문서 내용 표시숨기기

로그의 종류 - TrusWatcher

ZPX, TWC가 ATA전송하는 로그를 장비 종류(ZPX, TWC)별로 설명합니다.

TrusWatcher란?

ZPX, TWC, 에이전트 그리고 TrusAnalyzer로 구성되어 있는 APT(Advanced Persistent Threat) 대응 및 좀비 PC 탐지/대응 솔루션을 의미합니다. 솔루션을 구성하는 제품 명칭 및 개요는 여기를 참고하십시오.

로그 공통 식별 항목

대부분의 로그는 공통된 식별 필드를 갖습니다. 로그 공통 식별 항목은 다음과 같습니다.

• 로그 수신 시각: ATA가 장비로부터 로그를 받은 시각을 보여줍니다.
• 로그 기록 시각: 패킷이 처리된 시점에 기록한 장비의 로컬 타임 값입니다.
• 장비 이름: TrusAnalyzer에 장비를 등록할 때 지정한 장비 이름을 보여줍니다.

ZPX에서 전송하는 로그

ZPX는 내부 네트워크로 유입되는 파일을 분석하여 이미 알려졌거나, 알려지지 않은 악성코드를 탐지/진단하는 역할을 합니다. 동시에 내부 호스트가 감염되어 외부로 이상 트래픽을 유발하거나, 악성코드가 숨겨진 유해한 사이트에 연결을 시도하면 이를 탐지합니다. 모든 탐지/진단 내역은 TrusAnalyzer로 전송합니다.

시스템 로그

장비에서 발생한 시스템 운영 중 발생한 로그를 보여줍니다. 시스템 로그를 구성하는 항목은 다음과 같습니다.

• 내용: 운영 로그 내용을 보여줍니다.

악성코드 탐지 로그

ZPX가 탐지한 악성코드에 대한 정보를 보여줍니다. 악성코드 탐지 로그를 구성하는 항목은 다음과 같습니다.

• 장비 이름: 악성코드 탐지 로그가 발생한 ZPX의 호스트 이름을 보여줍니다.
• 서비스: 악성코드 전파에 사용된 서비스 프로토콜(HTTP, FTP, POP3, SMTP, IMAP, NNTP, NATEON)을 보여줍니다.
• 출발지 IP:포트: 악성코드 전송이 탐지된 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 출발지 기관: 출발지 기관의 기관 코드를 보여줍니다. 이 기능은 NIS 교육망에서만 사용할 수 있습니다.
• 목적지 IP:포트: 악성코드 전송이 탐지된 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 목적지 기관: 목적지 기관의 기관 코드를 보여줍니다. 이 기능은 NIS 교육망에서만 사용할 수 있습니다.
• 진단 결과: 검사 대상 파일의 진단 결과(정상, 악성)를 보여줍니다.
• 진단명: 진단 결과 악성인 파일의 진단명을 보여줍니다. 진단명을 누르면 상세한 정보를 보여줍니다.
• 파일 이름: HTTP, FTP 연결에서 탐지된 파일은 URL을, POP3, SMTP, IMAP 연결에서 탐지된 파일은 메일을 보낸 주소를 보여줍니다.
• 악성코드 유포지: 악성코드를 유포에 사용된 IP 주소, 메일 주소를 보여줍니다.
• 파일 크기: 파일의 크기를 바이트 단위로 보여줍니다.
• 해쉬 값: 파일의 해쉬 값을 보여줍니다. 해쉬 값은 파일마다 고유한 값을 갖습니다.
• 진단 사유: 행동 분석을 통해 악성으로 진단된 경우, 진단된 이유를 보여줍니다.

이상 트래픽 탐지 로그

ZPX가 탐지한 이상 트래픽 정보를 보여줍니다. 이상 트래픽 탐지 로그를 구성하는 항목은 다음과 같습니다.

• 장비 이름: 이상 트래픽 탐지 로그가 발생한 ZPX의 호스트 이름을 보여줍니다.
• 프로토콜: 이상 트래픽이 탐지된 프로토콜(TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP)을 보여줍니다.
• 출발지 IP:포트: 이상 트래픽의 출발지 IP 주소와 포트를 보여줍니다.
• 출발지 기관: 출발지 기관의 기관 코드를 보여줍니다. 이 기능은 NIS 교육망에서만 사용할 수 있습니다.
• 목적지 IP:포트: 이상 트래픽의 목적지 IP 주소와 포트를 보여줍니다.
• 목적지 기관: 목적지 기관의 기관 코드를 보여줍니다. 이 기능은 NIS 교육망에서만 사용할 수 있습니다.
• 탐지 규칙: 이상 트래픽 탐지에 사용된 C&C 탐지 시그니처, Bot 트래픽 규칙을 보여줍니다.
• 진단 결과: 탐지된 이상 트래픽의 진단 결과(정상, 악성)를 보여줍니다.
• 처리 방법: 탐지된 이상 트래픽에 적용한 처리 내역(허용, 차단)을 보여줍니다.

