loglogic ??????? ?? ??.ppt - samboo.co.kr ·...

로그 파일 분석 관리 시스템

㈜삼부시스템

목 차

1. 회사 소개

2 정보 보안의 문제점2. 정보 보안의 문제점

3. 로그 파일 분석기란?

4 로그 파일 분석기 필요성4. 로그 파일 분석기 필요성

5. LogLogic 아키텍처

6 LogLogic 제품 구성 및 세부 기능6. LogLogic 제품 구성 및 세부 기능

7. LogLogic 특징 및 기대효과

8. 로그 파일 분석기 주요 기능8. 로그 파일 분석기 주요 기능

9. Reference Sites

2

1 회사 소개1. 회사 소개

3

▶ ㈜삼부시스템

회 사 명 ㈜ 삼 부 시 스 템 대 표 이 사 유 철 호

사 업 분 야 시스템통합 백업 (VTL) SAN 장비 스토리지 로그 분석기 컨설팅 S/W개발·공급

▶ ㈜삼부시스템

사 업 분 야 시스템통합, 백업 (VTL), SAN 장비, 스토리지, 로그 분석기, 컨설팅, S/W개발 공급

주 소 서울시 강남구 대치 4동 897-17 삼부빌딩

전 화 번 호 전화번호 : 02-538-4001 FAX : 02-553-4060

회사 설립 년도 1994년 10월 10일

대 표 이 사

경영관리팀

경영지원부 SAN 사업부 통신사업부

자재관리팀홍 보 팀

기술영업부

영업1

영업2

영업3

기술1

기술2

기술영업

기술지원

기술지원부

4

1팀

2팀

3팀

1팀

2팀 팀 팀

▶ LogLogic 사

100+ partners$350M+ to $1B market

Founded 2002300% YoY growth

▶ LogLogic 사

$350M to $1B market (SANS)Patented innovationsGlobal reach

300% YoY growth140+ employees700+ customersMarket Leader Global reachMarket Leader

HQ

HQLogLabs

HQ

Labs

5

Sales offices

2 정보 보안 문제점2. 정보 보안 문제점

6

▶ 정보 보안 문제점▶ 정보 보안 문제점

λ IT 및 네트워크 발달

λ 해킹 기술 발달(Zero-day attack)( y )

λ 손쉬운 해킹 툴 획득 및 사용

λ 급속한 해커 증가

λ 내부자의 부정 행위

7

▶ 보안 위협의 유형 및 피해액▶ 보안 위협의 유형 및 피해액

바이러스 웜(WORM)

인가되지 않은 직원들의 행위

68%

49%

$42,787,767

인가되지 않은 직원들의 행위

보안규제의 준수 실패

스파이웨어

49%

47%

25%

$31,233,100

$7,310,725

스파이웨어

외부로부터의 해킹

스팸

25%

29%

$6,856,450

$5,856,450 총 피해액 : $173,677,142

1 730 억원스팸

내부로부터의 해킹

29%

22%

20%

$4,107,300

$2,565,000

1,730 억원

낮은 운영 효율

신상정보의 도난

20%

12%

$841,400

$544,700

639개 기업으로부터의 응답 (2005년)

간접 피해액수 제외

8

출처 : 2005.03.25 FORRESTER, “IT Security Threats In 2005”

3 로그 파일 분석기란?3. 로그 파일 분석기란?

9

▶ 로그 파일이란 ?▶ 로그 파일이란 ?

컴퓨터 시스템의 모든 사용 내역을 기록하고 있는 화일을 말하는 것으로 항공기의

운항 내역을 기록하는 블랙박스와 비슷한 역할운항 내역을 기록하는 블랙박스와 비슷한 역할.

컴퓨터 시스템에 해킹 사고 등이 발생할 경우에는 로그 파일을 근거로 사고원인과

해커를 추적함.

