[딥파인더] 사용자 이용 상세 가이드
DeepFinder 제품 소개
DeepFinder는 공개 포트로 들어오는 웹 공격을 방지하는 전문 웹 방화벽 제품으로, 물리적인 장비 설치가 필요하지 않아 기존 IP를 그대로 사용할 수 있습니다.
이를 통해 높은 보안성과 성능을 제공하며, 실시간 보안 이벤트 모니터링 및 알림 기능을 제공합니다.
클라우드 및 온프레미스 환경에서 모두 사용할 수 있으며, 웹 애플리케이션의 보안을 강화하는 효과적인 솔루션입니다.
|
● DeepFinder 정책 설정에 관한 부분은 일반 사용자 권한으로는 수정할 수 없습니다. 정책 수정에 있어 필요한 부분이 있다면 작업의뢰를 통해 해당 요청을 도와드리겠습니다.
|
1. 정책관리
주소 : https://deepfinder.cloudv.kr/
DeepFinder의 웹브라우저로 접속하여 로그인하면 다음과 같은 화면이 나타납니다.
- 화면은 메뉴바, 로그인 정보, 설정 아이콘, 검색, 메인 화면으로 구성됩니다.
|
<사진1> DeepFinder 정책관리 |
| 항목 | 설명 |
| 정책관리 | 회사, 도메인그룹, 도메인에 대한 구성도를 보여줍니다. |
| 시스템현황 | DeepFinder Manager에 구성된 시스템 설치 내용을 보여주고 현재 상태를 표시합니다. |
| 보고서 | 회사, 도메인그룹, 도메인을 기준으로 보고서를 작성합니다. |
| 대시보드 | 유입되는 로그 통계를 확인합니다 |
| 환경관리 | 비밀번호 변경, OTP 설정 ,API KEY 관리 등을 설정합니다. |
| 템플릿관리 | 보안정책에 사용되는 시스템 패턴 확인 및 사용자 정의패턴을 보여줍니다. |
| 로그 | [탐지로그] 보안정책에 의해 탐지된 로그를 조회합니다. [이벤트 로그] 보안정책에 의해 이벤트 로그를 조회합니다. [감사로그] 보안정책에 의해 감사 로그를 조회합니다. |
2. 시스템현황
|
※ 제품을 설치한 후, 2주 동안은 에이전트가 탐지 모드로 작동합니다. 이후에는 차단모드로 전환 됩니다. (차단 모드 전환되기 전에 별도로 유선으로 연락을 드립니다.) |
|
<사진 2> 시스템 현황 - 에이전트 관리 |
| 항목 | 내용 |
| ID | Agent의 ID를 표시합니다. |
| 이름 | Agent 이름을 표시합니다. |
| 접속여부 | Agent 접속 여부를 표시합니다. Agent와 정상적으로 통신 시 초록색 불로 표시되며 통신이 끊어진 경우 회색 불로 표시됩니다 |
| 필터 | 필터 기능 활성화 여부를 표시하며 필터에 이상이 있는 경우 느낌표가 표시됩니다. ! : Agent 정책이 동기화되지 않았습니다. 매니저에서 설정된 정책과 Agent에 설정된 정책이 상이할 경우 나타납니다. ! : 필터 정보가 없습니다 웹서버가 중지되어 있거나 필터가 정상적으로 설정되지 않았습니다 |
| 대응방법 | Agent의 대응방법을 표시합니다. |
| IP | Agent IP 주소를 표시합니다. |
| 타입 | Agent가 설치되어 있는 웹 서버의 타입을 표시합니다. |
| 버전 | Agent가 설치되어 있는 버전을 표시합니다. |
| 업데이트 | [사용자 권한 없음] Agent의 프로그램/정책을 업데이트 하거나 웹 서버를 갱신할 수 있습니다. |
| 동작모드 |
Agent 동작 모드를 표시합니다. - BYPASS : Agent 기능을 OFF 함을 표시합니다. - RUN : Agent 기능이 동작하고 있음을 표시합니다. |
3. 보고서
탐지로그를 바탕으로 회사의 요약/상세 보고서를 작성할 수 있습니다.
보고서 작성 조건을 입력하신 후 [보고서작성]을 클릭하시면 설정된 조건에 따라 작성된 보고서 화면이 출력됩니다.
|
<사진 3> 보고서 |
| 항목 | 설명 |
| 기간 | 보고서를 작성할 날짜를 선택합니다. |
| 범위 | 보고서를 작성할 [회사/도메인그룹/도메인]범위를 입력합니다. |
| 종류 | 보고서를 작성할 [요약/상세]종류를 입력합니다. |
| 회사 | 보고서를 작성할 회사를 지정합니다. |
| 도메인 그룹 | 보고서 작성범위가 도메인그룹으로 선택되면 활성화되며 출력할 회사의 도메인 그룹을 선택합니다. |
| 도메인 | 보고서 작성범위가 도메인으로 선택되면 활성화되며 출력할 회사의 도메인그룹에 저장된 도메인을 선택합니다. |
| 데이터 생성 | 보고서의 내용과 탐지로그의 데이터가 일치하지 않을 경우 보고서의 내용을 재생성합니다. ※ 보고서 데이터는 생성 당시의 오류로 인해 누락 될 수도 있습니다. |
| 보고서 작성 | 작성된 보고서 조건으로 보고서를 출력합니다. |
4. 대시보드
DeepFinder Manager에 수집되는 로그의 현황을 확인할 수 있습니다.
