시스템 관리 개요
Seekurity SIEM 관리자는 시스템 전반의 설정, 사용자 관리, 수집기 구성, 탐지 규칙 관리를 담당합니다.
사용자 및 역할 관리
| 역할 | 권한 |
|---|---|
| Super Admin | 전체 시스템 관리, 사용자 관리, 시스템 설정 |
| Security Manager | 탐지 규칙 관리, 정책 설정, 보고서 관리 |
| SOC Analyst | 대시보드, 로그 검색, 티켓 관리, 탐지 결과 확인 |
| Viewer | 대시보드 및 보고서 읽기 전용 |
수집기 관리
| 수집기 | 설정 항목 |
|---|---|
| SS-Syslog-Receiver | 수신 포트, 로그 포맷, 소스 IP 허용 목록 |
| SS-Packet-Receiver | Agent 등록, 수집 포트, 스레드 수 설정 |
| SS-SNMP-Collector | 커뮤니티 스트링, 수집 간격, 대상 OID |
| SS-Database-Checker | JDBC 연결 정보, 폴링 간격, 대상 테이블 |
로그 파서 설정
장치 IP별로 정규식 패턴 기반 파서를 구성합니다.
파서 설정 흐름:
1. 수집기에 장치 IP 등록
2. 로그 포맷별 정규식 패턴 정의
3. Named Capture Group으로 필드 매핑
4. 우선순위 설정 (여러 패턴 매칭 시)
5. 테스트 로그로 파싱 결과 검증탐지 규칙 관리
규칙(Rule) 생성
4단계 마법사를 통해 탐지 규칙을 생성합니다.
| 단계 | 설정 내용 |
|---|---|
| 1. 기본 정보 | 규칙명, 심각도, 설명, MITRE ATT&CK 매핑 |
| 2. 조건 설정 | 필드 조건, AND/OR 조합, 임계값 |
| 3. 탐지 설정 | 시간 윈도우, 집계 방식, 중복 제거 |
| 4. 알림 전송 | 알림 채널, Playbook 연결, 티켓 자동 생성 |
규칙 셋(Ruleset) 구성
복수의 규칙을 순서대로 조합하여 다단계 공격을 탐지합니다.
플레이북 설정
Playbook 기반 자동 대응 체계를 구성합니다.
| 액션 | 설명 |
|---|---|
| 메일 발송 | SMTP 기반 알림 메일 발송 |
| SNMP Trap | NMS로 SNMP Trap 전달 |
| 티켓 생성 | 자동 인시던트 티켓 생성 |
| Webhook | 외부 시스템 API 호출 |
시스템 설정
- 일반 설정 — 시스템 이름, 시간대, 로고, 세션 타임아웃
- 보안 설정 — 비밀번호 정책, IP 접근 제한, 감사 로그
- OpenSearch 설정 — 인덱스 보관 기간, 샤드 수, 레플리카 설정
- Kafka 설정 — 토픽 파티션, 리텐션 기간, Consumer 그룹
로그 관리 및 보관
| 설정 | 기본값 | 설명 |
|---|---|---|
| 인덱스 보관 | 90일 | OpenSearch 인덱스 보관 기간 |
| 자동 삭제 | 활성화 | 보관 기간 초과 인덱스 자동 삭제 |
| 무결성 검증 | 일간 | SHA-256 해시 기반 무결성 체크 |
| 백업 스케줄 | 일간 | PostgreSQL + 설정 데이터 자동 백업 |
백업 및 복구
- 설정 백업 — PostgreSQL 데이터(규칙, 정책, 사용자) 백업
- 로그 백업 — OpenSearch 인덱스 스냅샷 생성
- 복구 절차 — 백업 파일에서 전체 또는 선택적 복구