# 필터탐지 {% hint style="info" %} **웹 로그 분석을 통해 해킹 공격 탐지 및 차단 제공** * 웹 탐지 로그 분석 시 요청 및 응답 본문 정보 포함 (세계 특허 기술) * OWASP TOP 10 및 사용자 정의 필터 방식 제공 * 주요 로그 정보를 시각화하여 제공 * 알려지지 않은 공격에도 대응 가능 {% endhint %} ### 1. 로그 상세 내용 *** **OWASP 탭**: OWASP TOP 10을 기반으로 로그 분석. 코드, 분류, 공격 코드, 필터명 제공 * **코드**: OWASP TOP 10 (A1\~A10) 및 사용자 정의(U1)로 구성 * 코드 상세 정보는 [OWASP 웹 사이트 ](https://owasp.org/)외부 링크 제공 * **유출정보**: 웹 서버의 응답 본문에서 탐지된 데이터 제공 (기밀정보, 사용자 정보 등) * **상태값**: 웹 서버의 응답 상태 예) 200(정상), 404(페이지 없음), 500(서버 에러) * 상태값 상세 정보는 [모질라 웹 사이트](https://developer.mozilla.org/ko/docs/Web/HTTP/Status) 외부 링크 제공 * **응답**: 웹 서버 응답 크기(Byte) 제공, 크기가 클 경우 데이터 유출 가능성 있음 * **메소드**: RFC 표준 기반 9가지로 분류 (GET, POST, PUT 등), 비표준 값은 noneRFC로 표시 * GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE * **요청 본문**: 요청자의 Request-body (Post-body) 정보 제공 * 웹 서버의 메모리 또는 패킷에서 수집 및 분석 결과 제공 (세계 특허 기술)

*** **OWASP 탭 하단 메뉴 안내** * **재전송 공격 버튼**: 조건 충족 시에만 노출, 프로토콜 및 포트 변경 기능 제공 * 기본 https : 443, http : 80, 사용자 정의 포트 설정 가능 * https를 사용하지 않는 경우, http:80 선택 및 8080 등의 사용자 임의 포트 변경 사용 가능 * 설정된 값은 사용자 브라우저에 저장됨

* **curl:// 버튼**: 공격 코드 복사 기능 제공, 명령창에서 실행 가능 * curl 복사 기능 예시 ```bash curl -v --data-binary @log-172.16.1.0-2024-01-03-15_37_09.978.txt -X "POST" --user-agent "Apache-HttpClient/4.5.12 (Java/1.8.0_391)" --header "Content-Type: application/x-www-form-urlencoded; charset=UTF-8" "http://172.16.0.2:80/wordpress/wp-login.php" ``` * '@log-172.16.1.0-2024-01-03-15\_37\_09.978.txt' 별도 파일 다운로드 제공 * **관리 > 연동 > 티켓:** 연동한 시스템으로 로그 전송 * **연동 지원 시스템:** [Jira](https://www.atlassian.com/ko/software/jira?\&aceid=\&adposition=\&adgroup=143040573765\&campaign=19324540316\&creative=642069041217\&device=c\&keyword=jira\&matchtype=e\&network=g\&placement=\&ds_kids=p74608960066\&ds_e=GOOGLE\&ds_eid=700000001558501\&ds_e1=GOOGLE\&gad_source=1\&gclid=Cj0KCQiAy9msBhD0ARIsANbk0A_ytBZ4Q0FLi2bEwrYBxAudXVSI3qxEkT88MRH4Nwy2Fdys8nYanz4aAvAYEALw_wcB\&gclsrc=aw.ds), [MantisBT](https://www.mantisbt.org/), [Redmine](https://www.redmine.org/) * **복사:** 로그 상세 정보 복사 기능 ### 2. 로그상세 원본로그 내용 * **로그 상세 탭**: 웹 로그 및 패킷에서 수집된 원본 로그를 json 형태로 제공 * 키 값은 시스템 환경에 따라 다양하게 표시 * 예시: 'Resp-body1'은 데이터 유출 탐지 필터에 의해 탐지된 로그 원본

*** ### 3. 전체 로그 이동 및 우클릭 옵션 * **우클릭 옵션**: 로그별 컬럼에서 우클릭하면 전체 로그 페이지로 이동 가능 * 티켓 발행, IP주소 태그 입력, 시스템 관리 페이지로 이동

선택 조건	의미
전체로그(=)	`동일` 시간대의 전체로그
전체로그(±1s)	`1초` 전후 시간대의 전체로그
전체로그(±2s)	`2초` 전후 시간대의 전체로그
전체로그(±3s)	`3초` 전후 시간대의 전체로그
전체로그(±5s)	`5`초 전후 시간대의 전체로그
전체로그(±10s)	`10초` 전후 시간대의 전체로그
전체로그(±30s)	`30초` 전후 시간대의 전체로그
전체로그(±60s)	`60초` 전후 시간대의 전체로그
전체로그(=) 공격자	`동일` 공격자(IP)의 전체로그

*** ### 4. 정렬 * **생성일 기준**: 최신순, 과거순, 요청 크기, 동일 로그 등 다양한 기준으로 정렬 제공 * 기본값은 최신순

### 5. 페이지당 로그 라인 수 설정 * 20 \~ 100 라인까지 선택 가능

### 6. 날짜/시간 선택 * 기본값은 당일 발생 로그, 시간 설정을 통해 특정 로그 검색 가능 * 과거 로그 검색: 전날, 1주, 1개월 등 기간 선택 가능

### 7. 그룹 선택 * 그룹별 로그 정렬 제공

### 8. 운영체제 선택 * 운영체제별 로그 정렬 제공

### 9. 호스트 선택 * 특정 호스트를 선택하여 로그 정렬

### 10. 호스트(도메인) 선택 * 특정 호스트(도메인)을 선택하여 로그 정렬

### 11. 분류 선택 * 탐지 분류별 선택 정렬 제공

### 12. OWASP 선택 * **OWASP TOP 10 코드**(A1\~A10) 또는 사용자 정의 코드(U1)별 정렬 제공

### 13. 위험도 선택 * 탐지 필터의 위험도 기준으로 정렬

### 14. 상태값 선택 * **웹 서버 응답 값**에 따른 정렬 (예: 200, 404, 500)

* 상태값이 "406"인 경우, **강조 표시(Highlight)**를 적용하여 가독성을 높이고 사용자에게 주의를 환기합니다.

### 15. 메소드 선택 * **요청 헤더 정보**에 따른 정렬 (GET, POST 등) * RFC 정의: GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE * RFC 정의되지 않은 값이 있을 경우: noneRFC로 표시

### 16. 유형 선택 * OWASP 및 사용자 정의 필터 기준 정렬

### 17. 유출정보 선택 * 데이터 유출 여부에 따라 로그 정렬