( 기관의 개인정보 보 를 위한 기본 지침 행정자치 )

시스템 OS K l H d 의 운영상의 기록

(공공기관의 개인정보 보호를 위한 기본 지침, 행정자치부)

• 시스템 OS, Kernel, Hardware의 운영상의 기록

• 사용자에 의한 원격 혹은 내부 접속 기록

• 해커의 공격 형태에 따른 고유한 signature가 문자열로 기록되므로해킹을 분석하는데 중요

10

▶로그파일 - 사용자와 시스템의 불변의 지문

사용자와 시스템 동작로그인 실패

▶로그파일 사용자와 시스템의 불변의 지문

로그인 실패

보안 취약점 권한 승인 및 할당

어플리케이션 동작

고객 트랜잭션

신용카드 데이터 접근

객 랜잭션

메일 송수신정보 누출

11

▶ 로그의 종류(시스템 로그)

• 시스템 운영체제의 일반적인 작동 상황을 기록하는 로그

▶ 로그의 종류(시스템 로그)

12

▶ 로그의 종류(보안 로그)

• 시스템에 치명적인 영향 및 신뢰성을 저하시키는 사항과 관련

▶ 로그의 종류(보안 로그)

13

▶ 로그의 종류(어플리케이션 로그)

• 일반 응용프로그램이 자신이 수행한 작업 내역을 기록

▶ 로그의 종류(어플리케이션 로그)

14

▶ 로그 분석의 필요성 ?

• 보안 사고 발생시 추적할 수 있는 유일한 증거 자료

수사기관 요청시 증거 자료로써 활용 가능

▶ 로그 분석의 필요성 ?

• 수사기관 요청시 증거 자료로써 활용 가능

• 보안사고가 발생하기 전에 이상증후는 없는지 또 외부에서 해킹 시도는 없었는지를 감

시하여 알아낼 수 있는 유일한 자료

정기적인 취약점 진단과 함께 정기적 석할 수 있다면 한 안대• 정기적인 취약점 진단과 함께 정기적으로 로그를 분석할 수 있다면 proactive 한 보안대

응 체계 구축 가능

• Firewall이나 IDS가 설치되지 않은 기관에서는 침입시도가 있었는지를 감지할 수 있는

유일한 판단자료유일한 판단자료

• 로그파일을 안전한 원격지에 실시간으로 저장을 할 수 있다면, 해커가 해킹을 할 때 남

긴 모든 흔적들이 그대로 저장되기 때문에 안전하게 여러 증거들을 취합할 수 있다

• 주로 외부자에 의한 Inbound Packet만을 감지하는 F/W이나 IDS에서 감지되지 않는

내부자 접근 제어

15

▶ LogLogic Compliance Suite에서 지원 가능한 해외 법규▶ LogLogic Compliance Suite에서 지원 가능한 해외 법규

회계 관련 내부 통제SOX

효율적인 IT 자원관리, 미국위주Cobit 4.0

효율적인 IT 자원 관리, 유럽위주

신용카드 사용에 대한 통제 규정

ITIL

PCI 신용카드 사용에 대한 통제 규정

미국정부기관 보안 통제 규정

PCI

FISMA

병원 및 의료기관 통제 규정HIPPA

16

▶ 로그 파일 분석 관리 시스템 이란 ?

• 로그데이타의 무결성을 지원하는 암호화 저장 장비

고의적인 위변조 방지 A li

▶ 로그 파일 분석 관리 시스템 이란 ?

• 고의적인 위변조 방지 Appliance

• 실시간 모든 IT 자원으로부터 생성되는 로그 파일을 안전하게 저장

• 신속한 로그 파일 분석을 통한 리포팅

• Syslog 계열 로그 파일은 text 포맷의 파일이므로 UNIX 상의 편집기를 이용하여 분석할

수 있다. 다만 관리자가 보안 및 로그분석에 관한 경험이 풍부해야 정확히 어떤 해킹을

받아서 남은 메시지라는 것을 알아낼 수 있으므로 자동화된 보안 로그 분석 툴을 활용할

것을 권합니다것을 권합니다.

