I N D E X Ⅰ Ⅱ PRODUCT REFERENCE
Ⅰ PRODUCT
1. Dfinder LMS 개요 빅데이터에대한시장의요구 배경 국가정보보안기본지침및개인정보보호법등의무사항준수를위한각종로그의무보관및위 변조방지필요 최근해킹기법의고도화로인해침해사고에대한추적및대응체계강화필요 보안관련로그를탐지, 분석, 대응할수있는통합모니터링및연관 / 상관분석필요 목표 각종법령및지침에서요구하는로그에대한다양한관리방안제공 개인정보영향평가등감사대비를위한근거데이터제공 민감한정보에대한안전한수집 / 저장기능 가장기초데이터인로그의생성에서폐기에이르는로그생명주기관리 필요기반기술 추진범위 4
2. Dfinder LMS 제품소개 Dfinder LMS 주요기능 Dfinder LMS 는 Compliance 준수를위한로그관리와보안로그관리를위해필요한플랫폼기술, 분석 / 탐지기술, 모니터링 / 리포트를 구현하기위해다양한기능을제공하고있습니다. 5
2. Dfinder LMS 제품소개 Compliance 준수및로그라이프사이클 Dfinder LMS 는갈수록복잡해지는정보시스템들을관리하고침해사고에대비하기위해로그관리의중요성이높아지고있으며, 관련지침들에대한체계도잡혀가고있습니다. * 공공기관 + 정보시스템구축운영및기술지침 - 주요시스템로그보관, 백업및분석지침수립 - 최소 6 개월이상원본로그백업 - 주요정보제공시스템은주 1 회이상로그분석 - 로그의무결성보관및인가된자만조회 +G-ISMS( 전자정부정보보호관리체계 ) - 전자정부법제 24 조및제 56 조 - 전자정부법시행령제 20 조 - 정보통신망이용촉진및정보보호법률제 47 조 - 행정안전부와그소속기관직제제 20 조제 83 호 * 일반기관 +ISMS( 정보보호관리체계 ) - 11.2 운영관리항목중 ' 로그관리 ' 부분 - 14.3 접근 / 사용모니터링, 감사기록분석및보관 - 시스템접속및운영기록등주요로그파일백업 - 산업기술유출방지법시행 * 금융기관 + 전자금융거래법 - 무권한거래에대한금융사의배상책임부여 - 전자금융고객피해발생시금융사의우선배상 - 분쟁상황발생시법적증빙자료필요성증대 + 전자금융감독규정시행세칙 - 서버접속일시, 접속자, 접근내역확인기록유지 저장소별보관기한설정 폐기 생성 / 수집 로그라이프사이클관리 Agent/Agentless 정형 / 비정형로그 파싱 / 실시간조인 탐지 In memory CEP Event triger +ISO 27001/BS7799 - A.10.10.3 로그정보와로그설비대한보호 - A.10.10.4 시스템권한및운영자활동로그로남김 - A.10.10.5 Fault 는기록, 분석및조치시행 - A.15 법적, 정책적, 기술적, 감사적요구사항준수 분석로드밸런싱 배치성통계 Visualization 분석 / 통계 저장 분산저장 / 복제 해시생성 / 비교 6
3. Dfinder LMS 시스템구성도 Dfinder LMS 시스템구성도 1 2 3 4 5 6 7 : 시간기준처리순서 1 수집기 2 파서 3 실시간 CEP 4 모니터링 Agent 필드화 유출탐지시나리오 Agentless 조인 복합룰엔진 6 검색엔진 4 인덱서 인덱싱 5 인덱스 디스크저장 실시간검색비실시간검색배치스크립트 7 리포트 구조화 7
4. Dfinder LMS 특장점 Dfinder LMS 특장점 장기간개인정보유출모니터링및이상금융거래탐지관련프로젝트를통하여축적된다양한경험을토대로검증되고안정적인빅 데이터기반의로그관리및분석이가능합니다. 사후시스템의확장시 Scale-Out 을통한시스템의확장이용이한강점이있습니 다. LOG LOG LOG 1. 파싱 2. 인덱싱 Log Collector Indexer LOG LOG LOG 1. 파싱 4. 인덱싱 Log Collector Indexer Parser Parser 메모리영역 메모리영역 2. 로딩 5. 탐지 Query Engine 4. 로딩 Index 3. 디스크저장 3. 탐지 CEP Engine Index 5. 디스크저장 디스크영역 디스크영역 1. 파싱 (t+ms) 3. 저장 (t+ms+ms+s) 5. 탐지 (t+ms+ms+s+s+ms) 1. 파싱 3. 탐지 (t+ms) (t+ms+ms+ms) 5. 저장 (t+ms+ms+s) 수집 (t) 2. 인덱싱 (t+ms+ms) 4. 로딩 (t+ms+ms+s+s) 수집 (t) 2. 로딩 4. 인덱싱 (t+ms+ms) (t+ms+ms+ms+ms) 시간 (Time) 시간 (Time) 8