전체 로그 또는 공격대상 [회사], [도메인그룹], [도메인], [URL] 별로 데이터 확인이 가능합니다
또한 [기간별], [회사별], [공격유형별], [공격패턴그룹별], [공격자IP], [공격대상IP], [공격국가 데이터]를 실시간으로 제공합니다.
|
<사진 4> 대시보드 |
5. 환경설정
비밀번호 변경, OTP 설정, API KEY 관리 등을 설정합니다.
|
<사진 5> 환경관리 - 사용자관리 |
| 항목 | 설명 |
| 이름 | 이름을 입력합니다. |
| 전화번호 | 전화번호를 입력합니다. |
| 이메일 | 이메일주소를 입력합니다. |
| 2단계인증(OTP) | 로그인 시 2차 인증 사용 여부를 선택합니다. (기본값: 비활성화) |
| 다중로그인 | 다중 로그인에 대해 설정합니다.(기본값: 허용) |
6. 템플릿 관리
|
<사진 6> 템플릿관리 - 보안패턴 |
| 공통 | 기본적인 패턴은 ‘SYSTEM’, 관리자가 추가한 패턴은 ‘USER’로 표시 됩니다. |
| 항목 | 설명 |
| 보안패턴 | 보안정책에서 사용될 보안 패턴을 보여줍니다. |
| 헤더필드 | HTTP 패킷의 헤더 필드 정책들을 보여줍니다. |
| IP 관리 | 국가 IP와 특정한 IP에 대해서 웹 서버 접속 차단 또는 허용을 설정할 수 있습니다. |
| 업로드 파일 | 업로드 파일 패턴 룰이 적용되는 정책의 목록을 보여줍니다. |
| URL 제한 | URL 제한 패턴을 설정한 보안 정책을 보여줍니다. |
| 메소드 | 메소드 룰이 적용되는 정책의 목록들을 보여줍니다. |
7. 로그
7-1. 탐지로그
[회사], [도메인그룹], [도메인], [위험도], [대응방법], [탐지유형], [패턴그룹], [패턴] [URL,파라미터], [탐지내용] [로그번호] [공격자IP], [공격국가, [공격대상] 기간별로 나누어 볼 수 있습니다.
회사는 하위 도메인그룹에 대한 모든 정보를 도메인그룹은 해당 도메인그룹에 대한 정보를 실시간으로 확인할 수 있습니다.
탐지 로그 검색
[로그] > [탐지로그] > [검색조건] > [검색]
- 검색 방식: ELASTIC 방식과 DB 방식이 있습니다.
- 권장 검색 방식: ELASTIC 방식으로 검색이 안 될 시에는 DB 방식 조회를 권장합니다.
탐지로그 표시항목은 다음과 같습니다.
|
<사진 7> 로그 - 탐지로그 - 검색조건 |
| 항목 | 설명 |
| 검색 기간 | 조회하고자 하는 기간을 검색 조건에 설정합니다. |
| 회사 | 조회하고자 하는 회사를 검색 조건에 설정합니다. |
| 도메인그룹 | 조회하고자 하는 도메인그룹을 검색 조건에 설정합니다. |
| 도메인 | 조회하고자 하는 도메인을 검색 조건에 설정합니다. |
| 대응방법 | 조회하고자 하는 해당 공격이 탐지된 후 DeepFinder의 대응 방법을 선택합니다. 종류 : None, Allow, Deny, Redirect, Detect, Mask, Bypass NONE: 아무런 정책도 적용되지 않습니다. ALLOW: 정책 검사에서 ALLOW를 만나면 다음 순번의 정책을 검사하지 않고 세션이 허용됩니다. DENY: 정책 검사에서 DENY를 만나면 다음 순번의 정책을 검사하지 않고 세션이 차단됩니다. REDIRECT: 정책 검사에서 REDIRECT를 만나면 다음 순번의 정책을 검사하지 않고 세션이 설정된 페이지로 전환됩니다. DETECT: 정책 검사에서 DETECT를 만나면 다음 순번의 정책을 검사합니다. MASK: 정책 검사에서 MASK를 만나면 패턴으로 매칭되어 있는 문자열에 Masking을 합니다. (‘*’로 표시됨) BYPASS: 정책 검사에서 BYPASS를 만나면 모든 정책을 적용하지 않고 세션이 통과됩니다. 해당 정책은 도메인 IP 정책 화이트리스트에 묵시적으로 적용되어 있습니다. |
| 위험도 | 위험도 별로 검색조건을 선택합니다. |
