 측정/경보가 제공될 수 있으며, 보안 이벤트 및/또는 우선 순위의 관리 등을 위한 인터페이스 (예를 들어, 표, 대시보드 등) 가 제공될 수 있다.
SIEM 서비스의 효과를 증대시키기 위해서는 방대한 정보가 필요하며, 이러한 정보의 관리를 위한 보안 전담 인력이 요구된다. 예를 들어, 네트워크, 보안 장비 등으로부터 수집된 방대한 정보에 대한 분석을 위한 파싱 작업 등이 적용되어야 할 수 있다.
서버가 클라이언트 디바이스로 SIEM 과 관련된 서비스를 제공 하기 위해서는 SIEM 서비스 제공을 위한 소프트웨어 (SIEM 소프트웨어) 가 서버 및/또는 클라이언트 디바이스에 설치되어야 한다. 또한, SIEM 소프트웨어가 설치된 후, SIEM 소프트웨어의 운용을 위한 파라미터 등도 서버 및/또는 클라이언트 디바이스 각각에 대하여 개별적으로 설정되어야 한다.
상술된 방대한 정보에 대한 분석을 위한 보안 전담 인력의 요구, 각 장치에 대한 SIEM 소프트웨어의 개별 설치/설정 등에 따른 불편함이 해소될 수 있도록, 본 발명의 일 실시예에 따르면 원-클릭 (one-click) 만으로 SIEM 소프트웨어의 설치/설정 그리고 SIEM 서비스를 위한 데이터 수집/파싱/피드백/업데이트가 수행되는 방법이 제공될 수 있다.
이하에서는 서버를 기준으로 본 발명의 일 실시예가 설명되나, 본 발명은 클라이언트 디바이스에 대해서도 확장될 수 있다. 예를 들어, 클라이언트 디바이스에서의 SIEM 소프트웨어 설치/설정 등에도 후술되는 본 발명의 일 실시예가 적용될 수 있다.
도 3 은 본 발명의 일 실시예에 따른 서버의 동작의 일 예를 나타낸 도면이다.
도 3 을 참조하면, 본 발명의 일 실시예에 따른 동작 310 에서, 서버는 SIEM 소프트웨어를 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 식별할 수 있다. 일 실시예에 따르면, SIEM 소프트웨어를 설치하기 위한 설치 소프트웨어는 실행되면 서버는 SIEM 소프트웨어에 포함된 하나 이상의 스크립트를 식별할 수 있다.
본 발명의 일 실시예에 따른 동작 315 에서, 서버는 하나 이상의 스크립트에 기초하여 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously)/자동적으로 수행할 수 있다.
일 실시예에 따르면, 서버는 하나 이상의 스크립트가 식별되면, 하나 이상의 스크립트의 명령에 따라 자율적으로 하나 이상의 스크립트의 명령에 따라 SIEM 소프트웨어의 설치와 관련된 동작을 수행할 수 있다. 예를 들어, 별도의 추가적인 명령/입력 (예를 들어, 서비스 관리자의 추가 명령 등) 없이, SIEM 소프트웨어의 설치와 관련된 모든 동작들이 수행될 수 있다. 예를 들어, 별도의 추가적인 명령/입력 없이, SIEM 소프트웨어에 포함된 복수의 구성 요소들에 대한 설치 동작이 수행될 수 있다. 다른 예시로, 각 구성 요소의 설치에 대한 요청이 입력되면, 각 구성 요소의 설치를 위한 모든 동작이 수행될 수 있다.
일 실시예에 따르면, SIEM 소프트웨어는 복수의 구성 요소들을 포함할 수 있다. 일 실시예에 따르면, 복수의 구성 요소들 각각은 SIEM 소프트웨어의 적어도 일부로 이해될 수 있으며, 복수의 구성 요소들 각각은 SIEM 소프트웨어를 지원할 수 있도록 설정/구성될 수 있다.
일 실시예에 따르면, SIEM 소프트웨어의 설치와 관련된 동작은, SIEM 소프트웨어의 복수의 구성 요소들을 설치하는 것과 관련된 동작들을 포함할 수 있다.
일 실시예에 따르면, SIEM 소프트웨어의 설치와 관련된 동작은, SIEM 소프트웨어의 설치를 위하여 서버에 미리 설정/저장된 하나 이상의 설정값 및/또는 파라미터 중 SIEM 소프트웨어의 설치와 관련된 동작의 수행을 위하여 및/또는 SIEM 소프트웨어의 운용을 위하여 변경이 필요한 하나 이상의 설정값 및/또는 파라미터를 변경하는 동작을 포함할 수 있다. 일 실시예에 따르면, 하나 이상의 설정값 및/또는 파라미터를 변경하는 동작은 SIEM 소프트웨어의 복수의 구성 요소들을 설치하기 이전에 수행되거나 및/또는 SIEM 소프트웨어의 복수의 구성 요소들을 설치 중에 수행될 수 있다.
예를 들어, SIEM 소프트웨어에 포함된 복수의 구성 요소들 각각의 설치와 관련된 동작의 수행 이전에, 서버에 설치된 OS (operating system) 의 설정들 중 SIEM 소프트웨어의 설치와 관련된 동작의 수행을 위하여 및/또는 SIEM 소프트웨어의 운용을 위하여 변경이 필요한 복수의 설정들에 대한 복수의 설정값들이 변경/재설정될 수 있다.
예를 들어, 복수의 설정값들 각각에 대한 변경이 필요한 지 여부가 판단/결정될 수 있으며, 복수의 설정값들 중 재설정이 필요하다고 결정된 하나 이상의 설정값이 재설정될 수 있다.
예를 들어, 호스트명, 보안 아키텍쳐 설정 (예를 들어, SELINUX, SELINUX 가 비활성화되도록 재설정될 수 있음), 방화벽 설정 (예를 들어, Iptables, Iptables 서비스가 중지되도록 재설정될 수 있음), 네트워크 자동 연결 설정 프로그램 설정 (예를 들어, NetworkManager, NetworkManager 서비스가 중지되도록 재설정될 수 있음), 서버의 프로세서의 속도 구성 매개 변수 설정 (예를 들어, Cpuspeed, Cpuspeed 서비스가 중지되도록 재설정될 수 있음), 서버의 메모리에 대한 접근 최대화 설정, 메모리의 관리 시스템 설정 (예를 들어, Transparent Huge Pages) 및 프로세스 (process) 에 대한 자원 한도 설정 (예를 들어, Ulimit) 가 변경이 필요한 것으로 식별된 경우에는 변경/재설정될 수 있다.