• 쉽고 편리하게 다량의 로그 파일 관리

-> 로그 데이터 관리의 보안성과 가용성 제공

-> 법률 준수 및 기업의 리스크 완화 지원

17

▶ 로그 파일 분석 관리 목적

경영 환경의 효율성 강화경영 환경의 효율성 강화

▶ 로그 파일 분석 관리 목적

경영 환경의 효율성 강화경영 환경의 효율성 강화

법률 준수

• 보안사고 발생시

책임 추적성 제공

위험 완화

• 사고 발생에 대한 신속한 대응

• 사고 예방을 위한 자료

효율적 자원 관리

• 체계화된 로그 파일 관리

• 효율적 디스크 관리책임 추적성 제공

• 법정 증거로 활용 가능

• 감사 관련 자료 제공

• 사고 예방을 위한 자료

• 보안 대응 체계 구축

• 효율적 디스크 관리

• 인적/물적 비용의 절감

통합 로그 파일 관리통합 로그 파일 관리

18

4 로그 파일 분석기 필요성4. 로그 파일 분석기 필요성

19

▶ 로그 파일 분석 관리 필요성

해커나 비인가자의 사용 내역 기록 보 안 정 책 강 화

▶ 로그 파일 분석 관리 필요성

해커나 비인가자의 사용 내역 기록 보 안 정 책 강 화

법적 문제 발생시, 법정 증거 자료 가치 기 업 위 험 완 화

시스템 및 네트워크의 현재 환경 기록 시스템 및 네트워크 실시간 모니터링

시스템 및 네트워크 장애 발생 기록 장애에 대한 신속한 대응

20

▶ 로그 파일 분석 시스템 적용 대상▶ 로그 파일 분석 시스템 적용 대상

적 용 목 적 적 용 대 상

금융기관, 증권사, 통신사, 대형포털거래 기록의 저장거래 기록의 저장거래 기록 저장

정부기관, 은행권, 증권사,

대형 포털, 관제 서비스 제공 업체거래 기록의 저장거래 기록의 저장법 률 준 수

기밀 문서 저장 대학, 학술 단체, 기업 연구소

정부기관, 대기업, 게임업체,

인터넷 쇼핑몰, 법률 사무소, 대형 병원개인 정보 보호 필수

21

인터넷 쇼핑몰, 법률 사무소, 대형 병원

▶ 전자금융거래법(재정경제부)

• 전자금융거래를 이용하는 이용자를 보호하고, 전자금융거래의 안전성을 확보함

• 접근매체의 위·변조, 해킹 등으로 전자금융사고 발생시 금융기관 등이 원칙적으로 무과실 책임을부담하게 하고 금융기관 등이 이용자의 고의 중과실을 입증한 경우에만 면책

▶ 전자금융거래법(재정경제부)

부담하게 하고 금융기관 등이 이용자의 고의,중과실을 입증한 경우에만 면책

제9조 (금융기관 또는 전자 금융업자의 책임)

①금융기관 또는 전자 금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의① ,

전자적 전송이나 처리과정에서 발생한 사고 인하여 이용자에게 손해가 발생한 경우에는 그 손해를

배상할 책임을 진다.

제21조 (안전성의 확보의무)제 (안전성의 확 의무)

②금융기관 등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록

전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및

전자금융업무에 관하여 금융감독위원회가 정하는 기준을 준수하여야 한다.

제22조 (전자금융거래기록의 생성 및 보존)

①금융기관 등은 전자금융거래의 내용을 추적, 검색하거나 그 내용에

오류가 발생할 경우에 이를 확인하거나 정정할 수 있는 기록을 생성하여 5년의 범위 안에서 대통령령이

정하는 기간 동안 보존하여야 한다.

22

정하는 기간 동안 보존하여야 한다.

▶ 전자금융거래법 시행령(대통령령 제 19783호)▶ 전자금융거래법 시행령(대통령령 제 19783호)

제12조(거래기록의 보존기간 및 방법 등)

①법 제22조 제1항 및 제2항에 따른 거래기록의 종류별 보존기간은 다음 각 호와 같다①법 제22조 제1항 및 제2항에 따른 거래기록의 종류별 보존기간은 다음 각 호와 같다.

1. 다음 각 목의 거래기록은 5년간 보존하여야 한다.

가. 제7조 제4항 제1호 내지 제5호에 관한 사항

나. 해당 전자금융거래와 관련한 전자적 장치의 접속 기록

다 전자금융거래의 신청 및 조건의 변경에 관한 사항다. 전자금융거래의 신청 및 조건의 변경에 관한 사항

라. 건당 거래 금액이 1만원을 초과하는 저자금융거래에 관한 기록

2. 다음 각 목의 거래기록은 1년간 보존하여야 한다.

가. 건당 거래금액이 1만원 이하인 전자금융거래에 관한 기록

나 전자지급수단의 이용과 관련된 거래 승인에 관한 기록나. 전자지급수단의 이용과 관련된 거래 승인에 관한 기록

다. 그 밖에 금융감독위원회가 전하여 고시하는 거래기록

② 금융기관 또는 전자금융업자와 동일한 거래기록을 생성,보존하는 전자금융보조업자가 제1항 제1호

각 목의 거래기록 보존하여야 하는 기간은 동항 제1호에도 불구하고 3년으로 한다.

