I N D E X [nadosoft.co.kr]nadosoft.co.kr/slider/PDF/aegisk/Definder.pdf · 차량관리시스템 외부에서사내로직원 및방문자의출 차량이력조회축적 출관리시스템

I N D E X

PRODUCTⅠ

REFERENCEⅡ

PRODUCTⅠ

1. Dfinder LMS 개요

4

빅데이터에 대한 시장의 요구

배 경

목 표

추진범위

국가 정보보안 기본지침 및 개인정보보호법 등 의무사항 준수를 위한 각종 로그 의무 보관 및 위·변조 방지 필요

최근 해킹 기법의 고도화로 인해 침해사고에 대한 추적 및 대응 체계 강화 필요

보안관련 로그를 탐지, 분석, 대응할 수 있는 통합 모니터링 및 연관/상관 분석 필요

각종 법령 및 지침에서 요구하는 로그에 대한 다양한 관리 방안 제공

개인정보영향평가 등 감사 대비를 위한 근거 데이터 제공

민감한 정보에 대한 안전한 수집/저장 기능

가장 기초 데이터인 로그의 생성에서 폐기에 이르는 로그 생명 주기 관리

필 요 기 반 기 술

Dfinder LMS는 Compliance 준수를 위한 로그관리와 보안로그관리를 위해 필요한 플랫폼기술, 분석/탐지기술, 모니터링/리포트를

구현하기위해다양한기능을제공하고있습니다.

2. Dfinder LMS 제품 소개 Dfinder LMS 주요 기능

5

Dfinder LMS는 갈수록 복잡해지는 정보시스템들을 관리하고 침해사고에 대비하기 위해 로그 관리의 중요성이 높아지고 있으며,

관련 지침들에 대한 체계도 잡혀가고 있습니다.

Compliance 준수 및 로그 라이프사이클

6

2. Dfinder LMS 제품 소개

*공공기관+정보 시스템 구축운영 및 기술지침- 주요 시스템 로그보관, 백업 및 분석지침 수립- 최소 6개월 이상 원본로그 백업- 주요 정보제공 시스템은 주 1회 이상 로그 분석- 로그의 무결성 보관 및 인가된 자만 조회

+G-ISMS(전자정부 정보보호관리체계)- 전자정부법 제 24조 및 제 56조- 전자정부법 시행령 제 20조- 정보통신망 이용촉진 및 정보보호 법률 제 47조- 행정안전부와 그 소속기관 직제 제 20조 제 83호

*일반기관+ISMS(정보보호 관리체계)- 11.2 운영관리 항목 중 '로그관리' 부분- 14.3 접근/사용 모니터링, 감사기록 분석 및 보관- 시스템 접속 및 운영기록 등 주요 로그파일 백업- 산업기술유출방지법 시행

+ISO 27001/BS7799- A.10.10.3 로그정보와 로그설비 대한 보호- A.10.10.4 시스템 권한 및 운영자 활동 로그로 남김- A.10.10.5 Fault는 기록, 분석 및 조치 시행- A.15 법적, 정책적, 기술적, 감사적 요구사항 준수

*금융기관+전자금융거래법- 무 권한거래에 대한 금융사의 배상책임 부여- 전자금융 고객피해 발생 시 금융사의 우선 배상- 분쟁상황 발생 시 법적 증빙자료 필요성 증대

+전자금융감독규정 시행 세칙- 서버접속 일시, 접속자, 접근내역 확인 기록 유지

생성/

수집

탐지

저장분석/

통계

폐기

• Agent/Agentless• 정형/비정형로그• 파싱/실시간 조인

• In memory CEP• Event triger

• 분산저장/복제• 해시 생성/비교

• 분석 로드밸런싱• 배치성통계• Visualization

• 저장소별보관기한 설정

로그 라이프사이클 관리

3. Dfinder LMS 시스템 구성도 Dfinder LMS 시스템 구성도

7

디스크 저장

인덱스

Agent

Agentless

모니터링4

5

1 2 3 4 5 6 7 : 시간기준 처리 순서

수집기1

필드화

조인

파서2

실시간 검색

비실시간 검색

배치 스크립트

검색엔진6

유출탐지 시나리오

복합 룰엔진

실시간CEP3

리포트7

인덱싱

구조화

인덱서4

장기간 개인정보유출모니터링 및 이상금융거래탐지 관련 프로젝트를 통하여 축적된 다양한 경험을 토대로 검증되고 안정적인 빅

데이터 기반의 로그관리 및 분석이 가능합니다. 사후 시스템의 확장 시 Scale-Out을 통한 시스템의 확장이 용이한 강점이 있습니

다.

