search

상관분석

circle-info

상관분석(Correlation Analysis) 페이지는 웹로그(Web Log) 와 시스로그(Syslog) 간의 상호 연관성을 분석하기 위한 기능입니다. 공격자의 행위가 웹 요청 → 시스템 이벤트로 이어지는 패턴을 빠르게 식별할 수 있도록, 다중 쿼리 기반 검색과 결과 저장 기능을 제공합니다. 이를 통해 보안 담당자는 로그 간의 시점, 경로, 프로세스 연계 흐름을 한 화면에서 추적할 수 있습니다.

hashtag
1. 검색 대상 설정

  • 검색 전, 대상 로그를 선택(웹로그 / 시스로그) 합니다.

  • 선택된 대상에 따라 입력 가능한 로그 키(Key) 목록이 달라집니다.

    • 웹로그 키 예시: Host(domain), URI, Method, UserAgent, Query, Status 등

    • 시스로그 키 예시: EventID, ProcessName, SourceAddress, ProgramName, Msg, DestPort 등

  • 입력창에 + 버튼을 클릭하면 검색 조건을 추가할 수 있으며, - 버튼으로 삭제할 수 있습니다. (단, 마지막 한 개의 입력창은 삭제 불가)

hashtag
2. 다중 쿼리 검색

  • 입력된 검색어는 입력 순서대로 순차 실행되며, 첫 번째 쿼리는 트리거 역할을 합니다.

  • 첫 번째 쿼리 결과가 존재할 경우에만 다음 쿼리가 실행됩니다.

  • 검색 결과는 시간순으로 정렬되며, 동일 호스트의 웹로그와 시스로그가 연계 표시됩니다.

  • 검색 실행 시, 입력창 오른쪽의 X 아이콘을 클릭하면 입력 내용만 초기화됩니다.

hashtag
3. 검색 결과 표시

  • 결과는 두 로그 유형별로 나뉘어 하단에 표시됩니다.

    • 웹로그 정보: Host, Path, Response, Method, MIME Type, Status 등

    • 시스로그 정보: EventType, ProgramName, HostName, Syslog Severity/Facility, Hash 등

  • 두 로그 간의 시간·호스트 매칭 결과가 나란히 표시되어 공격 흐름을 직관적으로 파악할 수 있습니다.

  • 각 로그 항목 클릭 시, 분석정보 페이지가 새 창으로 열리며 세부 이벤트 정보를 확인할 수 있습니다.

hashtag
4. 검색 결과 저장

  • 원하는 결과가 도출된 경우, 검색결과 저장 버튼을 통해 쿼리와 결과를 함께 저장할 수 있습니다.

  • 저장 시 제목을 입력하고 확인을 클릭하면 “저장되었습니다.” 팝업이 노출되며, 내역은 별도 페이지에서 확인 가능합니다.

  • 저장된 내역은 사용자 본인만 조회·삭제할 수 있습니다.

hashtag
5. 저장 내역 관리

  • 상관분석 저장 목록 페이지에서는 사용자가 저장한 검색결과를 조회할 수 있습니다.

    • 컬럼 구성: 번호, 제목, 등록자, 등록일

    • 정렬/검색: 제목, 등록일 기준 정렬 및 검색 가능

  • 각 항목 클릭 시 상세 페이지로 이동하며, 저장된 검색 쿼리와 로그 결과가 표시됩니다.

  • “삭제” 버튼 클릭 시 ‘삭제하시겠습니까?’ → ‘삭제되었습니다.’ 팝업이 순차적으로 출력됩니다.

hashtag
6. 예시 시나리오

circle-exclamation

공격자가 shell.php를 업로드한 흔적이 웹로그에 탐지되고, 동일 시점에 powershell.exe 실행 이벤트가 시스로그에서 발생한 경우, 상관분석 페이지를 통해 두 로그를 함께 검색하면 공격자가 원격 명령 실행을 시도한 정확한 시간대와 호스트를 추적할 수 있습니다.

Previous마이터어택Next보안탐지

Last updated