③ 금융기관,전자금융업자 및 전자금융보조업자(이하 “금융기관 등”이라 한다.)는 제1항 및 제2항의

거래기록을 서면, 마이크로 필름, 디스크 또는 자기테이프, 그 밖의 전산정보처리조직을 이용한

방법으로 보존하여야 한다.

④ 금융기관 등은 제3항에 따라 거래기록을 디스크, 자기테이프, 그 밖의 전산정보처리조직을 이용하여

23

보존하는 경우에는 「전자거래기본법」제5조 제1항 각 호의 요건을 모두 갖추어야 한다.

▶ 개인정보의 기술적 관리적 보호조치 기준(정보통신부)▶ 개인정보의 기술적, 관리적 보호조치 기준(정보통신부)

제28조 (접속기록의 위,변조 방지)

① 정보통신 서비스 제공자 등은 개인정보 취급자가 개인정보처리 시스템에 접속하여 개인정보를 처한 경우에는

처리 일시 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인 감독한다처리 일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인,감독한다.

② 정보통신서비스 제공자 등은 개인정보처리시스템의 접속기록이 위,변조되지 않도록 별도 저장장치에

백업 보관한다.

▶ 정보시스템 구축,운용 기술 가이드 라인(정보혁신지방분권위원회, 정보통신부, 한국전산원)

사. 보안분야

2. 개발 가이드 라인<운영보안>

o 로그

- 주요시스템 및 장애에 대한 로그보관, 백업 및 분석지침을 수립하고, 로그는 최소 6개월 이상 백업을 유지 관리함

- 주요시스템 및 정보제공시스템은 주 1회 이상의 로그를 분석하고, F/W, IDS, VPN의 로그는 매일 분석하여야 함

- 로그는 비 인가된 자에 의해 수정될 수 없도록 관리되어야 함

24

▶ 금융기관 전자금융업무 감독 규정 시행 세칙(금융감독원)▶ 금융기관 전자금융업무 감독 규정 시행 세칙(금융감독원)

제6조(전산자료 보호대책)

① 금융기관은 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 보호대책을 수립 운용하여야 한다.

6 1년 이상 정보시스템 가동기록 보존6. 1년 이상 정보시스템 가동기록 보존

③ 금융기관은 단말기를 통하여 고객정보를 조회하는 경우에는 사용자, 사용 일시, 변경 또는 조회내용, 접속방법 등이

정보시스템에 자동기록 되도록 하고 그 기록을 1년 이상 보존하여야 한다. 다만, 규정 제3조제1항 제1호 내지

제6호의 금융기관인 경우 은행업 감독규정 시행세칙 제88조에서 정한 바에 따른다.

제10조(IP주소 사용대책)

금융기관은 정보제공자 주소(이하 “IP주소”라 한다)의 안전한 사용을 위하여 다음 각호를 포함하여 적절한 대책을

수립 운용하여야 한다.

3. 내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도로 기록 보관

25

▶ 전자금융 안전대책 기준(금융감독원)▶ 전자금융 안전대책 기준(금융감독원)

Ⅳ. 주요 안전기준

□ 거래정보 기록 보관

― 모든 금융거래정보는 Logging을 실시하고, 이에 대한 Back-up 및 소산관리

ㅇ거래사실 증명, 장애 발생 시 복구

Ⅴ. 세부 업무별 보안기준(안)

1. 전자금융거래

(7) 거래 및 접근 기록 : Logging

○ 전자금융거래 내역에 대한 Logging은 향후 문제 발생 시 원인규명이 가능한 내용○ 전자금융거래 내역에 대한 Logging은 향후 문제 발생 시 원인규명이 가능한 내용

- 사용자ID, 서비스명, 거래시간, 금액, 거래성공여부 등

○ 침입차단시스템 Log는 비인가 된 서비스 감지가능 여부 및 시스템 용량을 고려하여 자체적으로 결정

○ 주요정보 파일에 대한 내부직원 접근시 File명, 작업내용, 사용자ID, 일자 등 을 기록

○ Log의 백업 및 소산○ Log의 백업 및 소산

○ 보존기간 : 최소 보존 기간은 법적 증빙보관기간을 준수

26

▶ 공공기관의 개인정보 보호를 위한 기본지침▶ 공공기관의 개인정보 보호를 위한 기본지침

(행정자치부)