일 실시예에 따르면, SIEM 소프트웨어의 설치와 관련된 동작은, SIEM 을 지원하기 위한 복수의 구성 요소들이 설치된 이후 (및/또는 SIEM 소프트웨어가 설치된 후), SIEM 소프트웨어가 서버 상에서 동작될 수 있도록 하나 이상의 설정값들을 설정/입력/정의하는 동작을 포함할 수 있다. 일 실시예에 따르면, SIEM 소프트웨어의 운용을 위한 복수의 설정값들이 하나 이상의 스크립트에 포함된 하나 이상의 셸 스크립트 (shell script) 에 기초하여 자율적으로 설정될 수 있다. 일 실시예에 따르면, 복수의 설정값들은 프로파일화 되어 하나 이상의 스크립트에 포함된 하나 이상의 셸 스크립트에 저장되어 있을 수 있다.
일 실시예에 따르면, 프로파일화된 복수의 설정값들은 아래 중 하나 이상을 포함할 수 있다.
1) 로그 정보의 전처리에 사용되는 필드
예를 들어, 네트워크 및/또는 보안 장비 등의 외부 장비로부터 수집된 로그 정보의 분석을 위해서는 수집되는 로그 정보에 대한 파싱이 수행되어야 할 수 있다. 또한, 예를 들어, 로그 정보에 대한 파싱을 위해서는 로그 정보에 포함된 정보/필드 중 유의미한 정보/필드 (예를 들어, 로그 분석을 통하여 위협/공격 여부에 대한 결정/판단을 위한 정보/필드가 유의미한 정보/필드일 수 있으며, 이와 무관한 정보/필드가 무의미한 정보/필드일 수 있음) 가 미리 정의되고, 전처리를 통하여 로그 정보 중 유의미한 정보/필드가 추출되어야 할 수 있다.
이를 고려하여, 일 실시예에 따르면, 수집되는 로그 정보에 대한 파싱을 수행하기 위하여 로그 정보의 전처리에 사용되는 필드가 프로파일화된 복수의 설정값들에 포함될 수 있다.
2) 파서
일 실시예에 따르면, 수집되는 로그 정보에 대한 파싱을 수행하기 위한 파서가 프로파일화된 복수의 설정값들에 포함될 수 있다.
3) 경보 규칙 집합
일 실시예에 따르면, 파싱된 로그 정보에 대한 분석에 기초하여 식별된 이벤트가 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 위협 시나리오를 포함하는 경보 규칙 집합이 프로파일화된 복수의 설정값들에 포함될 수 있다.
4) IP 어드레스 및 포트
일 실시예에 따르면, 서버가 통신함에 사용될 IP 어드레스 및 포트가 프로파일화된 복수의 설정값들에 포함될 수 있다.
도 4는 본 발명의 일 실시예에 따른 SIEM 소프트웨어의 복수의 구성 요소들이 설치되는 과정을 나타낸 도면이다. 도 4의 실시예는 도 3의 SIEM 소프트웨어의 복수의 구성 요소들을 설치하는 것과 관련된 동작에 대한 실시예로 이해될 수 있다.
도 4를 참조하면, 일 실시예에 따른 동작 410 에서, 패키지가 설치될 수 있다. 예를 들어, 패키지는 오픈 소스에 기초한 패키지일 수 있다. 예를 들어, 패키지는 OpenJDK 및/또는 R 패키지를 포함할 수 있다. 예시적인 실시예에 따라, SIEM 소프트웨어를 설치하기 위해 자유롭게 공유되는 공개 코드 또는 공개 소프트웨어어인 오픈 소스가 설치될 수 있다.
예를 들어, 패키지의 설치는: 서버 및/또는 AI (artificial intelligence) 에 대한 설정 파일 관리를 위한 분산 코디네이터 (예를 들어, ZooKeeper) 의 설치, 대용량의 데이터가 분산 처리될 수 있도록 하는 분산 처리 플랫폼 (예를 들어, Hadoop) 의 설치, 데이터 전처리를 수행하는 데이터 전처리 플랫폼 (예를 들어, Spark) 의 설치를 포함할 수 있다.
예를 들어, 패키지의 설치는, 분산 코디네이터, 분산 처리 플랫폼, 데이터 전처리 플랫폼 각각을 위한 설정 정보에 대한 설정을 포함할 수 있다. 예를 들어, 설정 정보의 종류 및/또는 각 설정 정보의 값은 이전 서비스 제공 히스토리 (history) 및/또는 이전에 서비스를 제공 받은 클라이언트 디바이스로부터의 피드백 (feedback) 정보에 기초하여 미리 설정/정의/업데이트된 것일 수 있다.
일 실시예에 따르면, 분산 코디네이터, 분산 처리 플랫폼, 데이터 전처리 플랫폼 각각의 설치를 위한 하나 이상의 스크립트, 정보, 설정 정보가 하나의 패키지로 패키징된 형태로 제공될 수 있다.
일 실시예에 따른 동작 420 에서, 데이터베이스가 설치될 수 있다. 예를 들어, 데이터베이스의 설치는 동작 410 에서의 패키지의 설치 이후 수행될 수 있다. 예를 들어, 데이터베이스는 RDBMS (relational database management system) 및/또는 RDBMS 에 기초한 데이터베이스일 수 있으며, MariaDB 가 사용될 수 있다. 예를 들어, 데이터베이스에는 SIEM 소프트웨어에 기초한 SIEM 서비스 제공 과정에서 예측 데이터가 저장될 수 있다.
일 실시예에 따른 동작 430 에서, 관리 모듈이 설치될 수 있다. 예를 들어, 관리 모듈의 설치는 동작 420 에서의 데이터베이스의 설치 이후 수행될 수 있다. 예를 들어, 관리 모듈은 SIEM 서비스를 지원하는 서버 및/또는 SIEM 소프트웨어의 관리/설정을 위한 것일 수 있다. 예를 들어, 관리 모듈은 로그 수집을 위한 기능을 지원하는 로그 수집 관리 모듈일 수 있다.
