1. Vboard 활용 방안

: 침해사고관리 항목에 대한 시각화와 심사 진행에 따른 요구사항 등 ISMS 인증심사가 진행됨에 따라 필요한 정보를

쉽게 확인 가능하도록 구성할 수 있습니다.

<12. 침해사고관리 항목 Vboard 구성 예시>

2. Vboard 활용 예시

1) 공격 차단 목록(IPS)

: IPS에서 차단한 공격 목록을 검색해 보여줍니다.

날짜별로 IPS에서 차단한 공격을 확인해 침해사고를 지속적으로 모니터링하고 관리 할 수 있습니다.

(* 그래프 클릭시 해당 일자에 해당하는 IPS 상세 로그를 확인할 수 있습니다.)

- IPS에서 공격으로 규정해 차단한 모든 외부 접속을 검색합니다.

GROUP{

table(IPS 인덱스명)

where(데이터_방향:Inbound and 행동:Deny)

groupfield(로그 시간)

}

* 쿼리가 작동하기 위해서는

1. 데이터 방향

2. IPS 차단 행위

가 포함된 인덱스가 필요합니다

2) 감염 파일 검출 현황

: 백신 로그를 통해 감염된 파일 목록을 검색해 출력합니다.

침해시도 관련 악성 첨부파일을 확인하고 조치하는데 사용할 수 있습니다.

(* 해당 그래프 클릭시 감염파일에 대한 감염자 등 백신 상세 로그를 확인할 수 있습니다.)

- 백신 로그에서 감염된 파일 목록과 검출된 횟수를 검색합니다.

GROUP{

table(백신 인덱스명)

where(치료가 불가한 악성코드 목록 검색)

groupfield(파일명)

}

* 쿼리가 작동하기 위해서는

1. 악성코드 치료 여부

2. 감염된 파일명

가 포함된 인덱스가 필요합니다

3) 악성코드 감염자 현황(TOP 5)

:악성코드가 최초로 식별된 IP를 분석해 최다 감염자 5명의 IP주소를 그래프 형식으로 보여줍니다.

최초 감염자 및 취약 단말기를 식별하기 위해 사용할 수 있습니다.

(* 해당 그래프 클릭시 각 IP별 감염 상세 로그를 확인할 수 있습니다.)

- 백신 로그로부터 감염된 IP주소를 검색해

GROUP{

table(백신 인덱스명)

groupfield(감염자 IP 주소)

top(5)

}

* 쿼리가 작동하기 위해서는

1. 감염자의 IP 주소

가 포함된 인덱스가 필요합니다

4) 침해 사고 훈련 일정

:Security Life Cycle에 등록된 침해사고 훈련 일정을 검색해 훈련일과 횟수를 scatter 형태로 보여줍니다.

침해사고 대응훈련 일자와 주기별 시행여부를 확인하는데 활용할 수 있습니다.

(* 각각의 항목 선택시 로그로 저장된 훈련 일정이 출력되 등록번호와 내용 등을 확인할 수 있습니다.)

- Security Life Cycle에 대응훈련 관련 내용을 검색해 훈련일과 횟수를 출력합니다.

GROUP{

table(Security Life Cycle 인덱스명)

where(모의훈련이 포함된 Life Cycle 제목을 검색합니다)

groupfield(훈련명, 시작일)

}

* 쿼리가 작동하기 위해서는

1. Security Life Cycle에 등록된 모의훈련 계획

2. 훈련명

3. 시작일

가 포함된 인덱스가 필요합니다

5) 침해사고 위험도 산출

:이번달에 각종 보안장비에서 차단한 공격 횟수를 검색해 게이지 형식으로 보여줍니다.

일정수준 이상 침해시도가 계속될 경우 경보단계를 판단하고 대처하는데 활용할 수 있습니다.

( * 침해시도 횟수에 대한 위험도는 기업마다 다를 수 있으므로 각각의 환경에 맞는 횟수 설정이 필요합니다.)

( * 화살표 클릭시 침해 차단에 대한 상세 로그를 확인할 수 있습니다.)

- 각종 보안 시스템에서 내부로의 접속을 차단한 로그를 검색해 횟수를 계산합니다.

GROUP{

table(웹 방화벽 인덱스명)

where(데이터_방향:Inbound and 행동:Deny)

groupfield(출발지 IP)

}

* 쿼리가 작동하기 위해서는

1. 데이터 방향

2. IPS 차단 행위

가 포함된 인덱스가 필요합니다

6) 침해 사고 보고 내용

:월별 침해사고 보고 내용을 검색해 Security Life Cycle에 등록한 제목을 검색해 보여줍니다.

발생한 침해사고에 대해 조치가 이루어지고 있는지 확인하기 위해 사용할 수 있습니다.

- Security Life Cycle에 등록된 침해사고 및 대응결과서를 검색해 제목을 불러옵니다.

GROUP{

table(Security Life Cycle 인덱스명)

where(침해사고 및 대응결과서 관련 내용 검색)

groupfield(이슈 제목)

}

* 쿼리가 작동하기 위해서는

1. Security Life Cycle에 등록된 대응결과서 내용

가 포함된 인덱스가 필요합니다

7) 진행중인 인증심사 항목

:Security Life Cycle에 등록된 인증심사원의 요청을 검색해 항목과 완료 여부, 담당자 등을 출력합니다.

- Security Life Cycle에 등록한 글 중 침해사고관리에 해당되는 항목 중 미완료된 사항만 검색합니다.

GROUP{

table(Security Life Cycle 인덱스)

where(이름:등록한 통제항목명 and 해결여부:UNRESOLVED)

groupfield(요약정보, 담당자, 시작일, 종료일, 해결여부)

}

* 쿼리가 작동하기 위해서는

1. Security Life Cycle에등록한 통제항목

2. 해결여부

3. 요약정보

4. 담당자

5. 시작일

6. 종료일

가 포함된 인덱스가 필요합니다

8) 등록된 인증심사 항목에 대한 담당자들의 코멘드 출력

:Security Life Cycle에 등록된 요청에 대한 담당자들의 코멘트를 검색해 테이블 형태로 보여줍니다

- Security Life Cycle에 등록한 글 중 특정 침해사고관리 항목에 대한 코멘트를 검색합니다.

GROUP{

table(Security Life Cycle 인덱스)

where(코멘트 등록 여부, 담당자)

groupfield(코멘트, 할당된 통제항목, 담당자, 등록일)

}

* 쿼리가 작동하기 위해서는

1. Security Life Cycle에등록한 코멘트

2. 할당된 통제항목

3. 등록일

가 포함된 인덱스가 필요합니다

9) 심사 문서 접수 목록

:Security Life Cycle에 등록된 요청에 대해 첨부파일명을 검색해 테이블 형태로 보여줍니다

- Security Life Cycle에 등록한 글에 대해 첨부파일 목록만 불러와 파일명을 검색합니다.

JOIN{ fromtable(Security Life Cycle 인덱스) fromwhere(field:"attachment" and parent_name:11번 항목 첨부파일) totable(Security Life Cycle 인덱스 as a) joinfield(parent_id=parent_id) }|GROUP{ table(a) groupfield(파일명) }

* 쿼리가 작동하기 위해서는

1. Security Life Cycle에등록된 첨부파일

가 포함된 인덱스가 필요합니다