Ⅱ 개인정보 보호를 위한 조치사항Ⅱ. 개인정보 보호를 위한 조치사항

2 개인정보보호책임관의 지정·운영

○ 책임관 지정 : 개인정보를 보유·처리하는 과 단위 부서장

○ 책임관의 임무(예시)

개인정보취급자의 개인정보 보호업무의 지도 감독- 개인정보취급자의 개인정보 보호업무의 지도·감독

- 개인정보 처리시스템의 사용자 권한설정 등 제반 보호장치에 관한 사항의 확인·감독

- 시스템 로그 화일 등 접속기록의 주기적인 분석 및 오·남용 사고의 예방

4 개인정보 처리시스템에 대한 조치사항

○ 입 출력 및 수정 사항 화일별 담당자별 데이터 접근내역 등을 자동으로 기록하는 로그 화일의 생성○ 입·출력 및 수정 사항, 화일별·담당자별 데이터 접근내역 등을 자동으로 기록하는 로그 화일의 생성

- 이러한 로그화일은 개인정보 취급시의 책임을 명확히 할 목적 이외에는 사용금지

※ 로그화일 : 컴퓨터 시스템의 모든 사용내역을 기록하고 있는 화일을 말하는 것으로 항공기의 운항내역을

기록하는 블랙박스와 비슷한 역할. 컴퓨터 시스템에 해킹사고 등이 발생할 경우에는 로그파일을 근거로

사고원인과 해커를 추적함사고원인과 해커를 추적함.

Ⅲ. 개인정보 보호를 위한 준수사항

2 웹사이트에 게재 및 수집 가능한 개인정보

27

※ 개인을 식별할 수 있는 로그화일 등도 개인정보임

5. LogLogic 아키텍처

28

▶ LogLogic 제품 구성 및 세부 기능▶ LogLogic 제품 구성 및 세부 기능


LX P d F il S d il


LX Product Family ST Product Family

¬ 로그 데이터의 수집 관리 및 분석 ¬ 모든 로그 데이터를 신속하고

¬ LX 1010

¬ LX 2010

ST 2000

¬ ST 3000

¬ 로그 데이터의 수집,관리 및 분석

안전하게 저장¬ LX 2000

¬ LX 1000¬ ST 3010

ST 2010¬ LX 1010

¬ LX 510

¬ ST 2000¬ LX 1000

¬ LX 500

¬ ST 2010

¬ S-100

29

▶ LogLogic 프로세스▶ LogLogic 프로세스

Share: Open Log ServicesMulti-dimensional Analytics

PortalsDashboards

Quad Processing Log Data Warehouse

경 고 검 색 리 포 트 콘 솔

B li

Universal Log Processing

Log Replay

Index

Baseline

Deep Parsing

Data

Classificat-ion

ArchiveAggregate Protect

Universal Log ProcessingSysLog

SysLogNGSMB SNMP

HTTP

HTTPSFTP/FTPS

SCPOther

30Servers Databases HomegrownApplications

Network

3.4 제안시스템 네IPSIDS Virus wall VPN 웹 서버 메일 서버 Application

서버DB 서버 DNS 서버 FTP 서버

3.4 제안시스템 네트워크 구성도

스위치실시간 모니터링

SNMP T 을 이용한

라우터

스위치

방화벽

및 분석 저장SNMP Trap을 이용한

Raw Logs의 TCP 전송 LX 1000 or LX 2000Systems

라우터통합 관리ST 2000 or ST3000

System(Raw log 저장)

Network

인터넷 Raw log WORM/NAS

외부 스토리지에 대용량 로그 데이터 저장 가능

지사

LX 500

SNMP Trap을 이용한

Logs

31

SNMP Trap을 이용한

Raw Logs의 TCP 전송

6 L L i 제품 구성 및 세부 기능6. LogLogic 제품 구성 및 세부 기능

32

▶ LX 제품 세부 사양

LX 2000


LX Product

Family

LX 2000• 메시지 수집 : 3,000 msg/sec

• 2U appliance with dual CPU’s & Raid 5 Disk System

• Redundant Power Supplies 제공

• Dual Network interfaces ( 10/100/1000 & 10/100)Family • Dual Network interfaces ( 10/100/1000 & 10/100)

• Fail-over Network connections and Systems

LX 1000

• 메시지 수집 : 1,500 msg/sec, g/

• 1U appliance

• Dual Network interfaces (2x10/100)