일 실시예에 따른 동작 440 에서, 미들웨어 (middleware) 모듈이 설치될 수 있다. 예를 들어, 미들웨어 모듈의 설치는 동작 430 에서의 관리 모듈의 설치 이후 수행될 수 있다. 예를 들어, 미들웨어 모듈은 서버에 설치된 OS (operating system) 과 SIEM 소프트웨어 사이에서 조정 및/또는 중개를 수행할 수 있다.
일 실시예에 따른 동작 450 에서, 검색 엔진 모듈이 설치될 수 있다. 예를 들어, 검색 엔진 모듈의 설치는 동작 440 에서의 미들웨어 모듈의 설치 이후 수행될 수 있다. 일 실시예에 따르면, 검색 엔진 모듈은 IGDB (international glazing database) 및/또는 lucene 에 기초한 검색 엔진 모듈일 수 있으며, SIEM 서비스 및/또는 SIEM 소프트웨어의 운용 과정에서 검색 서비스를 제공할 수 있다.
일 실시예에 따른 동작 460 에서, 통합 모듈이 설치될 수 있다. 통합 모듈의 일 형태로 관리 모듈이 설치될 수 있다. 일 실시에에 따르면, 통합 모듈은 공격 탐지, 비정상 이상행위 탐지, 신규 공격 기술 탐지 대응 능력 강화 및 축적 (예를 들어, AI 및/또는 빅데이터에 기초한 학습/업데이트가 활용될 수 있음) 을 위한 서비스 플랫폼 모듈, 서비스 관리자를 위한 UI (user interface), 분석 엔진 및 통계 모듈을 포함할 수 있다.
일 실시예에 따르면, 통합 모듈은 SIEM 서비스가 통일적으로 제공화될 수 있도록 표준화된/통일화된 하나 이상의 컨텐츠 (contents)/데이터/정보를 포함할 수 있다.
예를 들어, 표준화된 하나 이상의 컨텐츠/데이터/정보는 아래 컨텐츠/데이터/정보 중 하나 이상을 포함할 수 있다.
1) 로그 필드 정보/데이터
일 실시예에 따르면, 로그 필드 정보는 보안 장비 및/또는 장치 (예를 들어, 다수의 클라이언트 디바이스들) 에서 수집되는 로그의 분석을 위하여 로그를 필드 단위로 부여하는데 필요한 컨텐츠/데이터/정보일 수 있다.
2) 로그 파서 정보/데이터
일 실시예에 따르면, 로그 파서 정보는 보안 장비 및/또는 장치 별 로그 특성에 따라 필드 및/또는 필드 기준을 구분하는 방식이 정리된 컨텐츠/데이터/정보일 수 있다.
3) 오브젝트 정보/데이터
일 실시예에 따르면, 오브젝트 정보는 단일 경보에 조건으로 사용되는 하나 이상의 값이 정리된 컨텐츠/데이터/정보일 수 있다.
4) 단일 경보 정보/데이터 (경보 정보/데이터)
일 실시예에 따르면, 단일 경보 정보는 위협 상황, 이벤트 및/또는 시나리오가 룰 (rule) 셋으로 정리된 컨텐츠/데이터/정보일 수 있다. 예를 들어, 특정 상황, 이벤트, 시나리오가 발생되면, 시스템에 대한 공격이 있는 것으로 판단될 수 있으며, 이 경우 룰 셋으로 정리된 단일 경보가 이용될 수 있다. 예를 들어, 기 등록되지 않은 IP 어드레스를 통한 접속 시도가 일정 임계치 이상으로 발견되는 경우, 허가되지 않은 사용자 ID 를 통한 접속 시도가 발견되는 경우 등일 수 있다.
5) 목록화 DB 정보/데이터
일 실시예에 따르면, 목록화 DB 정보는 과거에 발생된 로그 정보가 저장된 컨텐츠/데이터/정보일 수 있다. 일 실시예에 따르면, 목록화 DB 에 포함된 데이터는 위협 상황에 대한 분석 시 비교 데이터로 활용될 수 있다.
6) 로그 유형 정보/데이터
일 실시예에 따르면, 로그 유형 정보는 SIEM 설치 후 필수적으로 설정되어야 하는 값으로, 서버 내 각 저장소에 설정될 수 있다. 일 실시예에 따르면, 검색 속도의 최적화를 위하여 서버 내 각 저장소에 개별적으로 로그 유형이 설정될 수 있다.
7) 침해 사고 가이드 정보/데이터
일 실시예에 따르면, 침해 사고 가이드 정보는 확인된 위협 상황, 이벤트 및/또는 시나리오 각각에 대한 대응방안을 안내하는 컨텐츠/데이터/정보일 수 있다. 예를 들어, 위협 상황, 이벤트 및/또는 시나리오의 종류에 따라 대응방안이 안내될 수 있다.
8) 검색 쿼리문 정보/데이터
일 실시예에 따르면, 검색 쿼리문 정보는 로그 검색을 통한 위협 징후 분석을 위하여 사용되는 빈도수가 (상대적으로 및/또는 일정 임계 이상으로) 높은 하나 이상의 검색 쿼리문에 대한 정보로, 자주 사용되는 검색 쿼리문에 대한 정보일 수 있다. 예를 들어, 검색 쿼리문은 이전 서비스 제공 히스토리 및/또는 이전에 서비스를 제공 받은 클라이언트 디바이스로부터의 피드백 정보에 기초하여 미리 설정/정의/업데이트된 것일 수 있다. 일 실시예에 따르면, 자주 사용되는 검색 쿼리문이 미리 제공되어 검색 조건에 대한 신규 생성에 따른 반복 작업이 감소될 수 있다.
9) 필드 구성 프로파일 정보/데이터
일 실시예에 따르면, 필드 구성 프로파일 정보는 검색 결과를 위하여 사용되는 빈도수가 (상대적으로 및/또는 일정 임계 이상으로) 높은 하나 이상의 필드 구성 프로파일에 대한 정보로, 검색 결과로 자주 사용되는 필드 구성 프로파일에 대한 정보일 수 있다. 예를 들어, 필드 구성 프로파일은 이전 서비스 제공 히스토리 및/또는 이전에 서비스를 제공 받은 클라이언트 디바이스로부터의 피드백 정보에 기초하여 미리 설정/정의/업데이트된 것일 수 있다.
