✔ 프로세스
1. Agent(중계서버)
agent -- 장비로그중계
procmonitor -- 전체 프로세스 모니터 등
2. Collector(수집서버) => Normalizer
agent
collector -- 수집로그 관리
normalizer
pms -- 패치관리
searcher -- 수집로그 인덱싱 및 검색
store -- 수집로그 관리 (ex 백업 등)
3. Analyzer(분석서버)
www -- web
analyzer -- 로그분석(이벤트발생)
bigdata -- 분석 등
proxy -- (FOR 이중접근 보안) 4.0부터 잘 사용X
normalizer
✔ 제품
- SIM - 로그 수집 저장 분석
- BlueBird - 이벤트 발생 관제요원 수동적으로 일처리
=> SIM + BlueBird = XOAR 4.0 (AI모델링을 통해 정탐/오탐 분석)
✔ 연동관리
장비관리(Agent지정) - Agent(Collector지정) - Collector
모든 시스템은 기초데이터를 가지고있음
-
장비관리
장비에서 실제 발생된 로그를 수집
XML형식의 LogParser. (Parser==LogParser집합), Parser를 장비에 등록 -
Agent관리
어떤 장비에 있는 것들을 가져온다. 중계기를 통해서 어떠한 수집서버로 넣어준다. -
Collector관리
수집된 서버를 저장한다. ex. IP 1.1.1.1
스토리지 - 로그, 저장된 것을 분류한다.
패치관리 - 자동적으로 패치
(연동가이드 / 기본가이드 / 메뉴얼 참고하기)
✔ 시스템
- 자산관리 - 장비와 비슷한 개념
- 사용자관리 - 비밀번호관리 / 권한설정(UI) / 리소스(백업, 보관주기, 압축파일 등)
- 리소스관리 - 컨텐츠 업데이트 => IC / 내부망 VPN으로만 이루어져있지만, IC는 외부망으로 접속가능 및 솔루션구축 엔지니어들이 주로 이용
- 감사로그 - 시스템을 이용하는 동안 특이감사내용들이 기록
- 검색이력 - 부하가 생길 수 있기때문에 History가 남음
- 자동진단 - 1~4단계 진단. 서버에 대한 진단 등
- 챗봇관리
- 경보설정 - 이벤트 이상 발생시 경보방법(SMS,EMAIL 등)에의해 사용자에게 알림
✔ 데이터
- 코드관리
- 사용자정의태깅
- 시스템변수관리 - 긴 검색어들을 변수로 저장
✔ 모니터링 - 로그검색 성능정보 수집현황
스토리지 별로 조회 가능.
인덱싱이란 ? 장비에서 발생된 정규화된 로그, Lucene라이브러리 이용하는데 인덱싱을 거쳐 저장된다. 검색속도가 빨라진다.
FacetChart ? 통계 개념 MouseDraw == Statics Analyzer
장비발생시간 ? 장비에서 로그가 발생한 시간
출발지 IP (Geoip 라이브러리) => 출발지 국가
SeQL HelP_ QueryBrowser 다차원적인 통계 == DB Query
✔ 통계 - TOP분석, 사용자정의, 빅데이터, 보고서
TOP통계를 시스템에서 자동적으로 도출한다.
필터링된 정보를 통계 낼 수 있다(사용자가 원하는 통계) 단, 사용자가 등록한 시점 이후부터
빅테이터분석은 과거시간 및 방대한 데이터 통계를 조회할 수 있다. 보고서 다운로드를 파일별로 다운로드가능. 또한, JOIN을 통해 검색가능.
✔ 이벤트 - 일반/성능/TI/상관분석
각 이벤트마다 Ruleset.
사고이관가능, 단순히 검색어를 가지고 탐지.
검색어X, 임계치 이상이면 정상/비정상 체크해서 이벤트 탐지.
검색어X, 값으로만 설정해서 이벤트 탐지.
Ruleset JOIN.
✔ 대시보드 - Active/3D GlobalMap/3D NetworkMap/Analysis
컴포넌트를 다양하게 조정.
열심이군요