4. Dfinder LMS 특장점 Dfinder LMS 특장점

8

Query Engine

Log Collector

Parser

IndexerLOG LOG LOG

Index4. 로딩

1. 파싱 2. 인덱싱

3. 디스크 저장

5. 탐지

시간(Time)

수집(t)

1. 파싱(t+ms)

2. 인덱싱(t+ms+ms)

3. 저장(t+ms+ms+s)

4. 로딩(t+ms+ms+s+s)

CEP Engine

Log Collector

Parser

IndexerLOG LOG LOG

Index

2. 로딩

1. 파싱 4. 인덱싱

5. 디스크 저장

3. 탐지

시간(Time)

수집(t)

1. 파싱(t+ms)

2. 로딩(t+ms+ms)

3. 탐지(t+ms+ms+ms)

4. 인덱싱(t+ms+ms+ms+ms)

5. 저장(t+ms+ms+s)

메모리영역 메모리영역

디스크영역 디스크영역

5. 탐지(t+ms+ms+s+s+ms)

장기간 개인정보유출모니터링 및 이상금융거래탐지 관련 프로젝트를 통하여 축적된 다양한 경험을 토대로 검증되고 안정적인 빅

데이터 기반의 로그관리 및 분석이 가능합니다. 사후 시스템의 확장 시 Scale-Out을 통한 시스템의 확장이 용이한 강점이 있습니

다.

4. Dfinder LMS 특장점 Dfinder LMS 특장점

9

< 확장, 분산저장>

P1 P2

Cluster

P3 P4 P5

Mode 2

분석서버모듈

Mode 3

분석서버모듈

수집 성능/용량 확장 가능 데이터 분산 저장 가능

분석서버모듈

메니저서버모듈

Mode 1

H/WHA(n+1)

< 확장, 분산저장>

P1 P2

Mode 2 Mode 3

● Pn : Primary Shard

Cluster

P3 P4 P5

분석서버모듈 분석서버모듈 분석서버모듈

메니저서버모듈

수집 성능/용량 확장 가능 데이터 분산 저장 가능

Mode 1

H/W HA(n+1)

< 확장 Scale-Out >

P1 P2

R3

Node 2 Node 3

● Pn : Primary Shard

● Rn : Replica Shard

Cluster

P3 P4

R1

P5

R2 R4R5

분석서버모듈 분석서버모듈 분석서버모듈

메니저서버모듈

수집 성능/용량 확장 가능 데이터 분산 저장 가능 저장 데이터 이중화 검색서버 로드밸런싱 검색 데이터 로드밸런싱

Node 1

HA(n+1)

4. Dfinder LMS 특장점 Dfinder LMS 특장점

10

구분 항목 인터리젠 DFINDER Splunk A사 솔루션 B사 솔루션 C사 솔루션 D사 솔루션

아키텍처

제품 형태 (H/W or S/W) appliance 또는 S/W S/W appliance applianceappliance(Logger의 경우 S/W type도 제공)

appliance

운영 체제 Linux, UNIX 계열 지원 Windows, Linux, UNIX 계열 지원

- LCAppliance: Linux- LCManager: Windows 2008

windows SQL ServerMS-Word

- LCSaver: Linux

Hardened Windows Redhat Linux 미확인

제품 구성

- standalone 가능- 1식 구성 가능- 병렬로 무한 확장 가능

- Standalone 가능- 병렬로 무한 확장 가능(forwarder + indexer + search head

)

- LCAppliance: 로그 수집- LCManager: 로그 분석- LCSaver: 로그 저장

- standalone 가능- 제한적 확장 가능

- ArcSight Express: standalone- ArcSight ESM + logger

- Standalone 가능

Scale-out 지원 지원 미지원 미지원 미지원 미지원

Replication 지원 지원 미지원 미지원 미지원 미지원

사용 DB 자체 DB + MariaDB 자체 DB MS-SQL 2008 + MEMORY DB 자체 DB + MS-SQL Oracle- HADOOP 기반 분산형 데이터 처리- 통계 RDBMS 사용