10) 유해 IP 정보/데이터
일 실시예에 따르면, 유해 IP (internet protocol) 정보는 공격 징후가 분석된 하나 이상의 IP 에 대한 정보일 수 있으며, 이전 서비스 제공 히스토리 및/또는 이전에 서비스를 제공 받은 클라이언트 디바이스로부터의 피드백 정보에 기초하여 미리 설정/정의/업데이트된 것일 수 있다.
11) 유해 URL 정보/데이터
일 실시예에 따르면, 유해 URL (uniform resource locator) 정보는 공격 징후가 분석된 하나 이상의 URL 에 대한 정보일 수 있으며, 이전 서비스 제공 히스토리 및/또는 이전에 서비스를 제공 받은 클라이언트 디바이스로부터의 피드백 정보에 기초하여 미리 설정/정의/업데이트된 것일 수 있다.
12) 사용자 정의 대시 보드 정보/데이터
일 실시예에 따르면, 사용자 정의 대시 보드 정보는 사용되는 빈도수가 (상대적으로 및/또는 일정 임계 이상으로) 높은 하나 이상의 대시 보드에 대한 정보로, 자주 사용되는 사용자 정의 대시 보드에 대한 정보일 수 있다. 예를 들어, 사용자 정의 대시 보드는 이전 서비스 제공 히스토리 및/또는 이전에 서비스를 제공 받은 클라이언트 디바이스로부터의 피드백 정보에 기초하여 미리 설정/정의/업데이트된 것일 수 있다.
일 실시예에 따른 동작 470 에서, 로그 수집 모듈이 설치될 수 있다. 일 실시에에 따르면, 로그 수집 모듈은 보안 장비 및/또는 장치 (예를 들어, 다수의 클라이언트 디바이스들) 에서의 로그를 수집하기 위한 것일 수 있다.
일 실시예에 따르면, SIEM 소프트웨어와 관련된 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 수행될 수 있으며, 이에 대한 일 예는 동작 410 내지 470 에서 상술된 바와 같다.
일 실시예에 따르면, SIEM 소프트웨어와 관련된 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 수행됨에 있어서, 복수의 구성 요소들 중 특정 구성 요소의 적어도 일부가 서버에 이미 설치된 것으로 식별되는 경우, 해당 특정 구성 요소의 적어도 일부를 제외한 나머지가 설치될 수 있다.
예를 들어, 동작 460 에서 통합 모듈의 설치를 위한 동작이 수행될 때, "침해 사고 가이드" 가 서버에 이미 설치된 것으로 식별/확인되면, 공격 탐지, 비정상 이상행위 탐지, 신규 공격 기술 탐지 대응 능력 강화 및 축적을 위한 서비스 플랫폼 모듈, 서비스 관리자를 위한 UI, 분석 엔진 및 통계 모듈과 표준화된 하나 이상의 컨텐츠/데이터/정보 중 "침해 사고 가이드" 를 제외한 나머지 컨텐츠/데이터/정보가 설치될 수 있다.
일 실시예에 따르면, SIEM 소프트웨어와 관련된 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 수행됨에 있어서, 복수의 구성 요소들 중 특정 구성 요소의 적어도 일부가 서버에 이미 설치된 것으로 식별되는 경우, 해당 특정 구성 요소의 적어도 일부에 대한 재설치/업데이트 필요 여부가 확인될 수 있다.
예를 들어, 동작 460 에서 통합 모듈의 설치를 위한 동작이 수행될 때, "유해 IP 정보" 가 서버에 이미 설치된 것으로 확인되었으나, 서버에 이미 설치된 유해 IP 정보에 대한 업데이트가 필요한 경우 (예를 들어, 표준화된 하나 이상의 컨텐츠/데이터/정보에 포함된 유해 IP 정보와 서버에 설치된 유해 IP 정보가 상이한 경우 등), 공격 탐지, 비정상 이상행위 탐지, 신규 공격 기술 탐지 대응 능력 강화 및 축적을 위한 서비스 플랫폼 모듈, 서비스 관리자를 위한 UI, 분석 엔진 및 통계 모듈과 "유해 IP 정보" 를 포함하는 모든 표준화된 하나 이상의 컨텐츠/데이터/정보가 설치될 수 있다. 예를 들어, 유해 IP 정보를 포함하는 모든 표준화된 하나 이상의 컨텐츠/데이터/정보가 설치됨에 따라, 서버에 설치되었던 유해 IP 정보는 재설치/재설정/업데이트될 수 있다. 다른 예시로, 서버에 이미 설치된 유해 IP 정보에 대한 업데이트가 불필요한 경우, 공격 탐지, 비정상 이상행위 탐지, 신규 공격 기술 탐지 대응 능력 강화 및 축적을 위한 서비스 플랫폼 모듈, 서비스 관리자를 위한 UI, 분석 엔진 및 통계 모듈과 표준화된 하나 이상의 컨텐츠/데이터/정보 중 "유해 IP 정보" 를 제외한 나머지 컨텐츠/데이터/정보가 설치될 수 있다.
일 실시예에 따른 동작 410 내지 동작 470 의 수행 중, 서버의 디스플레이 상 표시되는 화면의 일 예는 표 1 과 표 2 을 참조할 수 있다.
[표 1]
Figure 112021115962168-pat00001
[표 2]
Figure 112021115962168-pat00002
표 1 및 표 2를 참조하면, 일 실시예에 따르면, SIEM 소프트웨어에 포함된 복수의 구성 요소들 중 특정 구성 요소에 대한 설치 명령이 입력되기 위한 필드와, 특정 구성 요소의 설치에 있어서 요구되는 정보가 입력되기 위한 필드가 제공될 수 있다. 예를 들어, 각 필드의 정보는 사용자로부터 입력될 수 있거나 및/또는 설치 소프트웨어에 포함된 하나 이상의 스크립트의 명령에 따라 미리 정의/설정된 값으로 자율적으로 입력될 수 있다.
일 실시예에 따르면, RDBMS 에 기초한 데이터베이스의 설치 (Install MariaDB), 관리 모듈/미들웨어의 설치 (Install Manager/Middleware), 검색 엔진 모듈의 설치 (Install IGBD(Sparrow), 통합 모듈의 설치 (Install SPiDER TM), 로그 수집 모듈의 설치 (Install SpCollect) 에 대한 명령과 설치 프로그램에서 나가기 (Exit) 위한 명령 각각에 대응되는 인덱스가 부여될 수 있다. 예를 들어, 입력 필드 (Input) 에 입력된 인덱스에 따라 대응되는 후속 동작이 수행될 수 있다.
