탐지 로그
| 항목 | 설명 |
|---|---|
| Elastic / DB | 로그 검색 대상을 선택합니다. (기본값: Elastic) |
| 표시항목 | 로그 테이블에 표시할 열(Column) 항목을 선택하여 사용자 정의합니다. |
| 실시간 | 실시간 로그 모니터링 기능을 ON/OFF 합니다. |
| 검색조건 | 다양한 필터를 조합하여 원하는 로그를 검색합니다. |
| 검색 | 설정된 조건으로 로그를 조회합니다. (조건이 없으면 전체 로그 조회) |
| Download | 현재 검색된 로그 목록을 CSV 파일로 다운로드합니다. |
| AI Comment | ChatGPT API를 활용하여 탐지 로그의 정탐/오탐 여부 및 공격 기법을 분석합니다. |
AI Comment
AI(ChatGPT)를 통해 탐지 로그를 심층 분석하여, 해당 로그가 실제 위협(정탐)인지 오탐인지 판단하고 구체적인 공격 유형 정보를 제공받을 수 있습니다.
이 기능을 사용하려면 먼저 [환경관리] > [환경설정] > [AI API Key 등록] 메뉴에서 API Key를 등록해야 합니다.
API Key 등록이 완료되면, [로그] > [탐지로그] > [로그 상세] 화면에 AI Comment 아이콘이 활성화됩니다.
탐지 로그는 회사, 도메인 그룹, 도메인, 위험도, 대응 방법, 탐지 유형, 패턴 그룹, URL, 공격자 IP, 국가, 기간 등 다양한 기준으로 분류하여 조회할 수 있습니다. 상위 레벨인 '회사'를 선택하면 하위 도메인 그룹의 모든 로그를 통합하여 볼 수 있습니다.
탐지 로그 목록의 주요 표시 항목은 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| NO | 고유한 탐지 로그 번호를 표시합니다. |
| 일시 | 탐지 로그가 발생한 정확한 날짜와 시간을 표시합니다. |
| 국가 | 공격자 IP의 GeoIP 정보를 기반으로 국가를 표시합니다. |
| 공격자 | 공격자의 IP 주소를 표시합니다. |
| 공격대상 | 공격을 받은 대상 서버의 IP 주소를 표시합니다. |
| 회사 | 공격 대상이 속한 회사를 표시합니다. |
| 도메인그룹 | 공격 대상이 속한 도메인 그룹을 표시합니다. |
| 위험도 | 탐지된 위협의 심각도(위험도 레벨)를 표시합니다. |
| 탐지유형 | 위협의 유형(예: SQL Injection, XSS 등)을 표시합니다. |
| 탐지패턴그룹 | 탐지된 패턴이 속한 그룹명을 표시합니다. |
| 탐지패턴 | 실제 탐지에 사용된 패턴명을 표시합니다. |
| 대응방법 | 위협 탐지 시 수행된 조치(차단, 탐지 등)를 표시합니다. |
| URL | 공격이 시도된 웹 페이지의 URL 경로를 표시합니다. |
| 파라미터 | 파라미터 기반 공격인 경우, 문제가 된 파라미터명을 표시합니다. |
| 탐지메세지 | 탐지된 상세 내용 또는 페이로드를 표시합니다. |
탐지 로그 검색
[로그] > [탐지로그] > [검색조건] > [검색]
다양한 조건을 조합하여 특정 로그를 정밀하게 검색할 수 있습니다.
주요 검색 조건은 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| 검색 기간 | 로그 조회 기간을 설정합니다. |
| 회사 | 특정 회사의 로그만 검색합니다. |
| 도메인그룹 | 특정 도메인 그룹의 로그만 검색합니다. |
| 도메인 | 특정 도메인의 로그만 검색합니다. |
| 대응방법 | 위협 대응 방식별로 로그를 필터링합니다. • NONE: 정책 미적용 • ALLOW: 허용 (다음 정책 검사 생략) • DENY: 차단 (다음 정책 검사 생략) • REDIRECT: 차단 페이지로 리다이렉션 • DETECT: 탐지 (로그만 기록하고 다음 정책 검사 진행) • MASK: 패턴과 일치하는 문자열을 마스킹('') 처리 • BYPASS*: 모든 보안 검사 생략 (예외 처리) |
| 위험도 | 위험도 레벨(상/중/하)별로 검색합니다. |
| 로그 번호 | 특정 로그 번호 또는 번호 범위로 검색합니다. |
| 공격자 IP | 특정 공격자 IP 대역으로 검색합니다. |
| 공격 대상 IP | 피해 서버 IP 대역으로 검색합니다. |
| URL | 특정 URL 경로를 포함하는 로그를 검색합니다. |
| 탐지메세지 | 탐지 내용(페이로드)에 특정 문자열이 포함된 로그를 검색합니다. |
| 국가 | 특정 국가에서 발생한 로그를 검색합니다. |
| 종류선택 | 탐지 유형, 패턴 그룹, 패턴명 등 세부 분류 기준으로 검색합니다. |
실시간 탐지로그 보기
[로그] > [탐지로그] > [실시간]
[실시간] 버튼을 클릭하여 실시간 모니터링 모드를 활성화하면, 새로운 위협이 탐지될 때마다 로그 목록이 자동으로 갱신됩니다. (활성화 시 버튼이 붉은색으로 변경됨) ※ 실시간 모드에서는 과거 로그 검색 기능이 제한됩니다.
탐지 로그 상세 보기
[로그] > [탐지로그] > [로그 목록 클릭]
로그 목록에서 특정 행을 클릭하면 화면 우측에 상세 정보 패널이 나타납니다.
탐지 로그 상세 보기 (팝업)
[로그] > [탐지로그] > [로그 번호 더블 클릭]
로그 목록의 번호를 더블 클릭하면 상세 정보를 별도의 팝업 창에서 크게 확인할 수 있습니다.
탐지 로그 상세 보기 (모달 팝업)
[로그] > [탐지로그] > [로그 클릭] > 우측 패널의 [상세 아이콘] 클릭
우측 상세 패널의 [자세히 보기] 아이콘(
)을 클릭하면 모달 팝업 형태로 원본 데이터를 포함한 전체 정보를 확인할 수 있습니다.
탐지 로그 원본 확인 및 예외처리
로그 상세 화면에서는 탐지된 URL의 원본 데이터(Raw Data, 최대 1KB)를 확인할 수 있어 공격 분석에 용이합니다.
로그 목록에서 마우스 우클릭 시 나타나는 컨텍스트 메뉴를 통해 즉시 예외 처리를 수행할 수 있습니다.
| 항목 | 설명 |
|---|---|
| 검색결과에서 제외/추가 하기 | 해당 로그의 조건을 검색 필터에 추가하거나 제외하여 재검색합니다. |
| 패턴 허용하기 | 탐지된 패턴을 예외 처리하여 허용합니다. (오탐 대응) |
| 화이트 / 블랙리스트 등록 | 해당 공격자 IP를 화이트리스트(허용) 또는 블랙리스트(차단)에 즉시 등록합니다. |