에이전트 설치 유도 로그

ZPX는 에이전트가 설치되지 않은 호스트의 네트워크 연결을 감지하고 TWC로 연결을 유도하고 로그에 기록합니다. 에이전트 설치 유도 로그를 구성하는 항목은 다음과 같습니다.

• 장비 이름: 에이전트 설치 유도 로그가 발생한 ZPX의 호스트 이름을 보여줍니다.
• 프로토콜: 에이전트가 설치되지 않은 호스트가 네트워크 연결에 사용한 프로토콜(TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP)을 보여줍니다.
• 출발지 IP:포트: 에이전트가 설치되지 않은 호스트의 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 에이전트가 설치되지 않은 호스트가 연결하고자 한 목적지 IP 주소와 포트를 보여줍니다.
• TWC IP: TWC의 IP 주소를 보여줍니다.
• 리디렉션 URL: ZPX가 에이전트 설치 유도를 위해 리디렉션한 URL을 보여줍니다.

Anti-MalSite 로그

SiteGuard DB를 사용하여 사용자가 유해 사이트에 연결할 때 이를 탐지하고 처리한 내역을 보여줍니다. Anti-MalSite 로그를 구성하는 항목은 다음과 같습니다.

• 장비 이름: Anti-MalSite 로그가 발생한 ZPX의 호스트 이름을 보여줍니다.
• 위험도: 탐지된 유해 사이트의 위험도를 표시합니다.
• 처리 방법: Anti-MalSite 설정에 따라 적용한 처리 내역(허용, 차단)을 보여줍니다.

• 검사 대상: Anti-MalSite 필터의 종류(악성 스크립트, 사기 사이트, 피싱 사이트, 악성코드가 포함된 웹 페이지)를 보여줍니다.
• 악성코드 실행 유도 웹 페이지: 악성코드를 실행하도록 유도(예: 악성코드가 포함된 코덱 패키지)하는 웹 페이지를 탐지합니다.
• 악성 스크립트: 해킹에 의해 악의적으로 변조되어 악성 스크립트를 포함하고 있는 웹 페이지를 탐지합니다.
• 사기 사이트: 서울특별시 전자상거래센터에 등록되어 있는 사기 사이트를 탐지합니다.
• 피싱 사이트: 정상적인 웹사이트로 위장하여 사용자의 금품을 노리는 피싱(phishing) 사이트를 탐지합니다.
• 악성코드가 포함된 웹 페이지: 접속하는 사용자에게 악성코드를 전파하는 웹 페이지를 탐지합니다.
• 출발지 IP:포트: Anti-MalSite 필터를 적용한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: Anti-MalSite 필터를 적용한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 프로토콜: 탐지된 유해 사이트 연결에서 사용된 프로토콜(TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP)을 보여줍니다.
• 정책: Anti-MalSite 필터가 적용된 정책을 보여줍니다.
• 내용: Anti-MalSite가 탐지한 유해 사이트 관련 정보를 보여줍니다.

TWC에서 전송하는 로그

TWC는 ZPX에서 탐지한 악성코드를 처리하도록 에이전트에게 대응 명령(탐지, 제거, 복원)을 내리고, 처리 결과를 받아 TrusAnalyzer로 전송합니다.

악성코드 대응 로그

에이전트에게 전달한 악성코드 대응 명령과, 명령 처리 내역을 보여줍니다. 악성코드 대응 로그를 구성하는 항목은 다음과 같습니다.

