이벤트 로그 상세보기 창 - 발생 로그 정보

페이지 정보

본문

발생 로그 정보: 발생한 이벤트의 로그 정보를 기반으로 분석 정보를 제공합니다. 해당 이벤트가 이상 행위에 의해 발생할 경우 이상 태그 및 이상 정보 설명이 함께 출력됩니다.

메뉴 위치: 이벤트 로그 > 이벤트 로그 상세보기 창 > 발생 로그 정보

이벤트 로그 상세보기 창 - 발생 로그 정보


46fc25159ea488ebf90a30f29a65add4_1697611465_5024.png

 

1. 수집 로그 정보

탐지목록 위젯에서 선택한 이벤트 로그가 발생한 환경의 정보를 나타냅니다. 이상 행위에 의해 발생할 경우 이상치 태그에 해당하는 영역이 표시됩니다.

1-1. 주체정보

발생주체와 발생시간 정보를 조회할 수 있습니다. 발생주체 정보는 그룹 정보를 포함합니다.

  • 발생주체 그룹 정보

항목명

설명

Root

루트 사용자의 접근 정보

IAMUser

IAM 유저의 접근 정보

Temporary User

임시 보안 자격 접근 정보

AWS

AWS 서비스에서의 접근 정보

Role

사용자에게 임시 자격 증명 부여

Unknown

위의 그룹으로 분류할 수 없는 기타 정보


1-2. 접속위치

발생 IP 정보와 리전 정보, 주소 정보를 제공합니다. 한국의 주소 정보일 경우 더 상세한 주소를 확인할 수 있습니다.


1-3. 접속방법
이벤트 접속 방법 정보를 나타냅니다. 접속방법 정보는 그룹 정보를 포함합니다.


  • 접속방법 그룹 정보

항목명

설명

Browser

브라우저를 이용한 접근 정보

AWS CLI

AWS CLI를 이용한 접근 정보

AWS SDKs

AWS SDK를 이용한 접근 정보

AWS Service

특정 AWS 서비스로부터의 접근 정보

AWS Internal

AWS 내부 작업 정보

API Client

API를 이용한 접근 정보

Unknown

값 정보가 부실해 분류할 수 없는 항목



1-4. 이벤트 정보

이벤트 로그의 발생된 서비스명 및 이벤트명을 조회할 수 있습니다. 이벤트 설명 및 이벤트 심각도를 참조해 보안 위협 영향도를 유추할 수 있습니다.


  • 이벤트 심각도

이벤트의 특징을 기반으로 영향성을 분류합니다. 위험 등급과는 별개로 이벤트 자체의 위험 요소를 독립적으로 평가합니다.


이벤트 심각도 등급

설명

Unrank

새롭게 발견된 추가 이벤트 또는 Event의  공식적인 설명 자료가 없는 경우

None

이벤트 반환값의 활용 가치가 낮음.
해당 이벤트로 인한 영향이 없거나 극히 약함.
이벤트 생성과 공격행위와의 관련성이 낮거나, 일반적으로 영향력이 낮음.

Level 1

반환값이 공격행위의 준비 단계로 활용될 수 있음.
데이터 조작이나 부분 파괴 행위로 서비스에 일부 악영향을 줄 수 있음.
직접적인 공격행위로 이어질 가능성이 있음.

Level 2

반환값 자체가 공격행위와 직접 연관됨.
서비스에 큰 타격을 줄 수 있는 직접적인 공격행위 가능.
데이터 유출 또는 시스템 안정성 방해와 같은 큰 영향을 줄 수 있는 행위.

Level 3

시스템 또는 서비스에 매우 큰 직접적인 영향을 줄 수 있는 이벤트.
안전 장치가 없거나 리소스 환경을 복구하는 데에 큰 제약이 있음.


2.이벤트 설명

발생 이벤트에 대한 공식 문서를 참고하여 요약본을 제공합니다. 우측 하단에 원본 문서로 이동할 수 있는 링크와 한국어 번역 버튼을 함께 제공합니다.


3. 수집 로그 상세 정보

수집 로그의 상세 정보를 제공합니다. 이상 행위 발생 시 이상치 태그와 함께 판단 근거를 제시합니다.