4. Dfinder LMS 특장점 Dfinder LMS 특장점 장기간개인정보유출모니터링및이상금융거래탐지관련프로젝트를통하여축적된다양한경험을토대로검증되고안정적인빅 데이터기반의로그관리및분석이가능합니다. 사후시스템의확장시 Scale-Out 을통한시스템의확장이용이한강점이있습니 다. 수집성능 / 용량확장가능 수집데이터수집성능분산성능저장 / 용량가능용량확장확장가능 저장데이터이중화가능데이터데이터분산분산저장저장가능 검색서버로드밸런싱가능 검색데이터로드밸런싱 Cluster Cluster Mode 1 Mode 2 Mode 3 Mode Node 1 Mode Node 2 Mode Node 3 메니저서버모듈메니저서버모듈 < 확장, 분산저장 > < 확장 Scale-Out > 분석서버모듈분석서버모듈분석서버모듈분석서버모듈분석서버모듈분석서버모듈 H/W HA(n+1) P1 P1 R3 P2 P2 P3 P4 P5 P3 P4 P5 Pn : Primary Shard R1 R5 R2 Rn : Replica Shard R4 9
4. Dfinder LMS 특장점 Dfinder LMS 특장점 구분항목인터리젠 DFINDER Splunk A 사솔루션 B 사솔루션 C 사솔루션 D 사솔루션 제품형태 (H/W or S/W) appliance 또는 S/W S/W appliance appliance appliance (Logger 의경우 S/W type 도제공 ) appliance 운영체제 Linux, UNIX 계열지원 Windows, Linux, UNIX 계열지원 - LCAppliance: Linux - LCManager: Windows 2008 windows SQL Server MS-Word - LCSaver: Linux Hardened Windows Redhat Linux 미확인 아키텍처 제품구성 - standalone 가능 - 1 식구성가능 - 병렬로무한확장가능 - Standalone 가능 - LCAppliance: 로그수집 - 병렬로무한확장가능 - LCManager: 로그분석 (forwarder + indexer + search head - LCSaver: 로그저장 ) - standalone 가능 - 제한적확장가능 - ArcSight Express: standalone - ArcSight ESM + logger - Standalone 가능 Scale-out 지원지원미지원미지원미지원미지원 Replication 지원지원미지원미지원미지원미지원 사용 DB 자체 DB + MariaDB 자체 DB MS-SQL 2008 + MEMORY DB 자체 DB + MS-SQL Oracle - HADOOP 기반분산형데이터처리 - 통계 RDBMS 사용 로그수집 로그분석 실시간모니터링 연동범위 (agent 포함 ) - Agent/Agentless, syslog, SNMP 지원 - JDBC 연동지원 - (S)FTP, BATCH 지원 Agent 사용 - splunk forwarder 제공 - 외부시스템내파일시스템모니터링 - script 실행에따른배치로딩지원 syslog 지원 -agent 사용, SYSLOG, SNMP 지원 - Terminal Loging Recorder - SFTP, BATCH 지원 - Agent/Agentless 사용 - ODBC 연동 - SNMP trap Agent 사용 (SmartConnector) NetFlow 지원수집가능여부지원지원미확인미확인미확인지원 모든이벤트 type 및상세이벤트내용로지원지원지원지원지원지원깅 신규로그연동자동화기능 지원 - 스크립트기반연동 지원 - 스크립트기반의원시로그연동 - 자동포맷인식 미지원 ( 로그포맷수동분석후, 1-2주내적지원용 ) 지원 (FlexConnector 사용 ) 멀티라인로그수집지원지원미확인지원미확인지원 drill-down 및 partial-text 검색지원 지원 (drill-down 검색 ) 지원지원지원 지원 (drill-down path 검색 ) 실시간상관분석지원지원주기적데이터쿼리방식미확인지원지원미확인 멀티레벨상관분석지원지원미확인지원지원지원지원 group by 검색지원지원지원지원미확인미확인 시나리오검색지원지원지원지원미확인지원 Full Text 검색지원지원미확인미확인미확인지원 실시간모니터링및통계제공지원지원지원지원지원지원 사용자정의대시보드지원지원지원지원지원지원지원 직관적인 UI 제공지원지원지원지원지원지원 상세이용가이드문서제공지원지원지원지원지원지원 Agent, Agentless, FILE/DB 연동, SNMP 지원 지원 - 스크립트기반연동 지원 이용편의성 대소문자구분방법 모든대소문자구분검색 대소문자구분 : 연산자, 컬럼, 정규식 미확인대수문자구분안함 : 키워드, 검색어 모든대소문자구분검색 미확인 미확인 WEB UI 지원지원지원미지원지원지원 타시스템연동을위한 API 제공여부지원지원미확인미지원미확인지원 10
