웹

Web Log & Packet Analysis

웹 로그 분석을 통해 해킹 공격 탐지 제공

웹 탐지 로그 분석 시 요청 및 응답 본문 정보 포함 (세계 특허 기술)
OWASP TOP 10 및 사용자 정의 필터 방식 제공
주요 로그 정보를 시각화하여 제공
알려지지 않은 공격에도 대응 가능

1. 로그 상세 내용

OWASP 탭: OWASP TOP 10을 기반으로 로그 분석. 코드, 분류, 공격 코드, 필터명 제공

코드: OWASP TOP 10 (A1~A10) 및 사용자 정의(U1)로 구성
- 코드 상세 정보는 OWASP 웹 사이트 외부 링크 제공
유출정보: 웹 서버의 응답 본문에서 탐지된 데이터 제공 (기밀정보, 사용자 정보 등)
상태값: 웹 서버의 응답 상태 예) 200(정상), 404(페이지 없음), 500(서버 에러)
- 상태값 상세 정보는 모질라 웹 사이트 외부 링크 제공
응답: 웹 서버 응답 크기(Byte) 제공, 크기가 클 경우 데이터 유출 가능성 있음
메소드: RFC 표준 기반 9가지로 분류 (GET, POST, PUT 등), 비표준 값은 noneRFC로 표시
- GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE
요청 본문: 요청자의 Request-body (Post-body) 정보 제공
웹 서버의 메모리 또는 패킷에서 수집 및 분석 결과 제공 (세계 특허 기술)

OWASP 탭 하단 메뉴 안내

재전송 공격 버튼: 조건 충족 시에만 노출, 프로토콜 및 포트 변경 기능 제공
- 기본 https : 443, http : 80, 사용자 정의 포트 설정 가능
https를 사용하지 않는 경우, http:80 선택 및 8080 등의 사용자 임의 포트 변경 사용 가능
설정된 값은 사용자 브라우저에 저장됨

curl:// 버튼: 공격 코드 복사 기능 제공, 명령창에서 실행 가능
curl 복사 기능 예시

curl -v --data-binary @log-172.16.1.0-2024-01-03-15_37_09.978.txt
 -X "POST"
 --user-agent "Apache-HttpClient/4.5.12 (Java/1.8.0_391)"
 --header "Content-Type: application/x-www-form-urlencoded; charset=UTF-8"
 "http://172.16.0.2:80/wordpress/wp-login.php"

'@log-172.16.1.0-2024-01-03-15_37_09.978.txt' 별도 파일 다운로드 제공
관리 > 연동 > 티켓: 연동한 시스템으로 로그 전송
연동 지원 시스템: Jira, MantisBT, Redmine
복사: 로그 상세 정보 복사 기능

2. 데이터 유출 정보 확인

유출정보 탭: 응답 본문을 분석하여 데이터 유출 여부 및 상세 정보 제공

웹 필터 탐지: 데이터 유출 발생 시 유출 항목 표시

3. 로그상세 원본로그 내용

로그 상세 탭: 웹 로그 및 패킷에서 수집된 원본 로그를 json 형태로 제공
- 키 값은 시스템 환경에 따라 다양하게 표시
- 예시: 'Resp-body1'은 데이터 유출 탐지 필터에 의해 탐지된 로그 원본

4. 컴플라이언스

컴플라이언스 탭: 관리 > 연동 메뉴에서 선택한 컴플라이언스 정보를 기반으로 탐지된 정보 제공

5. 전체 로그 이동 및 우클릭 옵션

우클릭 옵션: 로그별 컬럼에서 우클릭하면 전체 로그 페이지로 이동 가능
티켓 발행, IP주소 태그 입력, 시스템 관리 페이지로 이동

선택 조건

의미

전체로그(=)

'동일' 시간대의 전체로그

전체로그(±1s)

'1초' 전후 시간대의 전체로그

전체로그(±2s)

'2초' 전후 시간대의 전체로그

전체로그(±3s)

'3초' 전후 시간대의 전체로그

전체로그(±5s)

'5초' 전후 시간대의 전체로그

전체로그(±10s)

'10초' 전후 시간대의 전체로그

전체로그(±30s)

'30초' 전후 시간대의 전체로그

전체로그(±60s)

'60초' 전후 시간대의 전체로그

전체로그(=) 공격자

'동일' 공격자(IP)의 전체로그

6. 정렬

생성일 기준: 최신순, 과거순, 요청 크기, 동일 로그 등 다양한 기준으로 정렬 제공
- 기본값은 최신순

7. 페이지당 로그 라인 수 설정

20 ~ 100 라인까지 선택 가능

8. 날짜/시간 선택

기본값은 당일 발생 로그, 시간 설정을 통해 특정 로그 검색 가능
과거 로그 검색: 전날, 1주, 1개월 등 기간 선택 가능

9. 그룹 선택

그룹별 로그 정렬 제공

10. 운영체제 선택

운영체제별 로그 정렬 제공

11. 호스트 선택

특정 호스트를 선택하여 로그 정렬

12. 호스트(도메인) 선택

특정 호스트(도메인)을 선택하여 로그 정렬

13. 분류 선택

탐지 분류별 선택 정렬 제공

14. 코드 선택

OWASP TOP 10 코드(A1~A10) 또는 사용자 정의 코드(U1)별 정렬 제공

15. 위험도 선택

탐지 필터의 위험도 기준으로 정렬

16. 상태값 선택

웹 서버 응답 값에 따른 정렬 (예: 200, 404, 500)

17. 메소드 선택

요청 헤더 정보에 따른 정렬 (GET, POST 등)
- RFC 정의: GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE
- RFC 정의되지 않은 값이 있을 경우: noneRFC로 표시

18. 유형 선택

OWASP 및 사용자 정의 필터 기준 정렬

19. 유출정보 선택

데이터 유출 여부에 따라 로그 정렬

Previous호스트 Next응용프로그램 > 원본

Last updated 12 days ago