로그 수집

연동 범위(agent 포함)

- Agent/Agentless, syslog, SNMP 지원- JDBC 연동 지원- (S)FTP, BATCH 지원

Agent 사용- splunk forwarder 제공- 외부 시스템내 파일 시스템 모니

터링- script 실행에 따른 배치 로딩 지원

syslog 지원

-agent 사용, SYSLOG, SNMP 지원- Terminal Loging Recorder- SFTP, BATCH 지원

- Agent/Agentless 사용- ODBC 연동- SNMP trap

Agent 사용(SmartConnector)

Agent, Agentless, FILE/DB 연동, SNMP 지원

NetFlow 지원 수집 가능 여부 지원 지원 미확인 미확인 미확인 지원

모든 이벤트 type 및 상세 이벤트 내용 로깅

지원 지원 지원 지원 지원 지원

신규 로그 연동 자동화 기능지원- 스크립트 기반 연동

지원-스크립트 기반의 원시로그 연동- 자동 포맷 인식

미지원(로그포맷 수동 분석 후, 1-2주내 적용)

지원지원(FlexConnector 사용)

지원-스크립트 기반 연동

멀티라인 로그 수집 지원 지원 미확인 지원 미확인 지원

로그 분석

drill-down 및 partial-text 검색 지원지원(drill-down 검색)

지원 지원 지원지원(drill-down path 검색)

지원

실시간 상관 분석 지원 지원 주기적 데이터 쿼리 방식 미확인 지원 지원 미확인

멀티레벨 상관 분석 지원 지원 미확인 지원 지원 지원 지원

group by 검색 지원 지원 지원 지원 미확인 미확인

시나리오 검색 지원 지원 지원 지원 미확인 지원

Full Text 검색 지원 지원 미확인 미확인 미확인 지원

실시간 모니터링실시간 모니터링 및 통계 제공 지원 지원 지원 지원 지원 지원

사용자 정의 대시보드 지원 지원 지원 지원 지원 지원 지원

이용 편의성

직관적인 UI 제공 지원 지원 지원 지원 지원 지원

상세 이용 가이드문서 제공 지원 지원 지원 지원 지원 지원

대소문자 구분 방법 모든 대소문자 구분 검색대소문자 구분 : 연산자, 컬럼, 정규식대수문자 구분 안함 : 키워드, 검색어

미확인 모든 대소문자 구분 검색 미확인 미확인

WEB UI 지원 지원 지원 미지원 지원 지원

타 시스템 연동을 위한 API 제공 여부 지원 지원 미확인 미지원 미확인 지원

5. 제품 라인업 Dfinder LMS 제품 라인업

11

제품 이미지 품명 규격 비고

DfinderLMS SM

( Standard Master )

• CPU : 4Core 3.0GHz × 2EA 이상

• MEM : 64 GB

• HDD : SSD 120G*2, HDD 1TB*6(usable 4.5TB)

• DBMS : 자체 DB + Maria DB

Log Data 10G 이하 / Day

DfinderLMS SS

( Standard Slave)

• CPU : 4Core 3.0GHz × 2EA 이상

• MEM : 64 GB

• HDD : SSD 120G*2, HDD 1TB*6(usable 4.5TB)

• DBMS : 자체 DB + Maria DB

Log Data 10G 이하 / Day

DfinderLMS PM

( Premium Master )

• CPU : 4Core 3.0GHz × 2EA 이상

• MEM : 64 GB

• HDD : SSD 120G*2, SSD 800G*10(usable 6TB)

• DBMS : 자체 DB + Maria DB

Log Data 50G 이하 / Day

DfinderLMS PS

( Premium Slave )

• CPU : 4Core 3.0GHz × 2EA 이상

• MEM : 64 GB

• HDD : SSD 120G*2, SSD 800G*10(usable 6TB)

• DBMS : 자체 DB + Maria DB

Log Data 50G 이하 / Day

REFERENCEⅡ

13

대부분의 고객정보를 취급하는 금융기관 및 기업에서 개인정보, 개인신용정보가 저장되어 있는 DB 서버를 임직원 또는 외부 정보

탈취를 목적으로 하는 자에 의한 유출을 탐지하기 위한 구성입니다.