5. 제품라인업 Dfinder LMS 제품라인업 제품이미지품명규격비고 Dfinder LMS SM ( Standard Master ) CPU : 4Core 3.0GHz 2EA 이상 MEM : 64 GB HDD : SSD 120G*2, HDD 1TB*6(usable 4.5TB) DBMS : 자체 DB + Maria DB Log Data 10G 이하 / Day Dfinder LMS SS ( Standard Slave) CPU : 4Core 3.0GHz 2EA 이상 MEM : 64 GB HDD : SSD 120G*2, HDD 1TB*6(usable 4.5TB) DBMS : 자체 DB + Maria DB Log Data 10G 이하 / Day Dfinder LMS PM ( Premium Master ) CPU : 4Core 3.0GHz 2EA 이상 MEM : 64 GB HDD : SSD 120G*2, SSD 800G*10(usable 6TB) DBMS : 자체 DB + Maria DB Log Data 50G 이하 / Day Dfinder LMS PS ( Premium Slave ) CPU : 4Core 3.0GHz 2EA 이상 MEM : 64 GB HDD : SSD 120G*2, SSD 800G*10(usable 6TB) DBMS : 자체 DB + Maria DB Log Data 50G 이하 / Day 11
Ⅱ REFERENCE
1. Dfinder LMS 활용분야 Dfinder LMS 활용분야 대부분의고객정보를취급하는금융기관및기업에서개인정보, 개인신용정보가저장되어있는 DB 서버를임직원또는외부정보 탈취를목적으로하는자에의한유출을탐지하기위한구성입니다. 내부임직원 WIPS EndPoint DLP, DRM, 매체제어 Anti-Malware Network DLP 영업점, 고객, 관계사 Internet DB Applications (WEB, Intranet, ) 방화벽 /IPS DB 관리자 Internet IP/Port 필터링, 기초적인해킹패턴차단, 웹노출개인정보페이지분석 방화벽 /IPS WAF DB 방화벽 DB 접근제어 Network DLP EndPoint DLP, DRM, 매체제어 Anti-Malware DB 에대한접근통제, 감사로그축적, 로그위변조방지어플리케이션개인정보조회축적 메일, 웹메일, 웹하드, 웹게시판, 메신저, P2P 등에의한개인정보및주요정보유출방지 EndPoint 에저장된개인정보파일탐색 / 삭제, 암호화관리, USB/ 출력물통한유출탐지 / 차단 단말에서바이러스 / 악성코드차단, 메일점검 Database WIPS 스마트폰을이용한 WLAN/3G 테더링, 외부무선 AP 접속을통한인터넷우회접속등을탐지 / 차단 13
1. Dfinder LMS 활용분야 Dfinder LMS 활용분야 디자인및설계도와같은데이터를취급하는기업에서자주발생되는사례로휴가및외근중인임직원들의 VPN 을통한대외비데 이터가외부로유출되는사례를탐지하는구성입니다. 내부임직원 EndPoint DLP, DRM, 매체제어 Network DLP DB Applications (WEB, Intranet, ) SAC VPN VPN 외부에서사내로접근한임직원의이력조회축적 방화벽 /IPS IP/Port 필터링, 기초적인해킹패턴차단, 웹노출개인정보페이지분석 SAC, 서버시스템로그 해당서버의접속정보조회및행위데이터조회및축적 시스템로그 DB 방화벽 Network DLP 메일, 웹메일, 웹하드, 웹게시판, 메신저, P2P 등에의한개인정보및주요정보유출방지 DB 접근제어 DB 에대한접근통제, 감사로그축적, 로그위변조방지어플리케이션개인정보조회축적 Database EndPoint DLP, DRM, 매체제어 EndPoint 에저장된개인정보파일탐색 / 삭제, 암호화관리, USB/ 출력물통한유출탐지 / 차단 14
1. Dfinder LMS 활용분야 Dfinder LMS 활용분야 내부임직원및대외업무가잦은기관및기업에서자주발생되는사례로사내보안시스템과물리보안시스템의데이터를취합하 여개인정보및대외비데이터의외부유출을탐지하기위한구성입니다 내부임직원 EndPoint DLP, DRM, 매체제어, 네트워크프린터 출입관리시스템, 방화벽 차량관리시스템 SAC DB Applications (WEB, Intranet, ) 차량관리시스템 외부에서사내로임직원및방문자의출입차량이력조회축적 방화벽 출입관리시스템 방화벽 /IPS 사내의주요시스템이위치한곳의출입이력조회축적 IP/Port 필터링, 기초적인해킹패턴차단 시스템로그 SAC 해당서버의접속정보조회및행위데이터조회및축적 DB 접근제어 Database DB 접근제어 EndPoint DLP, DRM, 매체제어, 네트워크프린터 DB 에대한접근통제, 감사로그축적, 로그위변조방지어플리케이션개인정보조회축적 EndPoint 에저장된개인정보파일탐색 / 삭제, 암호화관리, USB/ 출력물통한유출탐지 / 차단 15