1. 리포팅 (보고서)
- 자료 전달을 위한 보편적인 방법
- 바 차트, 선 차트, 링크 그래프, 트리맵, 평행좌표, 3차원 그래프 등
- 리포팅 툴 (SIEM, 보고서 생성 툴, 프로그램 라이브러리)
2. 이력분석
- 수집된 자료 분석 방법
가. 시계열 시각화
- 시간이 지나는 동안 모은 자료
- 예측 모델 개발
- 특정 시간 분포, 편차 등 분석
- 타임 테이블, 다중 그래프, 경향선, 이동 평균 차트, 단순/고급 이동 평균, 섹터 그래프
나. 상관관계 그래프
- 두가지 연속형 자료의 상관 관계
- 자산 중요도
- 패킷/바이트 전송량, 이벤트 심각도, 이벤트 중요도, 파일 크기 등 비교
- 취약점 숫자 & 취약점 제거 비용
다. 인터랙티브 시각화
- 정보탐색 만트라 (전체를 본 후 확대/필터링하여 원하는 정보 검색)
- 동적 쿼리 (걸러낸 자료를 시각화하는 작업을 반복 수행
- 연결된 화면 (여러가지 그래프를 사용하여 다양한 특성을 동시 표현)
라. 포렌식 분석 (1~4는 공격 탐지, 5는 공격 영향분석)
1) 네트워크 흐름 분석
(1) 내용 파악
- 출발지와 목적지
- 서비스
- 장비 간 관계(링크 그래프)
(2) 그래프 분석
- 서비스 분석 (서비스 동작 여부 확인 및 가설 수립)
- 이상 징후 가설 확인
2) 네트워크 침입 탐지 자료
(1) 중요 이벤트에 집중 방안
- 공격 대상 장비의 중요도
- 공격 시도 장비의 이력
- 공격 성공 가능성 (세션 상태, 데이터 양, 프로토콜 유형 및 유형별 크기, 대상의 군집 정도)
- 취약점 상태
3) 애플리케이션 로그
(1) DNS 로그 (공격 당시의 IP, Domain name)
(2) DHCP 로그 (IP, MAC)
(3) WEB
(4) SMTP, POP3
4) 기타
(1) 스캐너
(2) 자산 중요도
(3) 사용자 R&R
(4) 자산 소유자
5) 침입 흔적 찾기
(1) 침입 결과 평가하기
- 침입 경로 시각화하기
- 침입 영향력
- 침입 범위
3. 실시간 모니터링 목적
가. 대시보드
1) 운영, 관리, 전략 목적 활용
2) 데이터 상태 전달 및 비교, 상관관계 분석, 예측
- 시간의 흐름에 따른 경향과 변화
3) 제작 원칙
- 하나의 공간
- 간단한 디자인
- 충분한 맥락
- 효과적인 강조
나. 상황인지
1) 실시간에 가까운 상태
2) 신속한 의사결정
댓글