목차/04. View와 Report

04View와 ReportView와 Report

로그를 숫자가 아니라 그림으로 보면 훨씬 빨리 이해됩니다. ViewReport로그·이벤트를 쿼리해 차트·표·지도로 그려 주는 시각화 도구 로, SmartConsole의 Logs & Events나 브라우저의 SmartView(https://<서버 IP>/smartview/)에서 만들고 편집합니다. 이 장은 둘의 차이, 카탈로그 구성, 그리고 내보내기·공유·스케줄·커스터마이즈를 정리합니다.

View와 Report — 무엇이 다른가

View여러 widget으로 짜인 대화형 대시보드 입니다. 각 widget은 쿼리 하나의 결과를 차트·표 등으로 보여 주고, widget을 더블클릭하면 더 구체적인 View나 원시 로그로 드릴다운 할 수 있습니다. 반면 Report여러 View와 표지를 묶은 문서 라 더 자세하지만, 드릴다운은 할 수 없습니다. 한마디로 View는 파고드는 분석용, Report는 정리해 전달하는 보고용 입니다. 둘 다 미리 정의된 것이 여럿 있고, 새로 만들거나 기존 것을 고칠 수 있습니다.

카탈로그 — 모든 View·Report의 입구

Logs & Events에서 (+) 탭 을 누르면 미리 정의된 것과 커스텀을 모은 카탈로그가 열립니다.

① Open Log View / Audit Logs View ② Views(+Compliance View) ③ Reports ④ Favorites·Recent ⑤ Table/Thumbnails 전환 ⑥ Scheduled Tasks ⑦ Archive(내보낸 결과 다운로드) ⑧ Catalog 새 탭 — 카탈로그 구성
① Open Log View / Audit Logs View ② Views(+Compliance View) ③ Reports ④ Favorites·Recent ⑤ Table/Thumbnails 전환 ⑥ Scheduled Tasks ⑦ Archive(내보낸 결과 다운로드) ⑧ Catalog 새 탭 — 카탈로그 구성

*① Open Log View는 모든 Log Server의 로그를, Audit Logs View는 관리자 행동 기록을 보여 준다(이 둘은 Log Server에서, Compliance View를 뺀 나머지는 SmartEvent Server에서 온다). ② View 목록과 규제 준수를 돕는 Compliance View. ③ Report 목록. ④ 자주 쓰는 것 모음과 최근 항목. ⑤ 표/썸네일 보기 전환. ⑥ 예약 작업. ⑦ 내보낸 결과 다운로드. ⑧ 새 카탈로그 탭.*

View를 열면 widget·옵션·쿼리 검색줄·기간이 한 화면에 배치됩니다.

① Widget(쿼리 결과, 더블클릭 드릴다운) ② Options(편집·기본값 복원·신원 숨기기·내보내기) ③ 쿼리 검색줄 ④ Time Period — View 화면 구성
① Widget(쿼리 결과, 더블클릭 드릴다운) ② Options(편집·기본값 복원·신원 숨기기·내보내기) ③ 쿼리 검색줄 ④ Time Period — View 화면 구성

여는 절차는 간단합니다 — 카탈로그에서 Views나 Reports를 누르고, 항목을 골라 Open한 뒤, 기간(timeframe)을 정하고 검색줄에서 필터링 하면 됩니다. SmartEvent는 인터넷이 연결돼 있으면 미리 정의된 View·Report를 자동으로 내려받고 업데이트 합니다.

MITRE ATT&CK View

보안 사고를 공격자가 쓴 전술(tactic)과 기법(technique) 관점 으로 들여다보고 싶을 때 MITRE ATT&CK View 를 씁니다. 쓰려면 SmartEvent와 함께 Threat Emulation·IPS·Anti-Bot 중 하나 이상 이 켜져 있어야 합니다. 카탈로그의 Views에서 이 View를 열면 색이 진할수록 공격 시도가 많은 heat map 이 나오고, 가장 진한 칸을 더블클릭해 개별 악성 메일·파일 다운로드까지 파고든 다음, 로그 안에서 그 공격에 쓰인 전체 기법·전술 목록을 확인할 수 있습니다. 더 깊은 설명은 Threat Prevention 가이드의 Cyber Attack View·MITRE를 함께 보세요.

내보내기·공유·스케줄

만든 View·Report는 PDF나 CSV로 내보낼 수 있습니다(CSV는 표만 내보내짐). 결과는 카탈로그의 Tasks > Archive 에서 받습니다. 대표적인 예가 Network Activity Report 로, 상위 출처·목적지·서비스 같은 주요 Firewall 연결을 보여 주는데, 이를 만들려면 SmartEvent가 Firewall 로그를 인덱싱 해야 하고, 정책 규칙의 Track 설정에 per Session 을 더해야 합니다(로그 다루기의 Track 설명 참고).

만든 Report는 내보내기 없이 팀과 공유(Share) 할 수도 있습니다 — 일반 관리자가 공유하면 같은 도메인의 모든 관리자에게, Multi-Domain의 super admin이 공유하면 모든 도메인 사용자에게 보입니다. 레이아웃과 widget 정의만 파일로 빼낸 Template 을 만들어 다른 서버·관리자에게 전달할 수도 있습니다. 정기 보고가 필요하면 Schedule PDF/CSV반복 주기·기간·필터를 정하고, 이메일로 자동 발송 하게 설정합니다(이메일 서버 설정은 관리자마다 한 번만 하면 됨).

커스터마이즈와 widget

기존 View·Report는 Open 후 Options > Edit 에서 고칩니다. widget을 드래그&드롭으로 더하거나 옮기고, 필터를 정의 합니다. 한 가지 알아 둘 점은 timeframe과 검색줄은 View·Report 정의에 저장되지 않으므로, 생성할 때마다 지정 한다는 것입니다. 또 View를 template으로 삼아(Use View as template) "사용자별"처럼 한 기준으로 쪼갠 세분 보기 를 한 번에 뽑을 수도 있습니다.

widget은 종류가 다양합니다 — chart(막대·파이·영역·선), timeline, table, map(국가별), infographic(큰 의미값), container(여러 widget을 한 틀로 묶음) 입니다. widget이나 View는 복사해 다른 위치에 붙일 수 있는데, 복사하면 원본의 필터는 따라오지 않고 그 widget·View 자체의 필터만 따라옵니다.

마지막으로 필터 는 세 층으로 겹칩니다 — 전체 Report에 적용하는 필터, 한 View(페이지)와 그 안 모든 widget에 적용하는 필터, 그리고 선택한 widget에만 적용하는 필터 입니다. 검색줄로 즉석에서 거를 수도, 정의에 저장할 수도 있습니다. Active Directory 그룹으로 거르려면 Access Role을 만들어 정책을 설치한 뒤, Identity Awareness 로그에서 그룹 이름(보통 ad_ 접두사)을 복사해 User Group 필드 필터에 넣습니다.