> For the complete documentation index, see [llms.txt](https://docs.plura.io/ko/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.plura.io/ko/v6/fn/comm/correlation.md).

# 상관분석

{% hint style="info" %}
상관분석은 웹 로그와 시스템 로그 간의 연관성을 분석하여\
공격 흐름을 추적하는 기능입니다.

웹 요청에서 시스템 이벤트로 이어지는 패턴을 한 화면에서 확인할 수 있으며,\
다중 조건 검색과 결과 저장 기능을 지원합니다.

이를 통해 보안 담당자는 로그 간 시점, 경로, 프로세스의 연계 관계를 보다 쉽게 분석할 수 있습니다.
{% endhint %}

### 1. 검색 대상 설정

* 검색 전 대상 로그를 선택합니다. (웹 로그 / 시스템 로그)
* 선택된 대상에 따라 입력 가능한 로그 키 목록이 달라집니다.
  * 웹 로그 키 예시: Host(domain), URI, Method, UserAgent, Query, Status 등
  * 시스템 로그 키 예시: EventID, ProcessName, SourceAddress, ProgramName, Msg, DestPort 등
* `+` 버튼으로 검색 조건을 추가할 수 있으며, `-` 버튼으로 삭제할 수 있습니다.
  * 단, 마지막 입력창은 삭제할 수 없습니다.

<figure><img src="/files/tZCrc4ufBbCRqbh28SXD" alt=""><figcaption></figcaption></figure>

### 2. 다중 쿼리 검색

* 입력된 검색어는 입력 순서대로 순차 실행되며, 첫 번째 쿼리는 검색의 기준이 되는 시작 조건입니다.
* 첫 번째 쿼리의 결과가 존재하는 경우에만 다음 쿼리가 실행됩니다.
* 검색 결과는 시간순으로 정렬되며, 동일 호스트의 웹 로그와 시스템 로그가 연계되어 표시됩니다.
* 검색 실행 시 입력창 오른쪽의 `X` 아이콘을 클릭하면 입력 내용만 초기화됩니다.

<figure><img src="/files/9v3OyxUw8wAOI1KdxIvi" alt=""><figcaption></figcaption></figure>

### 3. 검색 결과 표시

* 결과는 두 로그 유형으로 나누어 하단에 표시됩니다.
  * 웹 로그 정보: Host, Path, Response, Method, MIME Type, Status 등
  * 시스템 로그 정보: EventType, ProgramName, HostName, Syslog Severity/Facility, Hash 등
* 두 로그 간 시간 및 호스트 매칭 결과가 나란히 표시되어 공격 흐름을 직관적으로 파악할 수 있습니다.
* 각 로그 항목을 클릭하면 분석 정보 페이지가 새 창으로 열리며, 세부 이벤트 정보를 확인할 수 있습니다.

### 4. 검색 결과 저장

* 원하는 결과가 도출되면 `검색결과 저장` 버튼을 통해 쿼리와 결과를 함께 저장할 수 있습니다.
* 저장 시 제목을 입력하고 `확인`을 클릭하면 `저장되었습니다.` 팝업이 표시되며, 저장 내역은 별도 페이지에서 확인할 수 있습니다.
* 저장된 내역은 사용자 본인만 조회하거나 삭제할 수 있습니다.

### 5. 저장 내역 관리

* 상관분석 저장 목록 페이지에서는 사용자가 저장한 검색 결과를 조회할 수 있습니다.
  * 컬럼 구성: 번호, 제목, 등록자, 등록일
* 제목과 등록일 기준으로 정렬 및 검색할 수 있습니다.
* 각항목을 클릭하면 상세 페이지로 이동하며, 저장된 검색 쿼리와 로그 결과가 표시됩니다.

### 6. 예시 시나리오

{% hint style="warning" %}
공격자가 `shell.php`를 업로드한 흔적이 웹 로그에 탐지되고, \
동일 시점에 `powershell.exe` 실행 이벤트가 시스템 로그에서 발생한 경우, \
상관분석 페이지에서 두 로그를 함께 검색하여 \
원격 명령 실행을 시도한 시간대와 호스트를 추적할 수 있습니다.
{% endhint %}
