탐지 로그

탐지로그 화면

항목 설명
Elastic / DB 로그를 검색 할 프로그램(Elastic / DB)을 선택합니다. (기본값 : Elastic)
표시항목 탐지 로그 테이블에 표시할 항목을 선택합니다.
실시간 실시간 로그탐지를 ON/OFF 합니다.
검색조건 검색할 조건을 선택하여 탐지 로그를 확인합니다.
검색 검색조건을 반영하여 로그를 조회합니다. 조건이 없을 시 현재 로그를 조회합니다.
Download 검색조건의 로그를 CSV파일로 다운로드 합니다.


탐지 로그는 회사/도메인그룹/도메인 위험도 대응방법 탐지유형/패턴그룹/패턴 URL/파라미터/탐지내용 로그번호/공격자IP/공격국가/공격대상 기간별로 나누어 볼 수 있습니다. 회사는 하위 도메인그룹에 대한 모든 정보를 도메인그룹은 해당 도메인그룹에 대한 정보를 실시간으로 확인할 수 있습니다.


탐지로그 표시항목은 다음과 같습니다.

항목 설명
NO 탐지로그 번호를 표시합니다.
일시 탐지로그 조회 일시를 표시합니다.
국가 공격자의 IP에 따라 IP DB에 알려진 대역대로 국가를 표시합니다.
공격자 공격 대상IP를 표시합니다.
공격대상 공격 대상IP를 표시합니다.
회사 공격 대상 회사를 표시합니다.
도메인그룹 공격 대상 도메인그룹을 표시합니다.
위험도 탐지된 공격의 위험도 레벨을 표시합니다.
탐지유형 탐지유형을 표시합니다.
탐지패턴그룹 탐지 패턴 그룹을 표시합니다.
탐지패턴 탐지 패턴을 표시합니다.
대응방법 해당 공격이 탐지된 후 DeepFinder의 대응 방법을 표시합니다.
URL 클라이언트가 공격을 요청한 웹 서버의 URL주소를 표시합니다.
파라미터 파라미터에 의한 탐지일 경우 해당 파라미터 이름을 표시합니다.
탐지메세지 탐지된 내용을 표시합니다.

탐지 로그 검색

[로그] > [탐지로그] > [검색조건] > [검색]

보안정책에 의하여 탐지된 로그를 검색합니다. 검색 조건 화면은 다음과 같습니다.

탐지 로그 검색조건

탐지 로그 검색 조건은 다음과 같습니다.

항목 설명
검색 기간 조회하고자 하는 기간을 검색 조건에 설정합니다..
회사 조회하고자 하는 회사를 검색 조건에 설정합니다.
도메인그룹 조회하고자 하는 도메인그룹을 검색 조건에 설정합니다.
도메인 조회하고자 하는 도메인을 검색 조건에 설정합니다.
대응방법 조회하고자 하는 해당 공격이 탐지된 후 DeepFinder의 대응 방법을 선택합니다. None, Allow, Deny, Redirect, Detect, Mask, Bypass 변환이 있습니다
• NONE: 정책이 적용되지 않습니다.
• ALLOW: 해당 정책검사에서 ALLOW를 만나면 다음 순번의 정책을 검사하지 않고 세션이 허용됩니다.
• DENY: 해당 정책검사에서 DENY를 만나면 다음 순번의 정책을 검사하지 않고 세션이 차단됩니다.
• REDIRECT: 해당 정책검사에서 REDIRECT를 만나면 다음 순번의 정책을 검사하지 않고 세션이 설정된 페이지로 전환이 됩니다.
• DETECT: 해당 정책검사에서 DETECT를 만나면 다음 순번의 정책을 검사합니다.
• MASK: 해당 정책검사에서 MASK를 만나면 패턴으로 매칭되어 있는 문자열에 Mask을 합니다.(‘*’ 로 표시됨)
• BYPASS: 해당 정책검사에서 BYPASS를 만나면 모든 정책을 적용하지 않고 세션이 통과됩니다. 정책에서는 도메인IP정책 화이트리스트에 묵시적으로 적용되어 있습니다.
위험도 위험도 별로 검색조건을 선택합니다.
로그 번호 로그 번호 범위로 검색조건을 입력합니다.
공격자 IP 공격자의 IP별로 검색 조건을 입력합니다.
공격 대상 IP 공격 대상자의 IP별로 검색조건을 입력합니다.
URL 조회하고자 하는 URL이 있을 경우 검색조건에 입력합니다.
탐지메세지 각 정책이 실제 적용된 탐지 내용 별로 검색조건을 입력합니다.
국가 조회하고자 하는 국가를 입력합니다.
종류선택 각 탐지유형/탐지패턴그룹/탐지패턴 등 탐지된 그룹의 조건별로 검색 조건을 선택합니다.

실시간 탐지로그 보기

[로그] > [탐지로그] > [실시간]

실시간으로 감사기록을 조회할 때 탐지가 들어오면 탐지로그에서 대한 공격자 정보를 확인할 수 있습니다. 실시간 로그가 켜져 있을 때는 [실시간] 버튼이 붉은색으로 표시됩니다. 실시간 로그로 작동하고 있을 때는 조건검색이 제한됩니다.

탐지 로그 상세 보기

[로그] > [탐지로그] > [자세히 보고 싶은 로그 번호 클릭] > (로그 상세)

로그에 대한 각 상세 정보를 보고 싶다면 보고 싶은 로그를 더블클릭 하면 됩니다.

로그 상세보기(우측창)

탐지 로그 상세 보기(팝업)

[로그] > [탐지로그] > [자세히 보고 싶은 로그 번호 더블 클릭] > 로그 상세(크게보기)

로그의 상세 정보를 크게 보고 싶다면 보고 싶은 로그 번호를 더블 클릭 합니다.

로그 상세보기(팝업)

탐지 로그 상세 보기(모달팝업)

[로그] > [탐지로그] > [자세히 보고 싶은 로그 번호 클릭] > [로그 상세] 화면의 아이콘 클릭

로그의 상세 정보를 크게 보고 싶다면 보고 싶은 상세로그 화면의 아이콘을 클릭합니다. 로그 상세보기 아이콘

로그 상세보기(모달팝업)

탐색 로그 상세로그 확인 및 예외처리

탐지된 로그 결과화면에서 로그 번호를 클릭하면 탐지 유형에 따라 탐지된 URL의 원본 데이터를 최대 1KB까지 확인할 수 있습니다. 또한 로그 결과 화면에서 해당 로그 행을 선택하면 상세한 로그를 바로 확인할 수 있습니다.

공격로그 상세정보보기

탐지된 로그를 오른쪽 클릭하면 그림과 같이 예외처리 및 IP 정책 설정 메뉴가 표시됩니다.

공격로그 예외처리

항목 설명
검색결과에서 제외/추가 하기 검색결과에서 클릭한 탐지로그 항목을 제외/추가하여 표시합니다.
패턴 허용하기 선택된 탐지 로그의 패턴을 허용합니다.
화이트 / 블랙리스트 등록 탐지된 공격자IP를 도메인IP정책에서 White / Black IP에 등록합니다.

results matching ""

    No results matching ""

    results matching ""

      No results matching ""