N2SF-EB-M4: 외부 경계 위협 탐지 자동화
외부경계 (External Boundary) · 제4장 통제
기본 정보
보안통제 설명
이상 행위를 자동으로 탐지하는 시스템을 운영한다
관련 로그 스키마 (16)
-
AIWAF 성능
medium
이 로그는 공격 자체보다 WAF 장비의 성능 이상과 게이트웨이 비정상 상태를 탐지해 외부 경계 위협 대응 체계의 이상 징후 모니터링에 활용된다.
-
AIWAF 경보
high
SQL 인젝션, 취약 페이지 접근 등 웹 공격 탐지와 위험도·시그니처 정보가 포함되어 외부 경계 위협의 자동 탐지 운영 여부를 모니터링할 수 있다.
-
AIWAF 트래픽
high
공격건수, 공격자수, 공격자IP수와 트래픽 지표를 통해 웹 경계에서의 이상 행위와 공격 급증을 자동 탐지할 수 있다.
-
Criminal IP ASM IP 자산
medium
리스크 여부, CVE, 취약점 수가 포함되어 외부에 노출된 자산의 위협 징후를 자동 탐지·우선순위화하는 근거로 활용할 수 있다.
-
ePrism SSL VA SSL
medium
외부 SSL 통신의 도메인, TLS 버전, 암호군, 인증서 이상 상태를 분석해 비정상 외부 경계 통신을 자동 탐지하는 데 활용할 수 있다.
-
eWalker DLP 성능
low
성능 로그 자체는 위협 행위를 직접 보여주지 않지만 DLP 장비의 비정상 부하를 통해 경계 보안 기능 이상을 자동 탐지하는 보조 지표가 된다.
-
eWalker SWG SSL
medium
비정상 인증서 상태, 취약 TLS 버전, 반복 실패 사유 등의 패턴을 기반으로 외부 경계의 이상 웹 통신을 자동 탐지하는 데 지원된다.
-
eWalker WAF 시스템
medium
WAF 시스템 로그의 수준·코드·메시지를 통해 웹 경계 보안장비의 이상 상태와 위협 탐지 기능 동작 여부를 모니터링할 수 있다.
-
eWalker WAF 경보
high
공격명, 분류, 정확도, 출발지IP, 대응 결과가 포함되어 외부 경계에서의 웹 공격 이상행위를 자동 탐지하는 운영 여부를 모니터링할 수 있다.
-
엑소스피어 웹 필터
medium
악성 또는 잠재적으로 원치 않는 웹사이트 접속 이벤트를 지속 수집하면 엔드포인트의 외부 통신 이상행위 탐지 자동화 근거로 활용할 수 있다.
-
지니안 EDR 네트워크 로그
high
EDR 네트워크 로그는 비정상 원격지 접속, 비인가 포트 사용, 과다 송수신 등 외부 경계 이상행위를 자동 탐지하는 근거 데이터로 적합하다.
-
지니안 EDR DNS 로그
high
DNS 로그의 도메인, 원격지 IP, 프로세스 정보를 활용해 DGA, 위협 인텔 매칭 등 이상 외부 통신을 자동 탐지하는 데 적합하다.
-
지니안 EDR 위협 로그
high
위협 점수, ML 점수, 탐지 유형, 자동해결 여부가 포함되어 있어 외부 통신 기반 이상행위의 자동 탐지 체계 운영을 뒷받침한다.
-
MNX DNS
high
NDR의 DNS 메타데이터는 비정상 도메인 질의, 희귀 TLD, 해외 ASN 통신 등 외부 경계 이상행위를 자동 탐지하는 핵심 근거가 된다.
-
MNX HTTP
high
NDR의 HTTP 메타와 ML 기반 bot/anomaly/attack 분류값은 외부 경계에서의 이상 웹 통신을 자동 탐지하는 데 직접 활용된다.
-
Sysmon DNS 쿼리
high
Sysmon DNS 쿼리 로그는 비정상 도메인, DGA 의심 패턴, 희귀 TLD 등 외부 통신 이상행위를 자동 탐지하는 기반 데이터로 활용된다.