일 실시예에 따르면, 입력 필드에 "1" 이 입력된 경우, RDBMS 에 기초한 데이터베이스의 설치가 수행될 수 있다.
일 실시예에 따르면, 입력 필드에 "2" 가 입력된 경우, 관리 모듈/미들웨어의 설치가 수행될 수 있다. 일 실시예에 따르면, 관리 모듈/미들웨어의 설치에 필요한 정보가 입력되기 위한 입력 필드가 제공될 수 있다. 예를 들어, 관리 모듈/미들웨어의 데이터베이스의 IP 어드레스 입력 필드, 관리 모듈/미들웨어의 루트 패스워드 (root password) 입력 필드, 관리 모듈/미들웨어의 데이터베이스 명칭 입력 필드, 관리 모듈/미들웨어의 데이터베이스의 사용자 명칭 입력 필드, 관리 모듈/미들웨어의 데이터베이스의 사용자 패스워드 (user password) 입력 필드, 관리 모듈/미들웨어의 데이터베이스의 포트 입력 필드가 제공될 수 있다. 예를 들어, 각 입력 필드의 적어도 일부에는, 기본값 (default value) 이 부여될 수 있으며, 입력 필드에 다른 값이 입력되지 않는 경우에는 기본값이 사용될 수 있다. 예를 들어, 관리 모듈/미들웨어의 데이터베이스의 사용자 명칭이 입력되지 않은 경우, "admin" 이 사용자 명칭으로 사용될 수 있다.
도 5 는 본 발명의 일 실시예에 따른 SIEM 소프트웨어의 구성 (architecture) 의 일 예를 나타낸 도면이다.
특별히 달리 언급되지 않는 한, 도 5 를 참조하여 설명되는 SIEM 소프트웨어는 전술된 본 발명의 일 실시예에 따른 설치 방법에 따라 설치된 것일 수 있다.
특별히 달리 언급되지 않는 한, 도 5 를 참조하여 설명되는 SIEM 소프트웨어의 구성에 포함된 각 구성 요소는 논리적 (logical) 구성 요소로 이해될 수 있으며, 각 구성 요소의 역할/동작은 SIEM 소프트웨어가 설치된 서버의 동작으로 이해될 수 있다.
도 5를 참조하면, 일 실시예에 따른 SIEM 소프트웨어는 수집부(510), 전처리부(520), 학습 및 탐지부(530), 서비스 제공부(540) 및 저장부(550)를 포함할 수 있다.
일 실시예에 따르면, 수집부(510)는 네트워크 및/또는 외부 장치로부터 실시간으로 정보/데이터 (예를 들어, 위협/공격 분석에 사용될 로그 정보) 를 수신하고, 이를 저장하거나 및/또는 전처리부(520)로 포워딩할 수 있다. 또는, 일 실시예에 따르면, 수집부(510)는 네트워크 및/또는 외부 장치로 데이터를 송신할 수도 있다.
일 실시예에 따르면, 전처리부(520)는 수집부(510)부터 포워딩된 데이터를 전처리하고, 이를 저장하거나 및/또는 학습 및 탐지부(530)로 포워딩할 수 있다. 예를 들어, 전처리부(520)는 수집된 로그 정보에 포함된 정보를 유의미한 정보와 무의미한 정보로 정제/분리할 수 있으며, 유의미한 정보를 저장 및/또는 학습 및 탐지부(530)로 포워딩할 수 있다.
일 실시예에 따르면, 학습 및 탐지부(530)는 전처리부(520)로부터 포워딩된 데이터를 분석하여 네트워크 및/또는 네트워킹된 장치에 대한 공격 등을 식별하고 및/또는 공격이 진행 중인 경우 대항책을 수행 및/또는 공격에 대한 방해 및/또는 공격에 의한 손상 완호/복구를 수행할 수 있다.
일 실시예에 따르면, 학습 및 탐지부(530)는 인공지능 (artificial intelligence, AI) 기반으로 동작할 수 있다. 인공지능 시스템은 인간 수준의 지능을 구현하는 컴퓨터 시스템이며, 기존 Rule 기반 스마트 시스템과 달리 기계가 스스로 학습하고 판단하며 똑똑해지는 시스템이다. 인공지능 시스템은 사용할수록 인식률이 향상되고 사용자 취향을 보다 정확하게 이해할 수 있게 되어, 기존 Rule 기반 스마트 시스템은 점차 딥러닝 기반 인공지능 시스템으로 대체되고 있다.
인공지능 기술은 기계 학습(딥러닝) 및 기계 학습을 활용한 요소 기술들로 구성된다. 기계 학습은 입력 데이터들의 특징을 스스로 분류/학습하는 알고리즘 기술이며, 요소 기술은 딥러닝 등의 기계 학습 알고리즘을 활용하여 인간 두뇌의 인지, 판단 등의 기능을 모사하는 기술로서, 언어적 이해, 시각적 이해, 추론/예측, 지식 표현, 동작 제어 등의 기술 분야로 구성된다.
일 실시예에 따르면, 데이터의 분석에는 지도 및/또는 비지도 학습에 따른 기계 학습에 기초하여 미리 설정된 인공 지능 시스템이 이용될 수 있다. 예를 들어, 지도 학습에 기초하여 특정 위험 상황(예를 들어, 허가되지 않은 IP 어드레스를 통한 접속 시도, 허가되지 않은 사용자 ID 를 통한 접속 시도 등)에서의 위험도 판단이 도출될 수 있으며, 비지도 학습에 기초하여 기타 다른 위험 상황이 추가로 도출될 수 있다. 일 실시예에 따른 지도 및/또는 비지도 학습에는 예를 들어, 인공 지능 시스템에는 CNN (Convolutional Neural Network), DNN (Deep Neural Network), RNN (Recurrent Neural Network), RBM (Restricted Boltzmann Machine), DBN (Deep Belief Network), BRDNN(Bidirectional Recurrent Deep Neural Network) 또는 심층 Q-네트워크 (Deep Q-Networks) 등이 이용될 수 있으나, 본 발명이 이에 한정되는 것은 아니다.
일 실시예에 따르면, 학습 및 탐지부(530)는 로그 정보에 대한 분석에 기초하여 식별된 이벤트가 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 위협 시나리오를 포함하는 경보 규칙 집합에 기초하여 해당 이벤트가 네트워크 및/또는 네트워킹된 장치에 대한 공격 등인지 여부를 판단/결정할 수 있다.
