# 상관분석

{% hint style="info" %}
상관분석은 웹 로그와 시스템 로그 간의 연관성을 분석하여\
공격 흐름을 추적하는 기능입니다.

웹 요청에서 시스템 이벤트로 이어지는 패턴을 한 화면에서 확인할 수 있으며,\
다중 조건 검색과 결과 저장 기능을 지원합니다.

이를 통해 보안 담당자는 로그 간 시점, 경로, 프로세스의 연계 관계를 보다 쉽게 분석할 수 있습니다.
{% endhint %}

### 1. 검색 대상 설정

* 검색 전 대상 로그를 선택합니다. (웹 로그 / 시스템 로그)
* 선택된 대상에 따라 입력 가능한 로그 키 목록이 달라집니다.
  * 웹 로그 키 예시: Host(domain), URI, Method, UserAgent, Query, Status 등
  * 시스템 로그 키 예시: EventID, ProcessName, SourceAddress, ProgramName, Msg, DestPort 등
* `+` 버튼으로 검색 조건을 추가할 수 있으며, `-` 버튼으로 삭제할 수 있습니다.
  * 단, 마지막 입력창은 삭제할 수 없습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FH34hOuurgSq7e6bzJozu%2F20251111_130920.png?alt=media&#x26;token=e95b6675-f9a0-4ee7-843e-6f3e8461eb2f" alt=""><figcaption></figcaption></figure>

### 2. 다중 쿼리 검색

* 입력된 검색어는 입력 순서대로 순차 실행되며, 첫 번째 쿼리는 검색의 기준이 되는 시작 조건입니다.
* 첫 번째 쿼리의 결과가 존재하는 경우에만 다음 쿼리가 실행됩니다.
* 검색 결과는 시간순으로 정렬되며, 동일 호스트의 웹 로그와 시스템 로그가 연계되어 표시됩니다.
* 검색 실행 시 입력창 오른쪽의 `X` 아이콘을 클릭하면 입력 내용만 초기화됩니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2F9I6hdHLI8LPEC2RjkubU%2F20251111_131201.png?alt=media&#x26;token=40e0b473-f3d1-40f8-8e9c-a09f311eead0" alt=""><figcaption></figcaption></figure>

### 3. 검색 결과 표시

* 결과는 두 로그 유형으로 나누어 하단에 표시됩니다.
  * 웹 로그 정보: Host, Path, Response, Method, MIME Type, Status 등
  * 시스템 로그 정보: EventType, ProgramName, HostName, Syslog Severity/Facility, Hash 등
* 두 로그 간 시간 및 호스트 매칭 결과가 나란히 표시되어 공격 흐름을 직관적으로 파악할 수 있습니다.
* 각 로그 항목을 클릭하면 분석 정보 페이지가 새 창으로 열리며, 세부 이벤트 정보를 확인할 수 있습니다.

### 4. 검색 결과 저장

* 원하는 결과가 도출되면 `검색결과 저장` 버튼을 통해 쿼리와 결과를 함께 저장할 수 있습니다.
* 저장 시 제목을 입력하고 `확인`을 클릭하면 `저장되었습니다.` 팝업이 표시되며, 저장 내역은 별도 페이지에서 확인할 수 있습니다.
* 저장된 내역은 사용자 본인만 조회하거나 삭제할 수 있습니다.

### 5. 저장 내역 관리

* 상관분석 저장 목록 페이지에서는 사용자가 저장한 검색 결과를 조회할 수 있습니다.
  * 컬럼 구성: 번호, 제목, 등록자, 등록일
* 제목과 등록일 기준으로 정렬 및 검색할 수 있습니다.
* 각항목을 클릭하면 상세 페이지로 이동하며, 저장된 검색 쿼리와 로그 결과가 표시됩니다.

### 6. 예시 시나리오

{% hint style="warning" %}
공격자가 `shell.php`를 업로드한 흔적이 웹 로그에 탐지되고, \
동일 시점에 `powershell.exe` 실행 이벤트가 시스템 로그에서 발생한 경우, \
상관분석 페이지에서 두 로그를 함께 검색하여 \
원격 명령 실행을 시도한 시간대와 호스트를 추적할 수 있습니다.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/v6/fn/comm/correlation.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.