앱 스토어 지원

• 로그프레소는 스토어를 통해 새로운 앱을 배포하고, 고객사에서 앱을 다운로드 받아 설치하고 사용할 수 있도록 지원합니다. 도입 이후에도 지속적으로 앱 설치 및 업데이트를 통해 플랫폼 기능을 지속적으로 확장할 수 있습니다.

REST API 지원

• 로그프레소는 타사 SOAR 및 정보보안포탈과 호환성을 극대화할 수 있도록 100종 이상의 REST API를 제공하고 모든 명세를 온라인에 공개합니다.

고속 풀텍스트 인덱싱 및 검색

• TTA의 공인성능 시험결과 로그 아카이빙은 초당 400만 건, 인덱싱을 포함한 데이터 수집은 초당 270만 건을 실시간으로 처리하며 1건의 로그도 유실 하지 않는 우수한 성적을 보유하고 있습니다.
• TTA의 공인성능 시험결과 1TB 이상의 로그에서 단일 IP 정보 검색 시 0.009초 이내에 검색하는 우수한 성능을 보였습니다.

수집

• Syslog, SNMP, NetFlow, HTTP, RSS, FTP, SFTP, JDBC, HDFS 등 다양한 수집지원
• 약 60종의 보안 솔루션에 대한 수집 모델 및 정규화 템플릿을 내장하고 있으며, 사용자 정의 모델을 간단히 정의하여 등록할 수 있습니다.
  정규표현식, 쿼리, 그루비 및 자바스크립트 정의를 통해 별도의 개발 없이 향후 도입되는 보안시스템의 연동을 지원합니다.
• 원격 로그 수집 설정을 비롯하여 흐름 제어, 시스템 성능 정보 전송, 원격 업그레이드, OS 실시간 상태 조회 등 다양한 기능을 제공합니다.
• 에이전트를 통한 안정적 로그 수집을 위하여 중앙 집중적 에이전트 관리 기능을 제공합니다.

저장

• 테이블 암호화 프로파일을 지정하면 데이터 블록별로 HMAC을 생성하여 보관합니다. 디스크 데이터에 대한 HMAC 재계산과 블록 생성 시 기록된 HMAC와 대조하여 원본 로그의 위/변조 여부를 점검할 수 있도록 웹 관리콘솔에서 조회 기능을 제공합니다.
• 전용 WORM 파일시스템 드라이버를 제공하여 시스템 관리자 권한으로도 파일 삭제나 위변조가 불가능하도록 지원합니다.
• 컴플라이언스 기준에 따라 로그의 종류별로 보관주기를 설정할 수 있습니다.
  보관주기가 경과된 로그는 자동으로 삭제 처리되며, 별도의 점검 예약 쿼리 설정으로 보관주기 알림 기능을 설정할 수 있습니다.

분석 검색

• 파서 지원
  방화벽, IPS, 웹방화벽, DDoS 등 국내외 60여종 이상의 다양한 이기종 장비의 로그 파서를 내장하여 분석이 용이하도록 제품군 별 표준 정규화를 수행합니다. 기존 내장 파서 목록에 없는 경우는 내장 파서로 개발 적용하거나 사용자 정의 파서로 구성하여 적용합니다.
• 연관 분석
  연관 필터 기능과 연관 분석 기능을 이용하면 다른 탭에서 분석한 결과를 이용하여 현재 탭의 데이터를 필터링하거나 조인할 수 있습니다. 복수의 이기종 이벤트 연관 분석을 세부적인 쿼리를 구사할 필요 없이 직관적으로 분석 작업을 할 수 있습니다.
• 상관 분석
  외부 시스템에서 지원하는 연동 프로토콜을 쿼리 명령어로 내재화하여 즉각적인 외부 데이터 조회를 수행하고, 이 결과를 로그프레소 소나 내부 데이터와 상관분석을 할 수 있도록 지원합니다.
• 시계열 분석 및 이벤트 통계
  로그프레소 소나는 탐지된 로그 및 이벤트에 대하여 발생시각 기준으로 종류, 현재 대응 진행 상황을 실시간 현황 그래프 및 그리드로 제공하여 탐지 및 대응 현황을 파악 할 수 있는 기능을 제공합니다.