일 실시예에 따르면, 학습 및 탐지부(530)는 SIEM 서비스 제공 이력에 기초하여 경보 규칙 집합을 업데이트할 수 있다. 일 실시예에 따르면, 학습 및 탐지부(530)는 SIEM 서비스 제공 이력에서 식별된 복수의 공격들의 각 유형을 분류하고, 분류된 유형에 기초하여 학습 데이터를 생성/획득할 수 있다. 일 실시예에 따르면, 학습 및 탐지부(530)는 생성된 학습 데이터를 이용한 기계 학습에 기초하여 경보 규칙 집합을 업데이트할 수 있다. 이에 따라, 이전의 경보 규칙 집합에 포함되지 않았던 새로운 공격 유형에 대응되는 시나리오가 경보 규칙 집합에 새로 반영될 수 있다. 예를 들어, 경보 규칙 집합의 업데이트를 위한 기계 학습 과정에서 피드백 정보가 입력되는 경우, 학습 데이터와 피드백 정보를 이용하여 기계 학습이 수행될 수 있다.
상술된 일 실시예는 경보 규칙 집합의 업데이트에 기계 학습이 사용되는 것을 예로 들었으나, 경보 규칙 집합 외 다른 정보/파라미터도 기계 학습을 통하여 업데이트/재설정될 수 있다.
일 실시예에 따르면, 학습 및 탐지부(530)는 SIEM 서비스 제공 이력에 기초하여 SIEM 소프트웨어와 관련된 아이템/파라미터를 업데이트할 수 있다. 일 실시예에 따르면, 학습 및 탐지부(530)는 SIEM 소프트웨어와 관련된 아이템/파라미터의 사용 빈도수 및/또는 사용되는 빈도수에 기초하여 SIEM 소프트웨어와 관련된 아이템/파라미터를 업데이트할 수 있다.
예를 들어, 특정 주기로 로그 정보에 대한 분석이 수행될 수 있다. 예를 들어, 특정 주기로 사용 가능한 제1 주기와 제2 주기 중, 제1 주기의 사용 빈도수가 제2 주기의 사용 빈도수 보다 높은 경우, 별도의 입력 없이도 기본 (default) 으로 제1 주기에 따라 로그 정보에 대한 분석이 수행되도록 업데이트될 수 있다.
다른 예시로, 후술될 바와 같이 학습 및 탐지부(530)에서 탐지된 네트워크 및/또는 네트워킹된 장치에 대한 공격에 대한 시각화 정보가 서비스 제공부(540)에서 표시될 수 있다. 예를 들어, 제1 유형의 시각화 정보의 사용 빈도수가 제2 유형의 시각화 정보의 사용 빈도수 보다 높은 경우, 별도의 입력 없이도 기본으로 제1 유형의 시각화 정보가 출력되도록 업데이트될 수 있다.
일 실시예에 따르면, 학습 및 탐지부(530)는 사용 빈도수에 따른 업데이트를 수행하기 위하여, 사용 빈도수에 따른 가중치 요소 (weight factor) 를 부여하고, 부여된 가중치 요소에 기초하여 업데이트를 수행할 수 있다.
예를 들어, 특정 주기로 사용 가능한 제1 주기와 제2 주기 중, 제1 주기의 사용 빈도수가 제2 주기의 사용 빈도수 보다 높은 경우, 제1 주기에 부여되는 제1 가중치 요소가 제2 주기에 부여되는 제2 가중치 요소보다 클 수 있으며, 더 큰 가중치 요소에 대응되는 제1 주기가 기본 주기로 사용되도록 업데이트될 수 있다. 다른 예시로, 가중치 요소에 따른 필터링 값이 기본 주기로 설정될 수도 있다. 예를 들어, 제1 가중치 요소와 제2 가중치 요소가 고려된 제1 주기와 제2 주기의 평균값이 기본 주기로 설정될 수도 있다.
일 실시예에 따르면, 서비스 제공부(540)는 SIEM 소프트웨어의 관리/설정을 위한 인터페이스를 제공할 수 있다. 예를 들어, 서비스 제공부(540)는 네트워크 및/또는 네트워킹된 장치에 대한 공격에 대한 시각화 정보 (예를 들어, 그래프, 표, 텍스트 메시지 출력 등) 를 생성할 수 있다. 예를 들어, 서비스 제공부(540)는 수집부(510), 전처리부(520), 학습 및 탐지부(530) 및 서비스 제공부(540)의 제어 및/또는 SIEM 소프트웨어를 위한 파라미터의 변경/입력 등을 위한 UI 를 제공할 수 있다.
일 실시예에 따르면, 저장부(550)는 분산 파일 시스템에 기초하여 동작할 수 있으며, 수집부(510), 전처리부(520), 학습 및 탐지부(530) 및 서비스 제공부(540)의 동작 과정에서 생성되는 데이터를 임시로 저장하거나 및/또는 수집부(510), 전처리부(520), 학습 및 탐지부(530) 및 서비스 제공부(540)에서 생성된 데이터를 저장할 수 있다.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
100 : 제1 디바이스
200 : 제2 디바이스
210 : 입/출력부
220 : 통신부
230 : 저장부
240 : 프로세서
510 : 수집부
520 : 전처리부
530 : 학습 및 탐지부
540 : 서비스 제공부
550 : 저장부

Claims (12)

  1. 장치에 의하여 수행되는 방법에 있어서,
    상기 장치가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및
    상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함하고,
    상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함하고,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들 중 적어도 일부가 상기 장치에 기 설치된 것으로 식별되는 구성 요소에 대해서는 상기 기 설치된 적어도 일부를 제외한 나머지가 설치되며,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작은: 오픈 소스 (open source) 에 기초한 패키지 (package) 의 설치; 상기 패키지의 설치 이후 수행되는 RDBMS (relational database management system) 에 기초한 데이터베이스의 설치; 상기 데이터베이스의 설치 이후 수행되는 관리 모듈의 설치; 상기 관리 모듈의 설치 이후 수행되는 미들웨어 (middleware) 모듈의 설치; 상기 미들웨어 모듈의 설치 이후 수행되는 검색 엔진 모듈의 설치; 상기 검색 엔진 모듈의 설치 이후 수행되는 통합 모듈의 설치; 및 상기 통합 모듈의 설치 이후 수행되는 로그 수집 모듈의 설치; 를 포함하고,
    상기 데이터베이스의 설치에서, 상기 데이터베이스를 위한 포트 (port) 는 상기 하나 이상의 스크립트에 기초하여 자율적으로 설정되는, 방법.