1. Dfinder LMS 활용 분야 Dfinder LMS 활용 분야

DB Applications(WEB, Intranet, …)

영업점, 고객, 관계사

내부 임직원

DB 관리자

Database

Internet

Internet

방화벽/IPS

WAF

DB 방화벽

Network DLP

EndPoint DLP, DRM, 매체 제어

Anti-Malware

WIPS

방화벽/IPS IP/Port 필터링, 기초적인 해킹 패턴 차단, 웹 노출 개인 정보 페이지 분석

DB 접근제어 DB에 대한 접근 통제, 감사 로그 축적, 로그 위변조 방지어플리케이션 개인정보 조회 축적

Network DLP 메일, 웹메일, 웹하드, 웹게시판, 메신저, P2P 등에 의한 개인정보 및 주요 정보 유출 방지

EndPoint DLP, DRM, 매체제어

EndPoint에 저장된 개인정보 파일 탐색/삭제, 암호화 관리, USB/출력물 통한 유출 탐지/차단

Anti-Malware 단말에서 바이러스/악성코드 차단, 메일 점검

WIPS 스마트폰을 이용한 WLAN/3G 테더링, 외부 무선 AP 접속을통한 인터넷 우회 접속 등을 탐지/차단

14

디자인 및 설계도와 같은 데이터를 취급하는 기업에서 자주 발생되는 사례로 휴가 및 외근 중인 임직원들의 VPN을 통한 대외비 데

이터가 외부로유출되는 사례를 탐지하는 구성입니다.

1. Dfinder LMS 활용 분야 Dfinder LMS 활용 분야

Database

DB Applications(WEB, Intranet, …)

내부 임직원

VPN

SAC

DB 방화벽

Network DLP

EndPoint DLP, DRM, 매체 제어

VPN 외부에서 사내로 접근한 임직원의 이력 조회 축적

방화벽/IPS IP/Port 필터링, 기초적인 해킹 패턴 차단, 웹 노출 개인 정보 페이지 분석

SAC, 서버 시스템로그

해당 서버의 접속 정보 조회 및 행위 데이터 조회 및 축적

Network DLP 메일, 웹메일, 웹하드, 웹게시판, 메신저, P2P 등에 의한 개인정보및 주요 정보 유출 방지

DB 접근제어 DB에 대한 접근 통제, 감사 로그 축적, 로그 위변조 방지어플리케이션 개인정보 조회 축적

EndPoint DLP, DRM, 매체제어

EndPoint에 저장된 개인정보 파일 탐색/삭제, 암호화 관리, USB/출력물 통한 유출 탐지/차단

시스템 로그

15

내부 임직원 및 대외업무가 잦은 기관 및 기업에서 자주 발생되는 사례로 사내 보안 시스템과 물리보안 시스템의 데이터를 취합하

여 개인정보 및 대외비 데이터의외부유출을탐지하기 위한 구성입니다

1. Dfinder LMS 활용 분야 Dfinder LMS 활용 분야

Database

DB Applications(WEB, Intranet, …)

내부 임직원

SAC

DB 접근제어

차량관리시스템

EndPoint DLP, DRM, 매체 제어,네트워크프린터

차량관리시스템 외부에서 사내로 임직원 및 방문자의 출입 차량 이력 조회 축적

출입관리시스템 사내의 주요 시스템이 위치한 곳의 출입 이력 조회 축적

방화벽/IPS IP/Port 필터링, 기초적인 해킹 패턴 차단

SAC 해당 서버의 접속 정보 조회 및 행위 데이터 조회 및 축적

DB 접근제어 DB에 대한 접근 통제, 감사 로그 축적, 로그 위변조 방지어플리케이션 개인정보 조회 축적

EndPoint DLP, DRM, 매체제어, 네트워크프린터

EndPoint에 저장된 개인정보 파일 탐색/삭제, 암호화 관리, USB/출력물 통한 유출 탐지/차단

시스템 로그

방화벽

출입관리시스템,방화벽