• Fail-over for Network connections and Systems

LX 500LX 500

• 메시지 수집 : 200 msg/sec

• Single Interface(10/100)

• 1U appliance

33

• Small remote site


LX 2010


LX Product

Family

LX 2010• 메시지 수집 : 4,000 msg/sec

• 2U appliance with dual CPU’s & Raid 5 Disk System

• Redundant Power Supplies 제공

• Dual Network interfaces : 2x10/100/1000 & 10/100Family • Dual Network interfaces : 2x10/100/1000 & 10/100

• Fail-over Network connections and Systems

LX 1010

• 메시지 수집: 1,500 msg/sec, g/

• 1U appliance

• Dual Network interfaces (2x10/100)

• Fail-over for Network connections and Systems

LX 510LX 510

• 메시지 수집 : 500 msg/sec

• Single Interface(10/100)

• 1U appliance

34

• Small remote site

▶ ST 제품 세부 사양

ST 3000

• 메시지 수집 : 50,000 msg/sec

3U A li 2 TB Ph i l Di k R d d P


• 3U Appliance, 2 TB Physical Disk, Redundant Power

• HA Disk System, Mirrored OS, Raid 5 Array with

a spare disk drive

• Raw Log Data is compressed (10/12 to 1) & MD5 hashed

ST Product

Family

• Dual Network interface : 10/100 & 10/100/1000

ST 2000• 메시지 수집 : 50,000 msg/sec

• 2U Appliance 80giga Disk• 2U Appliance, 80giga Disk

(stores data if NAS link goes down)

• Mounts to a NAS Storage System


S-100

• 2U Appliance, 3 TB Physical Disk, Redundant Power

• Raid 5 Array

Dual Network interface : 10/100 & 10/100/1000

35



ST 3010



• 3U Appliance, 4 TB Physical Disk, Redundant

Power Supplies

ST Product

Family

• HA Disk System, Mirrored OS, Raid 5 Array with

a spare disk drive

• Raw Log Data is compressed (10/12 to 1) & MD5 hashed

• Dual Network interface : 10/100 & 4x10/100/1000Dual Network interface 10/100 & 4x10/100/1000

ST 2010


• 2U Appliance, 500GB Disk2U Appliance, 500GB Disk

(stores data if NAS link goes down)

• Mounts to a NAS Storage System

• Dual Network interface : 10/100 & 4x10/100/1000

36

▶ LogLogic 성능 비교▶ LogLogic 성능 비교

Appliance LX500 LX510 LX1000 LX1010 LX2000 LX2010

Msg/sec 200 500 1 500 1 500 3 000 4 000Msg/sec 200 500 1,500 1,500 3,000 4,000

Kbytes/sec 40 100 300 300 600 800

Gbytes/day 3.46 8.64 25.92 25.92 51.84 69.12

Appliance ST 2000 ST 2010 ST 3000 ST 3010

Msg/sec 50,000 75,000 50,000 75,000

Kbytes/sec 10,000 15,000 10,000 15,000

Gbytes/day 846 1,296 864 1,296

37

▶ LogLogic LX 제품 구성 비교 및 사양표

Model

구 분 LX500 LX510 LX1000 LX1010 LX2000 LX2010

Sustained

▶ LogLogic LX 제품 구성 비교 및 사양표

Sustained message per second rate

200 mps 500 mps 1,500 mps 1,500 mps 3,000 mps 4,000 mps

Data Storage Life time

90 일(Metalog)

90 일(Metalog)

90 일(Metalog)

90 일(Metalog)

90 일(Metalog)

90 일(Metalog)