  2. 제 1 항에 있어서,
    상기 통합 모듈은, SIEM 서비스를 위하여 미리 설정된 표준화된 복수의 데이터들을 포함하고:
    상기 복수의 데이터는: 수집되는 로그 정보에 대한 분석을 위하여 로그를 필드 단위로 부여하기 위한 로그 필드에 대한 로그 필드 데이터, 상기 로그 정보에 대응되는 외부 장치의 특성에 따라 필드를 구분하기 위한 방식과 관련된 로그 파서에 대한 로그 파서 데이터, 상기 로그 정보에 대한 파싱 후, 상기 파싱된 로그 정보에 대한 분석에 기초하여 식별된 이벤트가 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 위협 시나리오를 포함하는 경보 규칙 집합 (rule set) 에 대한 경보 데이터, 상기 경보 규칙 집합을 위하여 사용되는 오브젝트 (object) 데이터, 상기 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 비교 데이터를 포함하는 목록화 데이터베이스, 상기 이벤트의 종류에 대응되는 대응방안을 가이드 하기 위한 침해 사고 가이드 데이터, 상기 로그 정보에 대한 분석에서 사용되는 빈도수가 일정 임계 이상으로 높은 하나 이상의 검색 쿼리문에 대한 검색 쿼리문 데이터, 상기 하나 이상의 검색 쿼리문과 관련된 검색 결과를 위하여 사용되는 빈도수가 일정 임계 이상으로 높은 하나 이상의 필드 구성 프로파일에 대한 필드 구성 프로파일 데이터, 공격 징후가 분석된 하나 이상의 IP (internet protocol) 에 대한 유해 IP 데이터, 상기 공격 징후가 분석된 하나 이상의 URL (uniform resource locator) 에 대한 유해 URL 데이터, 및 사용되는 빈도수가 일정 임계 이상으로 높은 하나 이상의 대시 보드에 대한 사용자 정의 대시 보드 데이터를 포함하는, 방법.
  3. 장치에 의하여 수행되는 방법에 있어서,
    상기 장치가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및
    상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함하고,
    상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함하고,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들 중 적어도 일부가 상기 장치에 기 설치된 것으로 식별되는 구성 요소에 대해서는 상기 기 설치된 적어도 일부를 제외한 나머지가 설치되며,
    상기 설치된 SIEM 소프트웨어를 이용하여 SIEM 과 관련된 서비스를 제공하는 동안 식별되는 상기 SIEM 소프트웨어의 파라미터와 관련된 사용되는 빈도수에 따라 부여되는 가중치 요소 (weigh factor) 에 기초한 업데이트를 수행하는 단계; 를 더 포함하는, 방법.
  4. 장치에 의하여 수행되는 방법에 있어서,
    상기 장치가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및
    상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함하고,
    상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함하고,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들 중 적어도 일부가 상기 장치에 기 설치된 것으로 식별되는 구성 요소에 대해서는 상기 기 설치된 적어도 일부를 제외한 나머지가 설치되며,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 상기 장치에 기 설치된 것으로 식별되고, 상기 특정 구성 요소의 적어도 일부에 대한 재설정이 필요하지 않다고 결정됨에 기초하여, 상기 특정 구성 요소 중 상기 적어도 일부를 제외한 나머지가 설치되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들에 포함된 특정 구성 요소의 적어도 일부가 상기 장치에 기 설치된 것으로 식별되고, 상기 특정 구성 요소의 적어도 일부에 대한 재설정이 필요하다고 결정됨에 기초하여, 상기 특정 구성 요소 중 상기 적어도 일부는 업데이트되는, 방법.
  5. 장치에 의하여 수행되는 방법에 있어서,
    상기 장치가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및
    상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함하고,
    상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함하고,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들 중 적어도 일부가 상기 장치에 기 설치된 것으로 식별되는 구성 요소에 대해서는 상기 기 설치된 적어도 일부를 제외한 나머지가 설치되며,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작의 수행 이전에, 상기 장치에 기 설치된 OS (operating system) 에 대하여 기 설정된 복수의 제2 설정값들 중 재설정이 필요하다고 결정된 하나 이상의 설정값을 재설정하는 동작이 상기 하나 이상의 스크립트에 기초하여 수행되고,
    상기 복수의 제2 설정값들은: 호스트명 설정, 보안 아키텍쳐 설정, 방화벽 설정, 네트워크 자동 연결 설정 프로그램 설정, 상기 장치에 포함된 하나 이상의 프로세서 (processor) 의 속도 구성 매개 변수 설정, 상기 하나 이상의 프로세서와 연결된 메모리 (memory) 에 대한 접근 최대화 설정, 상기 메모리의 관리 시스템 설정 및 프로세스 (process) 에 대한 자원 한도 설정; 각각에 대한 설정값을 포함하는, 방법.
  6. 제 1 항 내지 제5항 중 어느 한 항에 있어서,
    상기 SIEM 소프트웨어의 설치와 관련된 동작에 따라 상기 SIEM 소프트웨어가 설치된 이후, 상기 하나 이상의 스크립트에 포함된 셸 스크립트 (shell script) 에 기초하여 상기 설치된 SIEM 소프트웨어의 운용을 위하여 프로파일화된 복수의 제1 설정값들을 자율적으로 등록하는 단계; 를 더 포함하는, 방법.
  7. 제 6 항에 있어서,
    상기 프로파일화된 복수의 제1 설정값들은:
    수집되는 로그 정보에 대한 파싱을 수행하기 위하여 상기 로그 정보의 전처리에 사용되는 필드;
    상기 파싱을 수행하기 위한 파서; 및
    상기 로그 정보에 대한 파싱 후, 상기 파싱된 로그 정보에 대한 분석에 기초하여 식별된 이벤트가 위협 경보를 발생시켜야 하는 이벤트인지 여부를 판단하기 위한 위협 시나리오를 포함하는 경보 규칙 집합; 을 포함하는, 방법.
