사용
1. 웹방화벽
웹 서비스 보호를 위한 세부 예외 처리 및 개인정보 보호 기능을 설정합니다.
1-1. 개인정보 마스킹
기능: 로그 내 포함된 개인정보(계좌번호, 주민번호 등)를 별표(
*)로 처리하여 관리자에게 노출되지 않도록 합니다.주의: 차단된 공격 로그의 경우, 분석을 위해 마스킹되지 않은 상태로 저장됩니다.
1-2. 탐지 예외
특정 조건의 트래픽을 탐지 대상에서 제외합니다. (전체 로그에는 기록되나, 탐지 이벤트로는 생성되지 않음)
예외 그룹: 여러 개의 조건을 묶어 관리할 수 있습니다.
조건 설정: 그룹 간에는 OR, 그룹 내 조건 간에는 AND 로직이 적용됩니다.
정규식 지원: 복잡한 패턴 매칭을 위해 정규식(Regex)을 지원합니다.
1-3. 크리덴셜스터핑 예외
기능: 로그인 시도 실패가 빈번하게 발생하는 정상적인 IP나 계정이 있을 경우, 이를 오탐으로 처리하지 않도록 예외 등록합니다.
1-4. 제로데이 예외
기능: 최신 취약점(Zero-day) 탐지 로직 중, 정상적인 비즈니스 로직과 충돌하여 오탐을 발생시키는 특정 시그니처를 일시적으로 제외합니다.
1-5. 브루트포스 예외
기능: 내부 테스트나 특정 자동화 도구로 인한 무차별 대입 탐지 알람을 방지합니다.
1-6. IP차단 예외
기능: 특정 IP 주소에 대해서는 웹방화벽의 차단 정책을 적용하지 않도록 설정합니다.
활용: 신뢰할 수 있는 사내 IP나 파트너사 IP를 등록하여 오탐으로 인한 서비스 중단을 방지합니다.
1-7. 업로드
웹 업로드 발생 시 로그 수집 및 저장 정책을 그룹별로 상세 설정합니다.
선별 및 예외 설정: 특정 조건에 맞는 로그만 선별하여 업로드하거나, 반대로 특정 로그를 업로드 대상에서 제외할 수 있습니다 (최대 30개까지 등록 가능).
그룹화 로직: * Key 간 조건: AND 연산 적용.
Value 간 조건: OR 연산 적용.
지원 필드: Extension, Host, Method, Post-body, Referer, Remote-addr, URL(path) 등 다양한 Key 값을 지원하며 정규식(Regex) 사용이 가능합니다
2. 호스트 보안
서버 및 단말기(Host)의 직접적인 제어 권한과 보안 기능을 설정합니다.
2-1. 원격제어
호스트의 물리적/네트워크적 상태를 관리자가 직접 제어할 수 있는 메뉴를 활성화합니다
설정 방법:
ON으로 설정 시, [시스템 관리 > 호스트 선택 > 원격 제어] 탭이 활성화됩니다.주요 기능:
호스트 종료: 원격에서 대상 시스템을 즉시 종료합니다.
네트워크 격리: 침해 사고 발생 시 해당 호스트의 모든 네트워크를 차단합니다. (단, PLURA 에이전트와의 통신 및 관리자가 설정한 예외 IP와의 통신만 유지됩니다.)
2-2. 포렌식
침해 사고 분석을 위해 호스트의 상세 아티팩트(Artifact) 정보를 수집하고 변경 이력을 관리합니다.
기능 활성화: 'ON' 설정 시 상세 항목이 노출되며, [시스템관리 > 호스트 > 상세 > 포렌식] 탭에서 해당 메뉴를 이용할 수 있습니다.
2-3. 업로드
에이전트가 설치된 호스트의 데이터를 PLURA 관리 서버로 전송하기 위한 규칙을 정의합니다.
OS별 맞춤 설정: 운영체제(Windows, Linux 등)에 따라 수집 가능한 데이터의 구조(Depth)가 다르게 제공됩니다.
정밀 제어: 웹방화벽 업로드와 동일하게 선별/예외 그룹 설정이 가능하며, 설정된 값에 매칭될 경우에만 데이터 업로드가 실행됩니다.
편의 기능: 정규식 미체크가 기본값이며, 복잡한 문자열 패턴을 자유롭게 지정할 수 있습니다.
Last updated