보안 패턴 예외처리
보안 패턴 정책 예외처리
1. 보안 로그 확인
탐지된 공격 로그를 확인하여 예외처리가 필요한 대상을 파악합니다.
| 항목 | 내용 |
|---|---|
| 공격대상 정보 | 탐지된 공격에 대한 상세 정보를 나타냅니다. |
| 공격유형 | 탐지된 공격의 유형과 패턴 내용을 나타냅니다. |
| Header | HTTP 프로토콜 내 실제 탐지된 Header 값을 나타냅니다. |
URL별 보안패턴정책 예외처리
특정 URL에서 발생하는 탐지 건에 대해 예외처리를 진행하는 방법입니다.
1) 정책 설정 메뉴 접근
[정책관리] > [회사] > (도메인 그룹 더블클릭) > [정책설정] 메뉴로 이동하거나, 로그 화면에서 [정책설정 열기]를 클릭합니다.
2) 예외처리 URL 추가
차단된 URL을 확인한 후, 정책 목록에 해당 URL을 추가합니다.
3) 기본 제공 템플릿 예외처리 (DeepFinder 패턴)
DeepFinder에서 기본으로 제공하는 패턴에 의해 차단된 경우, 추가된 URL 항목에서 해당 패턴의 대응 방법을 ALLOW로 설정합니다.
4) 사용자 템플릿 생성 후 예외처리 (사용자 정의 패턴)
기본 패턴 외에 새로운 패턴을 생성하여 예외처리를 해야 할 경우, [템플릿관리] > [보안패턴] 메뉴에서 사용자 패턴을 등록합니다.
| 항목 | 설명 |
|---|---|
| SYSTEM | DeepFinder에서 기본적으로 제공하는 보안패턴입니다. |
| USER | 사용자가 필요에 의해 신규 등록한 보안패턴입니다. |
[보안패턴 그룹 및 패턴 등록 상세]
| 구분 | 항목 | 설명 |
|---|---|---|
| 그룹 정보 | 이름 | 보안패턴 그룹 이름을 입력합니다. (최소 1자리 ~ 최대 255자리) |
| 타입 | 검사하고자 하는 데이터의 방향 및 대상을 선택합니다. • REQUEST: 클라이언트 → 웹 서버 요청 데이터 • RESPONSE: 웹 서버 → 클라이언트 응답 데이터 • HEADNAME: 헤더 이름(Name) 검사 • HEADVALUE: 헤더 값(Value) 검사 |
|
| 회사 | 보안패턴 그룹을 적용할 회사를 설정합니다. | |
| 패턴 정보 | 이름 | 개별 보안패턴의 이름을 입력합니다. |
| 위험도 | 해당 보안패턴의 위험도 등급을 선택합니다. | |
| Check | 정규표현식 검증 기능입니다. 입력한 정규표현식이 올바르게 동작하는지 테스트할 수 있습니다. |
5) 사용자 보안패턴 적용 (ALLOW 설정)
[URL보안정책] > (정책 URL 선택) > [보안패턴 정책] 메뉴에서 새로 추가한 사용자 패턴을 찾습니다.
해당 패턴의 대응 방법을 ALLOW로 설정합니다.
6) 우선순위 조정
추가한 신규(예외처리) 패턴의 우선순위를 오탐이 발생하는 기존 차단 패턴보다 한 단계 높게 설정한 후 저장합니다.
7) 적용 결과 확인
설정이 정상적으로 적용되었는지 확인하기 위해 강제로 이벤트를 발생시킨 후, 설정 여부 및 차단 로그 발생 여부를 점검합니다.
보안패턴 전체[/] 예외처리
특정 URL이 아닌, 도메인 그룹 전체(루트 경로 [/])에 대해 예외처리를 적용하는 방법입니다.
1) 정책 설정 메뉴 접근
[정책관리] > [회사] > (도메인 그룹 더블클릭) > [정책설정] 메뉴로 이동합니다.
2) 차단된 패턴 비활성화 (NONE 설정)
도메인 보안정책탭에서[/](전체 경로)를 선택합니다.[보안패턴정책]탭을 클릭합니다.- 현재 차단되고 있는 패턴 또는 그룹을 확인한 후, 대응 방법을 NONE으로 변경합니다.
3) 적용 결과 확인
설정이 정상적으로 적용되었는지 확인하기 위해 강제로 이벤트를 발생시킨 후, 정책 설정 상태 및 차단 로그를 확인합니다.