Vigil
최근 보안 시장에서 더욱 급부상하고 있는 SIEM, IPS, IDS 등의 보안 공격 이벤트 탐지 시스템에 의해서 기업마다 매일 수백 개에서 수천 개 이상의 보안 이벤트가 발생되고 로그로 기록되고 있습니다. 그러나 보안 공격 이벤트 탐지 시스템 만으로는 보안 사고 발생시 정밀 조사를 할 때 상세하고 구체적인 행위까지 설명하는 것은 여전히 어렵습니다. 이러한 구체적인 네트워크 행위에 대한 정보는 네트워크의 패킷 분석을 통해서만 구체적으로 확인할 수 있기 때문입니다.
새비어스 비즐 (Savvius Vigil)은 SIEM, IPS, IDS등과 같은 보안솔루션들이 제공하는 보안 이벤트를 참조하여, 지능적이며 자동적으로 보안 조사에 있어서 유용한 패킷들이 무엇인지 결정합니다.
평균 7개월가량의 보안 이벤트에 관련된 패킷들을 저장함으로써 장기간 계획된 보안 공격에 대한 포렌식 분석에 유용한 솔루션이 됩니다.
[그림 1] 기본 대시 보드
[그림 2] SIEM/IPS/IDS 만 운용
[그림 3] 기존SIEM/IPS/IDS와 Savvius Vigil의 통합 운용
새비어스 비즐 (Savvius Vigil)은 [그림 2]와 [그림 3]과 같이 시장을 선도하는 보안 정보 및 이벤트 관리 솔루션(SIEM)의 침입 탐지 시스템/침입 방지 시스템 (IDS/IPS) 기능들과 통합하여 이벤트가 발생할 때만 네트워크 패킷들을 저장합니다. 새비어스 비즐 (Savvius Vigil)은 명시된 IP주소의 대화 내용에 해당되는 모든 패킷을 포함할 수 있으며, 다수의 소스들로부터 발생한 이벤트들을 [그림 3]과 같이 통합하여 운영합니다. 관련된 노드들 간의 트래픽은 이벤트 발생 전과 후 5분 이내의 지정된 기간에 대해 캡처됩니다. 선택적으로,이벤트 내용의 IP주소에 의해 송신 및 수신된 모든 관련된 트래픽도 추가로 캡처될 수 있습니다.
현재까지 연동 운용이 보안 솔루션은 HP의 아크사이트(ArcSight), Cisco의 파이어사이(FireSight), Snort, Suricata등이며 지속적으로 SIEM 및 IPS, IDS벤더들과 연동을 확대해 나가고 있습니다.
비즐의 동작 방식
비즐은 모든 네트워크 트래픽을 버퍼링하고 있습니다.
■ 1단계 : IDS 이벤트가 들어오면 두 IP에 대해서 알람을 줍니다.
■ 2단계 : 이들 IP주소의 전/후 최대 5분간의 모든 패킷들을 저장합니다.
□ 3단계 : 선택적으로 이들 IP중에서 한 개라도 연관이 있는 IP의 패킷들도 저장 할 수 있습니다.
■ 4단계 : 이들 두 패킷과 관련이 없는 패킷들은 무시됩니다.
Vigil
Vigil
NetworkTraffic : 1G/10G Fully-Utilized Networks
Storage Capacity : 64TB
Adapter Options : Up to 4EA– 1G/10G 겸용4포트기본제공
SpaceRequired : 3U rack mountable