CompressionRatio

20 : 1 12 : 1 20 : 1 12 : 1 20 : 1 12 : 1

HA & Fail-OverNot

availableNot

availableAvailable Available Available Available

Management Not NotManagement Station

Not available

Not available

Available Available Available Available

C P U 1.7 GHz AMD 2.8 GHz P4 2.8GHz P4 2.8GHz P4 2x2.8GHz Xeon2x2.4GHz Opteron

Memory 512 MB 1 GB 1 GB 1 GB 4 GB 2 GBy

HDD 40 GB IDE 250 GB IDE 160 GB IDE 250 GB IDE4 X 160 GBSATA RAID 5

8 x 250 GBSATA RAID5

Capacity 40 GB 250 GB 160 GB 250 GB 460 GB 2 TB

N k 1 10/1001x10/1000

2 10/1001x10/100 1x10/100 1x10/100

38

Network 1x10/1001x10/1000

1x10/100/10002x10/100

1x10/1001x10/100/1000

1x10/1001x10/100/1000

1x10/1002x10/100/1000

▶ LogLogic ST 제품 구성 비교 및 사양표

Model

구 분ST 2000 ST 2010 S-100 ST 3000 ST 3010

S t i d

▶ LogLogic ST 제품 구성 비교 및 사양표

Sustained message per second rate

50,000 mps 75,000 mps - 50,000 mps 75,000 mps

Compression ratio 12 : 1 12 : 1 - 12 : 1 12 : 1

HA & Fail-Over Available Available Availabe Available Available

Management Station Available Available Not Available Available Available

C P U 2x2.8GHz Xeon2x2.4GHz Opteron

Intel(R) Xeon(TM) CPU

3.00GHz 2x2.8GHz Xeon

2x2.4GHz Opteron

Memory 2 GB 2 GB 1 GB 2 GB 2 GB

HDD2 x 80GB

SATA RAID 12 x 250GBSATA RAID 1

-2 x 80GB SATA RAID

2 x 80GB SATA RAID

D S NAS NAS6 x 500 GB 10 x 250GB 8 x 500GB

Data Storage NAS NAS6 x 500 GBSATA RAID 5

10 x 250GB SATA RAID 5

8 x 500GB SATA RAID 5

Volume 80 GB 250 GB 3 TB 2 TB 4 TB

Network1x10/100

1x10/100/10001x10/100

4x10/100/10001x10/100

1x10/100/10001x10/100

1x10/100/10001x10/100

4x10/100/1000

39

1x10/100/1000 4x10/100/1000 1x10/100/1000 1x10/100/1000 4x10/100/1000

7. LogLogic 특징 및 기대효과

40

▶ LogLogic 특징 및 기능

강력한 통합 관리 기술

▶ LogLogic 특징 및 기능

강력한 통합 관리 기술

실시간 로그 수집 및 분석 저장

로그 파일

분석 관리 시스템성능 및 가용성 강화

다양한 리포트 기능

41

강력한 통합 관리 기능

• 이기종 장비 및 어플리케이션의 로그 파일 통합 관리

• 리모트 사이트의 로그 데이터 통합 관리

• 웹 브라우져를 통한 단일 View 제공

Ci PIX/R t /VPNCisco PIX/Router/VPN

Database

Linux

42

Juniper IDP/FW/VPN Window

실시간 로그 수집 및 분석 저장

실시간 로그 수집

- 4,000 msg/s 수집

- MD5 이용한 암호화 전송

- 실시간 압축 저장

실시간 패턴 분석

- 초기에 이상 징후 발견 및 조치

정보보호문서

기에 이상 징후 발견 및 치

- 사용자 접근, 활동 기록 및

환경변수 변화 탐지

- 실시간 Raw 데이터 분석

실시간 탐지 경고 기능

- 사용자에 대한 접근, 권한 관리

파일 변경 관리

43

- 파일 변경 관리

- 시스템 및 네트워크 환경 관리

▶ LogLogic 분석(예 무차별대입공격 Brute Force Attack)▶ LogLogic 분석(예,무차별대입공격 Brute Force Attack)

중국발

해커에 의한

P/WP/W

Brute Force

일본발

해커에 의한

ID

Brute Force

44

성능 및 가용성 강화

인스톨 10분! 리포팅 10초!

- Plug-and-play

-SNMP, Syslog, FTP 등 다양한 프로토콜 사용

- 네트워크 관리 도구와 상호 운영, 쉬운 통합

신속한 문제 해결 능력!

-초당 4,000 메시지 수집(LX 2010)

-신속한 검색 및 분석 (25G 분석에 10분 소요)

Fail over 기능 제공- Fail-over 기능 제공

안전한 저장과 철저한 법규준수!

- 실시간 저장, 무결성 보장

- PCI,SOX,HIPAA,FISMA,ITIL,ISO,COBIT4

업무 효율성 극대화!

- 추가적인 관리자와 특수한 교육이 필요 없음.

45

- 시스템 및 네트워크 환경 변화가 없음

다양하고 세분화된 리포트 기능

15,000 개 이상의 맞춤형 보고서 작성 가능

Access Control 분석 항목

Connectivity 분석 항목

Event Logs 분석 항목

Policy Reports 분석 항목

46

▶ LogLogic 리포트 설정▶ LogLogic 리포트 설정

47

▶ LogLogic 리포트 출력▶ LogLogic 리포트 출력

48

▶ LogLogic 디바이스 연동 - Linux▶ LogLogic 디바이스 연동 Linux① 아무런 디바이

스 연동 없음

[root@localhost ~]# cat /etc/syslog.conf# Log all kernel messages to the console# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console...

