[Blue Team] EP.3 - Alert 판단

[3-1] Log, Event, Alert, Incident

1단계 - Log (로그)

- 시스템이 남긴 원시 기록 (의미 없는 사실)

- ex) 11:10에 검정색 후드를 입은 남성이 건물에 출입함

 

2단계 - Event (이벤트)

- 의미를 해석한 단위 행위 (의미 부여)

- ex) 방금 출입한 남성이 서버실이 있는 위치로 이동함

 

3단계 - Alert (알림)

- 탐지 로직이 주의를 요구한 상태 (가설)

- ex) 해당 남성은 사원증이 없는 상태로 서버실로 접근 중 → 확인 필요

 

4단계 - Incident (사건)

- 실제 대응이 필요한 보안 사고 (결론)

- ex) 사원이 아닌 외부인이 서버실에 무단 침입 → 경비 출동 및 경찰 신고

 

 

[3-2] 로그의 핵심 필드

로그 예시

 

When (시간) - 언제 발생했는가?

- [2026-04-16T14:40:19Z]

→ 2026년 04월 16일 오후 2시 40분

 

Who (사용자) - 누가 행동했는가?

- user=game_dev02

→ 게임 개발자

 

What (행위) - 무엇을 했는가?

- action=login

→ 로그인 시도

 

Where (출발지) - 어디서 왔는가?

- src_ip=222.128.110.77

→ 중국의 ip (src_country=CN 부분을 통해 직관적 확인 가능)

 

Result (결과) - 성공했는가?

- result=success

→ 로그인 성공

 

기타 정보

- device=Linux_Ubuntu_Unknown

→ 일반적인 Windows나 Mac이 아닌 미확인 기기

- mfa=passed

→ 2차 인증도 통과

 

 

[3-3] Alert Triage (분류 과정)

1. 데이터 신뢰성 - 신뢰할 수 있는 데이터인가?

 - 시스템 오류나 중복 데이터 → 닫기 / 병합

 

2. 정상 여부 - 미리 알려진 정상 행위인가?

 - 승인된 작업이나 정시 점검 → Bengin / 예외 처리

 

3. 자산 중요도 - 핵심 자산/계정에 영향이 있는가?

 - 관리자 계정이나 핵심 서버에 영향 → L2 escalation(연결)

 

4. 즉시 조치 필요성 - 지금 당장 대처해야될 사항인가?

 - 영향이 확산되고 파괴적임 → IR/CERT 호출

 

 

[3-4] 판단문 작성의 4대 요소

1. Fact (관측 사실)

 - 데이터에 나타난 객관적 사실

 - ex) 2026년 4월 16일 14:40(KST), 게임 개발자 계정(game_dev02)이 중국(CN) IP 대역에서 로그인에 성공

 

2. Reason (의심 근거)

 - 위협이라고 생각한 이유

 - ex) 해당 개발자는 현재 사내(국내) 근무 중으로, 중국 출장이나 외부 접속 승인 내역이 없음

 - ex) 사내 표준 단말 (Windows/Mac)이 아닌 생소한 기기 사용

 

3. Impact (영향 범위)

 - 피해 규모와 민감도 파악

 - ex) game_dev02 계정은 핵심 게임 소스 코드에 대한 쓰기 권한을 보유함

 - ex) 게임의 핵심 기술 유출 가능성이나 악성 코드 삽입 가능성 존재

 

4. Action (권고 조치)

 - 누가 무엇을 해야 하는지 제안

 - ex) 해당 계정의 강제 종료 및 잠금 처리

 - ex) 로그인 직후 수행된 파일 접근 및 명령어 기록 조사

 - ex) L2 심층 분석 팀 및 IR(사고대응) 팀에 즉시 통보

 

 

 

---

[Blue Team] EP.3 - Alert 판단. END.

 

[Blue Team] EP.4 - 보안 도구들. Continue...

https://anbymata.tistory.com/66

[Blue Team] EP.4 - 보안 도구들