정상 이벤트 발생 시 발생 로그 정보

탐지목록에서 선택한 정상 이벤트에 대한 발생 정보를 표시합니다.

99513258decac2c1bc10a1cf4613a20e_1694495657_522.png

1. 정상 이벤트 발생 시의 수집 로그 정보입니다.

2. 정상 이벤트 발생 시의 수집 로그 상세 정보입니다. 지도차트를 통해 발생한 이벤트의 세부 정보를 확인할 수 있습니다.

 


이상 이벤트 발생 시 발생 로그 정보

탐지목록에서 선택한 이상 이벤트에 대한 발생 정보를 표시합니다.

99513258decac2c1bc10a1cf4613a20e_1694495674_6926.png

1. 이상 이벤트 발생 시의 수집 로그 정보

이상치로 분류된 영역이 붉은색으로 표시됩니다.


2. 이상 이벤트 발생 시의 수집 로그 상세 정보

지도차트를 통해 발생한 이벤트의 세부 정보를 확인할 수 있으며, 이상치 태그와 이상 분류 원인이 함께 출력됩니다.

이상 분류 원인은 기본적으로 평소 패턴 정보와 다를 시 이상치로 분류됩니다.

처음 발생한 행동 및 패턴 외 행동을 탐지하며, 접속위치 태그와 이벤트 정보 태그는 각각 TIPS 정보와 이벤트 심각도가 반영됩니다.


TIPS 이상 이벤트 발생 시 화면 예시

  • TIPS(TimeIPSentinel)

TIPS는 악성 IP로 의심되는 정보를 탐지하는 솔루션입니다.

위협 인텔리전스를 기반으로 유해 IP를 탐지하거나, 이전 위치와 발생 시간 대비 이상 이동 기록을 보인 IP를 탐지합니다.  


[TIPS] 유해 IP 탐지

99513258decac2c1bc10a1cf4613a20e_1694495688_9451.jpg

a. 유해 IP 탐지

IP 정보에 대한 위험 정보 탐지 시 발생 항목이 표기됩니다. 탐지하는 유해 정보는 아래와 같습니다.

  • 어뷰징

  • VPN 사용

  • 블랙리스트

  • relay

  • 프록시 정보

  • Tor tool 사용

  • bogon

  • 익명정보

  • 공격자 정보

  • 위협 정보

  • 클라우드 제공자



[TIPS] 발생 시간 대비 이상 이동 거리 탐지

99513258decac2c1bc10a1cf4613a20e_1694504358_5253.png

a. 이상 이동 거리 탐지

발생 위치가 이전 발생 위치와 비교해 이동 시간 및 거리가 비정상적인 경우 이상 거리가 표기됩니다. 주체 그룹이 IAMUser인 실제 사용자 정보만이 반영됩니다.


1. 발생 시간 대비 이상 이동 거리 탐지 차트

마지막 발생 기록 위치와 이상 위치가 지도 차트에 표시됩니다.


2. 이전 발생 위치

이전에 발생했던 기준 위치와 발생 시간이 표시됩니다.


3. 이상 발생 위치

선택한 이벤트 로그의 발생 위치와 시간이 표시됩니다.


4. 접속 이상 정보

접속 장소 간 거리 및 예상 경과 시간, 이벤트 발생 시간으로 추정한 실제 경과 시간이 표시됩니다.


4-1. 이 위치에서 발생한 이상 이벤트 버튼

클릭 시 이상 접속 위치의 IAM 유저가 발생시킨 이벤트를 조회합니다.

탐지목록 위젯 내 테이블과 유사한 테이블을 표시하며, 더 많은 이벤트 정보 혹은 필터 조작을 원할 경우 필터 적용 버튼을 통해 이벤트 로그 화면에서 확인할 수 있습니다.

(필터 적용됨 버튼 클릭 후 해당 화면으로 바로 이동 시 해당 규칙이 적용된 이벤트 로그 화면이 출력됩니다.)


99513258decac2c1bc10a1cf4613a20e_1694505525_7792.png