연동

Previous목록 Next사용

Last updated 2 months ago

PLURA 연동 설정 안내

PLURA는 필터 탐지, 탐지 결과, 탐지 알림 등을 외부 서비스와 연동하여 관리할 수 있는 기능을 제공합니다. 컴플라이언스, 티켓, Syslog 등 다양한 외부 시스템과의 연동을 설정하여 데이터를 통합 관리할 수 있습니다.

1. 컴플라이언스 연동

지원 컴플라이언스 규격

PCI-DSS v3.2.1
ISMS-P
ISO 27001:2013
전자금융감독규정

연동 설정
- 매핑하고자 하는 보안 정보 필터를 체크 후 등록
- 등록된 필터는 컴플라이언스 페이지에서 탐지된 매핑 정보로 확인 가능
추가 자료: 컴플라이언스 도움말

2. 티켓 시스템 연동

목적: 특정 로그를 Jira, MantisBT, Redmine 등 외부 티켓 시스템으로 전송
지원 연동 시스템

연동 설정 방법
- 연동할 티켓 시스템의 버전을 선택
- 인증 키, 프로젝트 ID, 시스템 URL 입력
- 티켓 발행 시 원본 로그 포함 여부 설정 가능

티켓 발행 테스트
- 설정 완료 후, 우측 하단의 "티켓 발행 테스트" 버튼을 클릭하여 설정 확인

3. 티켓 발행

로그 선택: 티켓 발행할 로그를 선택
- 우측 마우스 클릭 또는 티켓 컬럼의 아이콘 클릭
- 로그 조회 페이지 상단의 "발행 티켓" 클릭 시 티켓 발행 내역 히스토리 확인 가능

연동된 시스템에서 발행된 로그 확인 가능

4. Syslog 연동 설정

PLURA의 탐지, 방어, 사용 로그를 Syslog 서버로 전송하여 통합 관리할 수 있습니다.

Syslog 연동 유형
- 대표 Syslog: 모든 발생 로그를 하나의 Syslog 서버로 전송
- 그룹별 Syslog: 로그 타입 및 그룹별로 다른 서버로 전송 (사용 로그는 제외)

4-1. 알림 상세 선택

서버 추가/삭제: Syslog 알림을 받을 서버를 추가 또는 삭제
로그별 알림 설정
- 탐지 로그: 상관분석, 호스트, 웹, 네트워크, 계정탈취, 데이터 유출, 마이터 어택, 웹 방화벽, 응용 프로그램, 호스트 보안
- 방어 로그: 상관분석, 호스트, 웹, 네트워크, 계정탈취, 데이터 유출, 웹 방화벽, 호스트 보안
- 사용 로그: 멤버, 필터, 호스트, 방어, 고객지원, 기타
필터 상세 설정: 편집 아이콘을 클릭하여 필터 조건 및 세부 설정 가능

4-2. Syslog 수신 서버 설정

설정 항목
- 프로토콜
- Syslog 포맷: RFC3164, RFC5424, CEF
- 서버 IP 주소
- 포트 번호
- 개행 타입
Syslog 포맷 설명
- RFC3164
- RFC5424
- CEF (Common Event Format): 주로 SIEM 시스템에서 사용하는 표준 이벤트 로그 형식
  - 예: ArcSight CEF 포맷

4-3. Syslog 연동 양식

RFC3164, RFC5424 포맷

탐지 알림
https://github.com/QubitSecurity/PLURA/tree/main/functions/linking/syslog/detection

방어 알림
https://github.com/QubitSecurity/PLURA/tree/main/functions/linking/syslog/defense

CEF 포맷

탐지 알림
https://github.com/QubitSecurity/PLURA/tree/main/functions/linking/cef/detection

방어 알림
https://github.com/QubitSecurity/PLURA/tree/main/functions/linking/cef/defense