탐지

• 시나리오 도출 및 적용
  정보보안 통합플랫폼의 한 전문 영역으로 자사 및 협력사의 전문인력을 투입하여 시나리오를 도출/적용하고 후속적으로 발생되는 추가 시나리오에 대해 점진적으로 고도화 할 수 있습니다.
• 유형별 시나리오 생성
  다양한 유형별 탐지 시나리오 구현을 위한 시나리오 빌더 기능을 제공합니다. 탐지 유형 (조건)은 수집 로그의 정규화 필드를 정의하여 관리할 수 있고 내부 업무 요건에 따른 다양한 시나리오를 적용할 수 있으므로 기술 내재화를 확보할 수 있습니다.
• AI/ML 기반의 모델링 및 학습 (알고리즘)
  알려지지 않은 위협과 이상징후를 탐지하기 위한 무감독 학습 기반 이상탐지 모델을 지원합니다.
• 실시간 탐지 지원
  외부 기관에서 위협 인텔리전스 정보를 수집하여, 실시간 수집되는 IP주소, URL, 파일해시 값에 대한 평판 조회 기반의 탐지 기능을 제공합니다.

SOC 대응

• 통합관제프로세스 대응
  보안 장비 및 업무 시스템에서 발생하는 모든 로그를 실시간 빅데이터 플랫폼으로 수집하여 외부침해와 내부유출을 통합적으로 모니터링하고, 자동화된 소명 절차를 통해 효율적으로 대규모 IT 환경을 관리할 수 있는 정보보호 통합관리 체계를 구축합니다.
• 자동 소명 워크플로우 적용
  로그프레소 소나는 인사DB 및 자산DB를 동기화 합니다. 내부 정보유출 모니터링에 의한 이상행위 탐지 시 소명대상자를 파악하여 해당 직원에게 소명 요청 메일을 보내고, 사유 제출 및 결재를 진행할 수 있는 웹 기반 소명 워크플로우를 제공합니다.
• 보안 티켓 관리
  등록된 티켓은 로그프레소 소나의 UI를 통하여 관리됩니다. 대응->티켓 메뉴에서 이러한 기능을 제공하는데 기간 범위, 티켓 분류기준, 중요도, 처리 상태, 처리 담당자(할당자), 결재자 및 키워드에 의한 다양한 티켓 조건 검색을 지원합니다.
• 상황 전파 지원
  침해 공격 탐지 시 알람 그룹을 지정하여 자동으로 이메일, SMS, 메신저 발송하도록 구성할 수 있습니다. 각 매체별로 부수적인 정보를 추가하거나, SMS DB 입력 혹은 REST API 호출 등 사이트에 특화된 설정이 가능하도록 쿼리 기반의 처리를 지원합니다.
• 예/경보, 보안뉴스 지원
  KRCERT 예/경보와 보안뉴스, 익스플로잇, 보안권고문, CVE 데이터베이스 등 보안 동향에 대한 최신 정보를 제공합니다.
• 사용자 정의 보고서 지원
  수동생성 보고서는 단락, 표, 메모의 구성요소를 조합하여 보고서 포맷과 데이터 생성을 지정하여 생성된 보고서는 사용자가 필요 시 원하는 날짜 범위 등을 입력하고 수동으로 생성할 수 있습니다.
• 시각화 - 임의 분석 대시보드 지원
  위협 대응 현황 및 기관/그룹별 위험도 구성을 통해 보안관제 종합분석에 대한 모니터링 기능을 제공합니다. 로그프레소 소나는 위젯 관리 기능을 제공하여 생성된 위젯을 타 대시보드에 활용할 수 있습니다.
• 다양한 시각화 제공 / 실시간 수집 현황 모니터링
  차트, 그리드에 대해 클릭 & 드래그 시 필터가 추가되면서 다른 위젯들도 해당 조건을 반영하여 실시간으로 드릴다운된 결과를 표시합니다.