② Syslog.conf 파일에서

LogLogic 경로 추가

# Save boot messages also to boot.loglocal7.* /var/log/boot.log

*.* @203.235.181.244(LogLogic IP)

49

[root@localhost ~]#

▶ LogLogic 디바이스 연동 - Linux (계속)▶ LogLogic 디바이스 연동 Linux (계속)

해당 디바이스 연동③ 해당 디바이스 연동

④ 디바이스의 로그

수신 상태를

보여줍니다

50

8 로그 분석기 주요 기능8. 로그 분석기 주요 기능

51

▶ 수집 기능

제 품 별

주 요 기 능LogLogic (삼부시스템)

▶ 수집 기능

수 집 률 초당 최대 15 MB

구문(句文) 검색기능 가 능

타 장비(ESM) 연동성 가 능타 장비(ESM) 연동성 가 능

어플리케이션 및 DB 로그 수집 가 능

로그 수집 방법Syslog/SNMP

FTP/HTTP/SCP 등

(Agent 없이 직접 로그 수집)

실시간 모니터링 가 능

서버 로그 수집 가 능

네트워크 로그 수집 가 능

실시간 패턴 감지/경고 가 능

52

▶ 분석 기능

제 품 별

주 요 기 능LogLogic (삼부시스템)

▶ 분석 기능

조건 별 분석 기능 가 능

Anomaly 탐지 기능 가 능

자동 패턴 추가 기능 가 능

분 석 능 력 25GB/10분

보고서 생성 기능 15,000 개 이상

보고서 공유 기능 가 능보고서 공유 기능 가 능

로그 데이터 베이스화 가 능

보고서 파일 변환 기능 가 능

53

보고서 파일 변환 기능 가 능

▶ 저장 기능

제 품 별

주요 기능

LogLogic

(삼부시스템)

▶ 저장 기능

각 로그 데이터

보존 기간 설정가 능

저 장 용 량 4 TB저 장 용 량 4 TB

압 축 저 장 가능 (12 :1, 20:1)

실시간 저장 기능 가 능

Hash 및 암호화 저장 가 능

저장된 로그에 대한

접근 및 수정 기록 탐지가 능

54

▶ 관리 기능

제 품 별

주요 기능

LogLogic

(삼부시스템)

▶ 관리 기능

PCI,SOX,ISO

HIPAA,FISMAITIL,COBIT4지 원

Fail-Over 가 능Fail Over 가 능

HA 기능 가 능

자체 시스템 모니터링 가 능

통합 관리 기능 가 능

이중화 백업 기능 가 능

업데이트 기능 수동 및 자동

55

업데이트 기능 수동 및 자동

▶ 종합

구분제 품 별

기 능 LogLogic

수 집 률 초당 최대 15 MB

▶ 종합

수집

기능

구문(句文) 검색기능 가 능

로그 수집 방법 Syslog/SNMP FTP/HTTP/SCP 등

어플리케이션 및 DB 로그 수집 가 능

타 장비(ESM) 연동성 가 능타 장비(ESM) 연동성 가 능

분석

분 석 능 력 25GB/10분

보고서 생성 기능 15,000 개 이상

보고서 공유 기능 가 능

기능 자동패턴 추가 기능 가 능

조건별 분석 기능 가 능

Anomaly 탐지 기능 가 능

각 로그 데이터 보존 기간 설정 가 능저장

기능

각 로그 데이터 보존 기간 설정 가 능

압 축 저 장 12 :1, 20:1

저 장 용 량 4TB

Fail-Over 가 능

56

관리

기능HA 기 능 가 능

PCI,SOX,ISO

HIPAA,FISMAITIL,COBIT4지 원

9 R f Sit9. Reference Sites

57

▶ Reference Sites 700+ Customers Globally

Financial Services Tech, Comms & Interactive Retail, Auto & Services Govt, Edu & Healthcare

▶ Reference Sites 700+ Customers Globallyun

e 100

0Fo

rtu00

+G2

00

58

loglogic ??????? ?? ??.ppt - samboo.co.kr ·...

Documents