필터탐지

웹 로그 분석을 통해 해킹 공격 탐지 및 차단 제공

  • 웹 탐지 로그 분석 시 요청 및 응답 본문 정보 포함 (세계 특허 기술)

  • OWASP TOP 10 및 사용자 정의 필터 방식 제공

  • 주요 로그 정보를 시각화하여 제공

  • 알려지지 않은 공격에도 대응 가능

로그 분석 상세 내용

1. 로그 상세 내용


OWASP 탭: OWASP TOP 10을 기반으로 로그 분석. 코드, 분류, 공격 코드, 필터명 제공

  • 코드: OWASP TOP 10 (A1~A10) 및 사용자 정의(U1)로 구성

  • 유출정보: 웹 서버의 응답 본문에서 탐지된 데이터 제공 (기밀정보, 사용자 정보 등)

  • 상태값: 웹 서버의 응답 상태 예) 200(정상), 404(페이지 없음), 500(서버 에러)

  • 응답: 웹 서버 응답 크기(Byte) 제공, 크기가 클 경우 데이터 유출 가능성 있음

  • 메소드: RFC 표준 기반 9가지로 분류 (GET, POST, PUT 등), 비표준 값은 noneRFC로 표시

    • GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE

  • 요청 본문: 요청자의 Request-body (Post-body) 정보 제공

  • 웹 서버의 메모리 또는 패킷에서 수집 및 분석 결과 제공 (세계 특허 기술)


OWASP 탭 하단 메뉴 안내

  • 재전송 공격 버튼: 조건 충족 시에만 노출, 프로토콜 및 포트 변경 기능 제공

    • 기본 https : 443, http : 80, 사용자 정의 포트 설정 가능

  • https를 사용하지 않는 경우, http:80 선택 및 8080 등의 사용자 임의 포트 변경 사용 가능

  • 설정된 값은 사용자 브라우저에 저장됨

  • curl:// 버튼: 공격 코드 복사 기능 제공, 명령창에서 실행 가능

  • curl 복사 기능 예시

curl -v --data-binary @log-172.16.1.0-2024-01-03-15_37_09.978.txt
 -X "POST"
 --user-agent "Apache-HttpClient/4.5.12 (Java/1.8.0_391)"
 --header "Content-Type: application/x-www-form-urlencoded; charset=UTF-8"
 "http://172.16.0.2:80/wordpress/wp-login.php"
  • '@log-172.16.1.0-2024-01-03-15_37_09.978.txt' 별도 파일 다운로드 제공

  • 관리 > 연동 > 티켓: 연동한 시스템으로 로그 전송

  • 연동 지원 시스템: Jira, MantisBT, Redmine

  • 복사: 로그 상세 정보 복사 기능

2. 로그상세 원본로그 내용

  • 로그 상세 탭: 웹 로그 및 패킷에서 수집된 원본 로그를 json 형태로 제공

    • 키 값은 시스템 환경에 따라 다양하게 표시

    • 예시: 'Resp-body1'은 데이터 유출 탐지 필터에 의해 탐지된 로그 원본


3. 전체 로그 이동 및 우클릭 옵션

  • 우클릭 옵션: 로그별 컬럼에서 우클릭하면 전체 로그 페이지로 이동 가능

  • 티켓 발행, IP주소 태그 입력, 시스템 관리 페이지로 이동

선택 조건의미

전체로그(=)

동일 시간대의 전체로그

전체로그(±1s)

1초 전후 시간대의 전체로그

전체로그(±2s)

2초 전후 시간대의 전체로그

전체로그(±3s)

3초 전후 시간대의 전체로그

전체로그(±5s)

5초 전후 시간대의 전체로그

전체로그(±10s)

10초 전후 시간대의 전체로그

전체로그(±30s)

30초 전후 시간대의 전체로그

전체로그(±60s)

60초 전후 시간대의 전체로그

전체로그(=) 공격자

동일 공격자(IP)의 전체로그


검색 하단 메뉴 설명

4. 정렬

  • 생성일 기준: 최신순, 과거순, 요청 크기, 동일 로그 등 다양한 기준으로 정렬 제공

    • 기본값은 최신순

5. 페이지당 로그 라인 수 설정

  • 20 ~ 100 라인까지 선택 가능

6. 날짜/시간 선택

  • 기본값은 당일 발생 로그, 시간 설정을 통해 특정 로그 검색 가능

  • 과거 로그 검색: 전날, 1주, 1개월 등 기간 선택 가능

7. 그룹 선택

  • 그룹별 로그 정렬 제공

8. 운영체제 선택

  • 운영체제별 로그 정렬 제공

9. 호스트 선택

  • 특정 호스트를 선택하여 로그 정렬

10. 호스트(도메인) 선택

  • 특정 호스트(도메인)을 선택하여 로그 정렬

11. 분류 선택

  • 탐지 분류별 선택 정렬 제공

12. OWASP 선택

  • OWASP TOP 10 코드(A1~A10) 또는 사용자 정의 코드(U1)별 정렬 제공

13. 위험도 선택

  • 탐지 필터의 위험도 기준으로 정렬

14. 상태값 선택

  • 웹 서버 응답 값에 따른 정렬 (예: 200, 404, 500)

15. 메소드 선택

  • 요청 헤더 정보에 따른 정렬 (GET, POST 등)

    • RFC 정의: GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE

    • RFC 정의되지 않은 값이 있을 경우: noneRFC로 표시

16. 유형 선택

  • OWASP 및 사용자 정의 필터 기준 정렬

17. 유출정보 선택

  • 데이터 유출 여부에 따라 로그 정렬

Last updated