| 로그 번호 | 로그 번호 범위로 검색조건을 입력합니다. |
| 공격자 IP | 공격자의 IP별로 검색 조건을 입력합니다. |
| 공격 대상 IP | 공격 대상자의 IP별로 검색조건을 입력합니다. |
| URL | 조회하고자 하는 URL이 있을 경우 검색조건에 입력합니다. |
| 탐지메세지 | 각 정책이 실제 적용된 탐지 내용 별로 검색조건을 입력합니다. |
| 국가 | 조회하고자 하는 국가를 입력합니다. |
| 종류선택 | 각 탐지유형/탐지패턴그룹/탐지패턴 등 탐지된 그룹의 조건별로 검색 조건을 선택합니다. |
|
<사진 8> 로그 - 탐지로그 |
| 항목 | 설명 |
| Elastic / DB | 로그를 검색 할 프로그램(Elastic / DB)을 선택합니다. (기본값 : Elastic) |
| 표시항목 | 탐지 로그 테이블에 표시할 항목을 선택합니다. |
| 실시간 | 실시간 로그탐지를 ON/OFF 합니다. |
| 검색조건 | 검색할 조건을 선택하여 탐지 로그를 확인합니다. |
| 검색 | 검색조건을 반영하여 로그를 조회합니다. 조건이 없을 시 현재 로그를 조회합니다. |
| Download | 검색조건의 로그를 CSV파일로 다운로드 합니다. |
7-2. 이벤트 로그
[로그] > [이벤트 로그] > [검색조건] > [검색]
DeepFinder Agent의 상태와 임계치 등의 시스템 구동 관련 주요한 정보를 조회합니다.
검색 조건 버튼을 통한 상세 검색이 가능하며 조건을 입력한 후 [검색]을 클릭하여 결과를 조회할 수 있습니다.
|
<사진 9> 로그 - 이벤트 로그 - 검색조건 |
이벤트 로그 검색 조건은 아래와 같습니다.
| 항목 | 설명 |
| 검색 기간 | 조회하고자 하는 검색기간을 선택합니다. 기본값(당일) |
| 종류 | 조회하고자 하는 회사 또는 에이전트를 선택합니다. 기본값(전체) |
| 로그번호 | 조회하고자 하는 로그번호를 입력합니다. |
|
<사진 10> 이벤트 로그 조회 |
이벤트 로그 검색 결과 항목은 아래와 같습니다.
| 항목 | 설명 |
| NO | 로그 기록 순서를 표시합니다. 가장 최근의 기록일수록 숫자가 낮게 표시됩니다. |
| 일시 | 로그가 발생한 시간을 표시합니다. |
| CID | 해당 로그를 발생시킨 회사의 ID를 표시합니다. |
| 회사 | 해당 로그를 발생시킨 회사의 이름을 표시합니다. |
| AID | DeepFinder Agent의 ID를 표시합니다. |
| 종류 | 해당 로그의 유형을 표시합니다. |
| 로그내용 | 시스템이 수행한 구체적인 작업 내용을 표시합니다. |
7-3. 감사로그
[로그] > [감사 로그] > [검색조건] > [검색]
관리자가 DeepFinder UI을 통하여 수행한 보안관리 활동 내역에 대하여 조회합니다.
조회 조건을 입력한 후 [검색]을 클릭하여 결과를 조회합니다.
|
<사진 11> 로그 - 감사로그 - 검색조건 |
| 항목 | 설명 |
| 검색 기간 | 조회하고자 하는 검색기간을 선택합니다. 기본값(당일) |
| 사용자 | 조회하고자 하는 관리자 계정을 선택합니다. 기본값(ALL) |
|
<사진 12> 로그 - 감사로그 조회 |
감사 로그 검색 결과 항목은 아래와 같습니다.
| 항목 | 설명 |
| 날짜 | 로그가 발생한 시간을 표시합니다. |
| 사용자 | 관리자 계정을 표시합니다. |
| 로그내용 | 시스템이 행한 구체적인 작업에 대해 표시합니다. |
| # FAQ |
|
1. 차단 모드 전환 후 탐지 로그에 CONNECT 메소드 = 공격자와 에이전트 서버가 연결되었다는 의미가 아닌 CONNECT 메소드를 차단했다는 의미입니다. 또한 탐지 근거에 '/' 는 메소드단에서 막았기 때문에 웹 루트 디렉터리 아래로 못 내려갔다는 것을 뜻합니다.
* 차단 모드로 전환하게 되면 GET, POST을 제외한 메소드들은 기본적으로 차단 및 탐지의 대상이 됩니다. |