Manual_SIEM

You are here:--Manual_SIEM

차단IP주소

실시간으로 차단이 된 IP 주소를 보여주고, 직접 차단하고자 하는 IP주소를 등록하거나 편집할 수 있는 페이지입니다. 시스템/웹방화벽 로그조회 하단에 '즉시 차단' 버튼으로 차단 IP주소에 등록하여 관리할 수 있습니다. - 차단IP주소에 등록되면 차단되며, 삭제 시 차단이 해제됩니다. ▣ 방어 등록 방법 1. 전체로그/탐지로그 페이지 > 즉시방어 버튼 클릭 2. 방어 > 차단IP주소 > 시스템/웹방화벽 > IP주소 등록

리소스 모니터링

시스템의 리소스(CPU, Memory, HDD, Disk Active Time, Network Traffic, 업데이트일) 상태를 모니터링 할 수 있습니다. 시스템 관리에서 리소스 수집 ON 설정한 시스템을 대상으로 리소스 현황을 확인할 수 있습니다. 에이전트가 설치된 시스템 대상(윈도우: OS 설치 기준, 리눅스: root)이며 리소스 수집은 디폴트 ON으로 설정됩니다. ◆ 화면설정 - 리소스모니터링 컬럼은 화면설정을 통해 노출여부를 설정할 수 있습니다. - 리소스모니터링

그룹관리

시스템을 그룹별로 등록하여 관리할 수 있습니다. ◆ 최신순/ 오래된순 선택 - 최신순 또는 오래된순으로 선택해서 볼 수 있습니다.   ◆ 라인 수 선택 - 한 페이지에 표시될 라인 수를 선택할 수 있습니다.   ◆ 그룹등록 - 그룹을 추가하려면 '그룹등록'을 클릭한 후 시스템명을 입력한 후 추가버튼을 눌러 추가하고싶은 시스템을 선택합니다. - 등록완료 팝업창이 나타나면 확인 버튼을

API 제공(On-premise 전용)

제공하는 API로 가공하여 원하는 정보를 얻을 수 있습니다. On-premise 환경에서만 이용 가능합니다. ◆ API 인증키 설정 - 그룹관리 > 연동설정 메뉴에서 설정할 수 있습니다. - 발급하기 버튼을 누르면 다음과 같이 API 인증키가 발급됩니다.   ◆ 제공되는 정보 - 발급받은 인증키를 사용하여 Insomnia 등의 툴로 조회 작업을 하실 수 있습니다. - 로그의 정보는 제공하지 않습니다. -

컴플라이언스

ISMS-P/PCS DSS/ISO 27001/전자금융감독규정 로그 취합 분석 대응을 위한 리스트를 보여주는 페이지입니다. ◆ 컴플라이언스 설정 - 관리 > 연동 메뉴에서 설정할 수 있습니다. - 컴플라이언스 확인하기 버튼을 누르면 수정하기 메뉴에서 설정할 수 있습니다.   ◆ 로그 확인 - 컴플라이언스 페이지에서 우측의 보기를 클릭하면 새 탭에서 해당 로그가 열립니다. - 탐지 로그에서 컴플라이언스별 내용을 확인할 수 있습니다.

즉시차단

실시간으로 보안탐지, 필터탐지, 전체로그에서 탐지된 로그에 즉시차단 버튼을 클릭하여 방어를 할 수 있습니다. 즉시차단은 방어관리의 설정여부와 관계 없이 방어를 실행할 수 있는 기능입니다. 방어 하고싶은 로그를 누른 후 좌측 하단에 즉시차단 버튼을 누릅니다. ※ "즉시차단" 버튼은 차단이 가능한 로그에서 노출됩니다.   차단 팝업이 노출되면 IP주소 설정 및 설명을 작성하고 확인 버튼을 누릅니다. 차단이 성공적으로 설정되었습니다.

설정

실시간으로 해킹 로그를 탐지하여 공격자로부터 방어를 할 수 있게 설정하는 페이지입니다. 상관분석 / 시스템로그 /  계정탈취 / 데이터 유출 차단 등 사용자가 원하는 공격을 대상으로 방어할 수 있습니다. 방어 > 설정 > 웹방화벽에서 계정탈취, 데이터 유출 차단 서비스를 이용할 수 있습니다. - 계정탈취, 데이터 유출 필터 사용 후 차단 서비스 가능 (단, 웹방화벽 라이센스 사용

로그

방어를 등록한 후, 실시간으로 해당 IP를 차단하고 있는 로그를 확인할 수 있습니다. * Windows 의 경우 OS 특성상 방어로그를 지원하지 않습니다. - "설정" 버튼을 클릭하면 방어 > 설정 페이지로 이동합니다. - 마우스 우측 버튼 또는 "링크" 컬럼 하단의 아이콘을 클릭하여 해당 방어로그에 대한 탐지로그/전체로그 페이지로 이동할 수 있습니다.   ◆ 시간순 정렬 - 생성일 기준으로

웹로그 사용 설정 방법

  PLURA 웹로그 사용 설정은 어떻게 하나요?   ◆ Windows Server 2008 은 자동 설정을 지원하지 않으니 하단의 'Windows Server 2008 웹로그 수동설정' 안내대로 진행하여 주십시오. Microsoft 의 Windows Server 2008 지원 종료 안내글 https://www.microsoft.com/ko-kr/cloud-platform/windows-server-2008 ◆ Windows Server 2008을 제외한 다른 OS의 웹로그 사용 설정은 시스템 관리 페이지에서 할 수 있습니다. 시스템 > 시스템 관리에

시스템

PLURA 서비스를 설치하면 시스템 관리 페이지에 시스템의 상세 정보가 남게 되며, 그룹 생성 및 시스템의 상태를 변경할 수 있습니다. 시스템 시스템 관리 : http://blog.plura.io/?p=6236 그룹 관리 : http://blog.plura.io/?p=11038 리소스 모니터링 : http://blog.plura.io/?p=11060 웹로그 사용 설정 방법 : http://blog.plura.io/?p=8556