모니터링 범위 선정 논의

[PeachLime]

이벤트란??

공격에 대한 것이다
로그인같은 활동도 이벤트이다
시스템에서 처리하는 행위는 전부 이벤트다
정해진 규칙을 어기는 행위 (공격)이 이벤트다

<대전제 1> 컴퓨팅에서 이벤트(event)란 프로그램에 의해 감지되고 처리될 수 있는 동작이나 사건을 말한다. => 컴퓨터에서 일어나는 행위가 이벤트다. -> 어떤 종류의 이벤트를 탐지, 기록, 분석할 것이냐를 정해야 한다. = 보안 관련 = 리소스관련 = 에러 = 웹서비스 = 읽기, 쓰기, 저장, 옮기기 등등 = 로그인같이 연결관련, 네트워크 관련 ... 등등?

    -> 보안관련 이벤트는 처리해야한다. (탐지, 기록(저장), 분석, 대응 및 출력)
        = 비정상 이벤트, 보안 위협 이벤트에 대한 처리
        = 정상/비정상 의 기준  |  보안에 위협/위협이 아닌것에 대한 기준
            - 접속 시간대
                : 접속 시간에 대한 로그 (업무 외의 시간인가?)
            - IP주소 기반 이질적인 위치 탐지, 알람, 제한
                : IP 주소에 대한 로그
                  IP 주소에 대한 위치 관련 정보
                  IP 주소 변화에 대한 로그
            - 요청 값에 대한 탐지 및 필터링 (예: 특수문자가 포함되어 공격목적이 담겨있어 보이는 요청)
                : 서버에 요청을 보낼때 특수문자가 필요한 서비스인지 확인이 필요하다. 
                  요청 받고, 처리기록에 대한 로그

            - 민감데이터 접근 및 수정이 일어날 경우에 대해서도 비정상 탐지가 가능할까? 
              (정상, 비정상 요청을 감별할 수 있는 기준이 있을까?)
                : 

    -> 실시간 로깅 및 시스템 정보 수집에 대한 범위와 적용여부에 대해 추간 논의 필요

보안, 웹개발, 앱개발에서 이벤트란 단어의 범위가 좀 달라진다 => 보안에서는 공격에 대한 것들이 이벤트다 => 웹개발에서는 브라우저에서 일어나는 상호작용들이 이벤트다 => 컴퓨터에서 일어나는 모든것들이 이벤트다

[PeachLime]

<현재(04.29) 모니터링 1순위>

-> 보안관련 이벤트는 처리해야한다. (탐지, 기록(저장), 분석, 대응 및 출력) = 비정상 이벤트, 보안 위협 이벤트에 대한 처리 = 정상/비정상 의 기준 | 보안에 위협/위협이 아닌것에 대한 기준

• 접속 시간대 : 접속 시간에 대한 로그 (업무 외의 시간인가?)

• IP주소 기반 이질적인 위치 탐지, 알람, 제한 : IP 주소에 대한 로그 IP 주소에 대한 위치 관련 정보 IP 주소 변화에 대한 로그

• 요청 값에 대한 탐지 및 필터링 (예: 특수문자가 포함되어 공격목적이 담겨있어 보이는 요청) : 서버에 요청을 보낼때 특수문자가 필요한 서비스인지 확인이 필요하다. 요청 받고, 처리기록에 대한 로그

• 민감데이터 접근 및 수정이 일어날 경우에 대해서도 비정상 탐지가 가능할까? (정상, 비정상 요청을 감별할 수 있는 기준이 있을까?) :