  8. 제 7 항에 있어서,
    상기 설치된 SIEM 소프트웨어를 이용하여 SIEM 과 관련된 서비스를 제공하는 동안 식별된 복수의 공격들에 대한 유형을 분류함에 기초하여 학습 데이터를 생성하는 단계; 및
    상기 학습 데이터를 이용한 기계 학습 (machine learning) 에 기초하여 상기 경보 규칙 집합을 업데이트하는 단계; 를 더 포함하는, 방법.
  9. 제 6 항에 있어서,
    상기 프로파일화된 복수의 제1 설정값들은:
    상기 장치가 통신을 수행하기 위한 IP 어드레스와 포트를 포함하는, 방법.
  10. SIEM 을 지원하기 위한 시스템을 구현하기 위한 장치에 있어서,
    메모리 (memory); 및
    상기 메모리와 연결된 하나 이상의 프로세서 (processor) 를 포함하고,
    상기 하나 이상의 프로세서는:
    상기 하나 이상의 프로세서가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하고,
    상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하고,
    상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함하고,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들 중 적어도 일부가 상기 장치에 기 설치된 것으로 식별되는 구성 요소에 대해서는 상기 기 설치된 적어도 일부를 제외한 나머지가 설치되는, 장치.
  11. 하나 이상의 프로세서 (processor) 가 방법을 수행하도록 하는 하나 이상의 스크립트 (script) 를 포함하는 설치 소프트웨어 (software) 를 저장하는 비-휘발성 (non-transitory) 컴퓨터-판독 가능 매체 (computer-readable medium) 에 있어서, 상기 방법은:
    상기 하나 이상의 프로세서가 SIEM (security information event management) 소프트웨어 (software) 의 설치와 관련된 동작을 수행하도록 하는 상기 하나 이상의 스크립트를 포함하는 상기 설치 소프트웨어로부터 상기 하나 이상의 스크립트를 식별하는 단계; 및
    상기 하나 이상의 스크립트에 기초하여 상기 SIEM 소프트웨어의 설치와 관련된 동작을 자율적으로 (autonomously) 수행하는 단계; 를 포함하고,
    상기 SIEM 소프트웨어는, 복수의 구성 요소들을 포함하고,
    상기 SIEM 소프트웨어의 설치와 관련된 동작이 수행됨에 따라, 상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 순차적으로 (sequentially) 수행되고,
    상기 복수의 구성 요소들 각각의 설치와 관련된 동작이 수행됨에 있어서, 상기 복수의 구성 요소들 중 적어도 일부가 기 설치된 것으로 식별되는 구성 요소에 대해서는 상기 기 설치된 적어도 일부를 제외한 나머지가 설치되는, 비-휘발성 컴퓨터-판독 가능 매체.
  12. 삭제
KR1020210134361A 2021-10-08 2021-10-08 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법 KR102351223B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210134361A KR102351223B1 (ko) 2021-10-08 2021-10-08 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210134361A KR102351223B1 (ko) 2021-10-08 2021-10-08 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법

Publications (1)

Publication Number Publication Date
KR102351223B1 true KR102351223B1 (ko) 2022-01-14

Family

ID=79342775

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210134361A KR102351223B1 (ko) 2021-10-08 2021-10-08 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법

Country Status (1)

Country Link
KR (1) KR102351223B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101451640B1 (ko) 2006-12-28 2014-10-16 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 컴퓨터 네트워크 보안을 보조하기 위한, 로그 데이터의 효과적인 저장과 질의의 지원
JP2017097858A (ja) * 2015-11-20 2017-06-01 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation クラウド環境における保証されたログ管理のためのアプリケーション・セルフサービス
JP2018530066A (ja) * 2015-09-30 2018-10-11 シマンテック コーポレーションSymantec Corporation 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
JP2021502625A (ja) * 2017-11-13 2021-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation セキュリティ異常を判定するコンピュータ実装方法、コンピュータ・システム、システム、およびコンピュータ・プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101451640B1 (ko) 2006-12-28 2014-10-16 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 컴퓨터 네트워크 보안을 보조하기 위한, 로그 데이터의 효과적인 저장과 질의의 지원
JP2018530066A (ja) * 2015-09-30 2018-10-11 シマンテック コーポレーションSymantec Corporation 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
JP2017097858A (ja) * 2015-11-20 2017-06-01 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation クラウド環境における保証されたログ管理のためのアプリケーション・セルフサービス
JP2021502625A (ja) * 2017-11-13 2021-01-28 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation セキュリティ異常を判定するコンピュータ実装方法、コンピュータ・システム、システム、およびコンピュータ・プログラム

Similar Documents

Publication Publication Date Title
US10235511B2 (en) Authentication integrity protection
US20210273958A1 (en) Multi-stage anomaly detection for process chains in multi-host environments
US10476749B2 (en) Graph-based fusing of heterogeneous alerts
EP3716110B1 (en) Computer-security event clustering and violation detection
US11374847B1 (en) Systems and methods for switch stack emulation, monitoring, and control
EP3716111B1 (en) Computer-security violation detection using coordinate vectors
JP6721596B2 (ja) 改善されたマルウェア保護のためにモバイルデバイスとの偽ユーザ対話を検出するための方法および装置
US20190109849A1 (en) Authentication integrity protection
US10476752B2 (en) Blue print graphs for fusing of heterogeneous alerts
US10735272B1 (en) Graphical user interface for security intelligence automation platform using flows
US11283690B1 (en) Systems and methods for multi-tier network adaptation and resource orchestration
US10666666B1 (en) Security intelligence automation platform using flows
KR102361766B1 (ko) 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치
US20220198322A1 (en) Techniques for auto-remediating security issues with artificial intelligence
US10826920B1 (en) Signal distribution score for bot detection
US20230132703A1 (en) Capturing Importance In A Network Using Graph Theory
US11595320B1 (en) Multi-tier resource, subsystem, and load orchestration
CA3184265A1 (en) Endpoint client sensors for extending network visibility
US11770380B1 (en) Systems and methods for enhanced network detection
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
US20170302516A1 (en) Entity embedding-based anomaly detection for heterogeneous categorical events
KR102351223B1 (ko) 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법
WO2017176676A1 (en) Graph-based fusing of heterogeneous alerts
KR102367546B1 (ko) 스트리밍 분석 및 배치 분석을 이용하는 이기종 간 하이브리드 상관 분석 방법 및 이를 지원하는 장치
US10726069B2 (en) Classification of log entry types

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant