탐지 로그
| 항목 | 설명 |
|---|---|
| Elastic / DB | 로그를 검색 할 프로그램(Elastic / DB)을 선택합니다. (기본값 : Elastic) |
| 표시항목 | 탐지 로그 테이블에 표시할 항목을 선택합니다. |
| 실시간 | 실시간 로그탐지를 ON/OFF 합니다. |
| 검색조건 | 검색할 조건을 선택하여 탐지 로그를 확인합니다. |
| 검색 | 검색조건을 반영하여 로그를 조회합니다. 조건이 없을 시 현재 로그를 조회합니다. |
| Download | 검색조건의 로그를 CSV파일로 다운로드 합니다. |
탐지 로그는 회사/도메인그룹/도메인 위험도 대응방법 탐지유형/패턴그룹/패턴 URL/파라미터/탐지내용 로그번호/공격자IP/공격국가/공격대상 기간별로 나누어 볼 수 있습니다. 회사는 하위 도메인그룹에 대한 모든 정보를 도메인그룹은 해당 도메인그룹에 대한 정보를 실시간으로 확인할 수 있습니다.
탐지로그 표시항목은 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| NO | 탐지로그 번호를 표시합니다. |
| 일시 | 탐지로그 조회 일시를 표시합니다. |
| 국가 | 공격자의 IP에 따라 IP DB에 알려진 대역대로 국가를 표시합니다. |
| 공격자 | 공격 대상IP를 표시합니다. |
| 공격대상 | 공격 대상IP를 표시합니다. |
| 회사 | 공격 대상 회사를 표시합니다. |
| 도메인그룹 | 공격 대상 도메인그룹을 표시합니다. |
| 위험도 | 탐지된 공격의 위험도 레벨을 표시합니다. |
| 탐지유형 | 탐지유형을 표시합니다. |
| 탐지패턴그룹 | 탐지 패턴 그룹을 표시합니다. |
| 탐지패턴 | 탐지 패턴을 표시합니다. |
| 대응방법 | 해당 공격이 탐지된 후 DeepFinder의 대응 방법을 표시합니다. |
| URL | 클라이언트가 공격을 요청한 웹 서버의 URL주소를 표시합니다. |
| 파라미터 | 파라미터에 의한 탐지일 경우 해당 파라미터 이름을 표시합니다. |
| 탐지메세지 | 탐지된 내용을 표시합니다. |
탐지 로그 검색
[로그] > [탐지로그] > [검색조건] > [검색]
보안정책에 의하여 탐지된 로그를 검색합니다. 검색 조건 화면은 다음과 같습니다.
탐지 로그 검색 조건은 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| 검색 기간 | 조회하고자 하는 기간을 검색 조건에 설정합니다.. |
| 회사 | 조회하고자 하는 회사를 검색 조건에 설정합니다. |
| 도메인그룹 | 조회하고자 하는 도메인그룹을 검색 조건에 설정합니다. |
| 도메인 | 조회하고자 하는 도메인을 검색 조건에 설정합니다. |
| 대응방법 | 조회하고자 하는 해당 공격이 탐지된 후 DeepFinder의 대응 방법을 선택합니다. None, Allow, Deny, Redirect, Detect, Mask, Bypass 변환이 있습니다 • NONE: 정책이 적용되지 않습니다. • ALLOW: 해당 정책검사에서 ALLOW를 만나면 다음 순번의 정책을 검사하지 않고 세션이 허용됩니다. • DENY: 해당 정책검사에서 DENY를 만나면 다음 순번의 정책을 검사하지 않고 세션이 차단됩니다. • REDIRECT: 해당 정책검사에서 REDIRECT를 만나면 다음 순번의 정책을 검사하지 않고 세션이 설정된 페이지로 전환이 됩니다. • DETECT: 해당 정책검사에서 DETECT를 만나면 다음 순번의 정책을 검사합니다. • MASK: 해당 정책검사에서 MASK를 만나면 패턴으로 매칭되어 있는 문자열에 Mask을 합니다.(‘*’ 로 표시됨) • BYPASS: 해당 정책검사에서 BYPASS를 만나면 모든 정책을 적용하지 않고 세션이 통과됩니다. 정책에서는 도메인IP정책 화이트리스트에 묵시적으로 적용되어 있습니다. |
| 위험도 | 위험도 별로 검색조건을 선택합니다. |
| 로그 번호 | 로그 번호 범위로 검색조건을 입력합니다. |
| 공격자 IP | 공격자의 IP별로 검색 조건을 입력합니다. |
| 공격 대상 IP | 공격 대상자의 IP별로 검색조건을 입력합니다. |
| URL | 조회하고자 하는 URL이 있을 경우 검색조건에 입력합니다. |
| 탐지메세지 | 각 정책이 실제 적용된 탐지 내용 별로 검색조건을 입력합니다. |
| 국가 | 조회하고자 하는 국가를 입력합니다. |
| 종류선택 | 각 탐지유형/탐지패턴그룹/탐지패턴 등 탐지된 그룹의 조건별로 검색 조건을 선택합니다. |
실시간 탐지로그 보기
[로그] > [탐지로그] > [실시간]
실시간으로 감사기록을 조회할 때 탐지가 들어오면 탐지로그에서 대한 공격자 정보를 확인할 수 있습니다. 실시간 로그가 켜져 있을 때는 [실시간] 버튼이 붉은색으로 표시됩니다. 실시간 로그로 작동하고 있을 때는 조건검색이 제한됩니다.
탐지 로그 상세 보기
[로그] > [탐지로그] > [자세히 보고 싶은 로그 번호 클릭] > (로그 상세)
로그에 대한 각 상세 정보를 보고 싶다면 보고 싶은 로그를 더블클릭 하면 됩니다.
탐지 로그 상세 보기(팝업)
[로그] > [탐지로그] > [자세히 보고 싶은 로그 번호 더블 클릭] > 로그 상세(크게보기)
로그의 상세 정보를 크게 보고 싶다면 보고 싶은 로그 번호를 더블 클릭 합니다.
탐지 로그 상세 보기(모달팝업)
[로그] > [탐지로그] > [자세히 보고 싶은 로그 번호 클릭] > [로그 상세] 화면의 아이콘 클릭
로그의 상세 정보를 크게 보고 싶다면 보고 싶은 상세로그 화면의 아이콘을 클릭합니다. 
탐색 로그 상세로그 확인 및 예외처리
탐지된 로그 결과화면에서 로그 번호를 클릭하면 탐지 유형에 따라 탐지된 URL의 원본 데이터를 최대 1KB까지 확인할 수 있습니다. 또한 로그 결과 화면에서 해당 로그 행을 선택하면 상세한 로그를 바로 확인할 수 있습니다.
탐지된 로그를 오른쪽 클릭하면 그림과 같이 예외처리 및 IP 정책 설정 메뉴가 표시됩니다.
| 항목 | 설명 |
|---|---|
| 검색결과에서 제외/추가 하기 | 검색결과에서 클릭한 탐지로그 항목을 제외/추가하여 표시합니다. |
| 패턴 허용하기 | 선택된 탐지 로그의 패턴을 허용합니다. |
| 화이트 / 블랙리스트 등록 | 탐지된 공격자IP를 도메인IP정책에서 White / Black IP에 등록합니다. |