웹

로그 분석 상세 내용

1. 로그 상세 내용

OWASP 탭: OWASP TOP 10을 기반으로 로그 분석. 코드, 분류, 공격 코드, 필터명 제공

• 코드: OWASP TOP 10 (A1~A10) 및 사용자 정의(U1)로 구성

  • 코드 상세 정보는 OWASP 웹 사이트 외부 링크 제공

• 유출정보: 웹 서버의 응답 본문에서 탐지된 데이터 제공 (기밀정보, 사용자 정보 등)

• 상태값: 웹 서버의 응답 상태 예) 200(정상), 404(페이지 없음), 500(서버 에러)

  • 상태값 상세 정보는 모질라 웹 사이트 외부 링크 제공

• 응답: 웹 서버 응답 크기(Byte) 제공, 크기가 클 경우 데이터 유출 가능성 있음

• 메소드: RFC 표준 기반 9가지로 분류 (GET, POST, PUT 등), 비표준 값은 noneRFC로 표시

  • GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE

• 요청 본문: 요청자의 Request-body (Post-body) 정보 제공

• 웹 서버의 메모리 또는 패킷에서 수집 및 분석 결과 제공 (세계 특허 기술)

OWASP 탭 하단 메뉴 안내

• 재전송 공격 버튼: 조건 충족 시에만 노출, 프로토콜 및 포트 변경 기능 제공

  • 기본 https : 443, http : 80, 사용자 정의 포트 설정 가능

• https를 사용하지 않는 경우, http:80 선택 및 8080 등의 사용자 임의 포트 변경 사용 가능

• 설정된 값은 사용자 브라우저에 저장됨

• curl:// 버튼: 공격 코드 복사 기능 제공, 명령창에서 실행 가능

• curl 복사 기능 예시

curl -v --data-binary @log-172.16.1.0-2024-01-03-15_37_09.978.txt
 -X "POST"
 --user-agent "Apache-HttpClient/4.5.12 (Java/1.8.0_391)"
 --header "Content-Type: application/x-www-form-urlencoded; charset=UTF-8"
 "http://172.16.0.2:80/wordpress/wp-login.php"

• '@log-172.16.1.0-2024-01-03-15_37_09.978.txt' 별도 파일 다운로드 제공

• 관리 > 연동 > 티켓: 연동한 시스템으로 로그 전송

• 연동 지원 시스템: Jira, MantisBT, Redmine

• 복사: 로그 상세 정보 복사 기능

2. 데이터 유출 정보 확인

• 유출정보 탭: 응답 본문을 분석하여 데이터 유출 여부 및 상세 정보 제공

• 웹 필터 탐지: 데이터 유출 발생 시 유출 항목 표시

3. 로그상세 원본로그 내용

• 로그 상세 탭: 웹 로그 및 패킷에서 수집된 원본 로그를 json 형태로 제공

  • 키 값은 시스템 환경에 따라 다양하게 표시

  • 예시: 'Resp-body1'은 데이터 유출 탐지 필터에 의해 탐지된 로그 원본

4. 컴플라이언스

• 컴플라이언스 탭: 관리 > 연동 메뉴에서 선택한 컴플라이언스 정보를 기반으로 탐지된 정보 제공

5. 전체 로그 이동 및 우클릭 옵션

• 우클릭 옵션: 로그별 컬럼에서 우클릭하면 전체 로그 페이지로 이동 가능

• 티켓 발행, IP주소 태그 입력, 시스템 관리 페이지로 이동

검색 하단 메뉴 설명

6. 정렬

• 생성일 기준: 최신순, 과거순, 요청 크기, 동일 로그 등 다양한 기준으로 정렬 제공

  • 기본값은 최신순

7. 페이지당 로그 라인 수 설정

• 20 ~ 100 라인까지 선택 가능

8. 날짜/시간 선택

• 기본값은 당일 발생 로그, 시간 설정을 통해 특정 로그 검색 가능

• 과거 로그 검색: 전날, 1주, 1개월 등 기간 선택 가능

9. 그룹 선택

• 그룹별 로그 정렬 제공

10. 운영체제 선택

• 운영체제별 로그 정렬 제공

11. 호스트 선택

• 특정 호스트를 선택하여 로그 정렬

12. 호스트(도메인) 선택

• 특정 호스트(도메인)을 선택하여 로그 정렬

13. 분류 선택

• 탐지 분류별 선택 정렬 제공

14. 코드 선택

• OWASP TOP 10 코드(A1~A10) 또는 사용자 정의 코드(U1)별 정렬 제공

15. 위험도 선택

• 탐지 필터의 위험도 기준으로 정렬

16. 상태값 선택

• 웹 서버 응답 값에 따른 정렬 (예: 200, 404, 500)

17. 메소드 선택

• 요청 헤더 정보에 따른 정렬 (GET, POST 등)

  • RFC 정의: GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE

  • RFC 정의되지 않은 값이 있을 경우: noneRFC로 표시

18. 유형 선택

• OWASP 및 사용자 정의 필터 기준 정렬

19. 유출정보 선택

• 데이터 유출 여부에 따라 로그 정렬