• TWC 이름: 악성코드 대응 명령을 실행한 TWC의 호스트이름을 보여줍니다.
• 에이전트 IP: 악성코드 대응 명령 대상 에이전트의 IP 주소를 보여줍니다.
• 에이전트 이름: 악성코드 대응 명령을 받은 에이전트의 호스트 이름을 보여줍니다.
• 파일 이름: 대응 명령을 실행할 감염된 파일 이름을 보여줍니다.
• 명령 구분: 에이전트에 전달한 명령(제거, 복원, 탐지, 의심파일 수집)을 보여줍니다.
• 대응 방법: 악성코드에 대응 명령을 실행하는데 사용한 방법(자동, 수동, 선택한 파일만)을 보여줍니다.
• ZPX의 제거 요청: ZPX가 지정한 대응 명령을 TWC에게 직접 전달하여 처리했음을 나타냅니다(명령 설정 참고).
• 관리자의 제거 명령: 관리자가 대응 현황에서 지정한 파일을 대상으로 대응 명령을 실행했음을 나타냅니다(명령 설정 참고).
• 감시 목록에서 선택: 감시 목록에서 선택한 파일/에이전트를 대상으로 대응 명령을 실행했음을 나타냅니다(악성코드 제거 참고)

• 대응 결과: 에이전트가 명령을 실행한 결과를 보여줍니다.
• 명령 성공: 에이전트가 명령을 완료하고 오류가 없음을 나타냅니다.
• 명령 성공(제거할 파일 없음): 제거할 파일이 없어서 명령을 실행하지 않았음을 나타냅니다.
• 명령 실패: 에이전트가 명령을 실행하지 못했음을 나타냅니다.
• 명령 실패(사용자 취소): 에이전트 사용자가 명령 실행을 취소했음을 나타냅니다.
• 명령 실패(유효 기간 만료): 명령 유효 기간 내에 에이전트가 명령을 실행했으나 완료하지 못했음을 나타냅니다.
• 제거 성공: 제거 명령을 받은 에이전트가 감염된 파일을 검역소에 백업하고 원본 파일은 제거했음을 나타냅니다.
• 복원 성공: 복원 명령을 받은 에이전트가 검역소에 백업된 파일을 원래 위치에 복원했음을 나타냅니다.
• 탐지 성공: 탐지 명령을 받은 에이전트가 악성코드를 탐지 명령을 실행했음을 나타냅니다.
• 의심파일 수집 성공: 의심파일 수집 명령을 받은 에이전트가 의심파일 수집 명령을 실행했음을 나타냅니다.
• 의심파일 수집 성공(이미 수집된 파일 있음): 의심파일 수집 명령을 받은 에이전트가 의심파일 수집 명령을 실행하고 의심파일을 업로드했으나 이미 수집된 파일임을 나타냅니다.
• 제거 실패: 제거 명령을 받은 에이전트가 악성코드를 제거하지 못했음을 나타냅니다.
• 제거 불가(시스템 파일): 제거 대상 파일이 운영체제가 사용하는 시스템 파일을 감염시켰거나, 시스템 파일을 대체하여 사용 중이어서 제거할 수 없음을 나타냅니다.
• 제거 불가(백업 실패): 제거 명령을 받은 에이전트가 악성코드를 검역소에 백업하지 못했음을 나타냅니다.
• 복원 실패: 복원 명령을 받은 에이전트가 파일을 복원하지 못했음을 나타냅니다.
• 탐지 실패: 탐지 명령을 받은 에이전트가 악성코드를 탐지하지 못했음을 나타냅니다.
• 탐지 실패(업로드 오류): 탐지 명령을 받은 에이전트가 탐지한 악성코드를 업로드하지 못했음을 나타냅니다.
• 의심파일 수집 실패: 의심파일 수집 명령을 에이전트가 실행하지 못했음을 나타냅니다.
• 의심파일 수집 실패(업로드 오류): 에이전트가 의심파일을 발견하여 수집했으나, 업로드하지 못했음을 나타냅니다.
• TWC 시각: TWC가 에이전트에 명령을 전달한 시점의 시각을 보여줍니다.
• 대응 완료 시각: 에이전트가 명령 실행을 완료한 시각을 보여줍니다.
• 위험도: 명령 실행 대상 악성코드의 위험도(상, 중, 하)를 보여줍니다.
• 진단명: 명령 실행 대상 악성코드의 진단명을 보여줍니다.

에이전트 관리 로그

ZPX는 에이전트 관리 내역을 보여줍니다. 에이전트 관리 로그를 구성하는 항목은 다음과 같습니다.

• TWC 이름: TWC의 이름을 보여줍니다.
• 에이전트 IP: 에이전트의 IP 주소를 보여줍니다.
• 에이전트 이름: 에이전트의 호스트 이름을 보여줍니다.
• 내용: 에이전트의 시작, 종료, 정책 적용 및 적용 결과, 에이전트 업데이트 및 업데이트 결과, 무결성 검사 결과, 에이전트에 대한 접근 차단 내역 등을 보여줍니다.

관련 항목

• 대응 현황
• 로그 검색
• 모니터