Sagan - 리뷰(2)

Sagan은 syslog 모니터링 시스템이다.  Sagan은 실시간으로 syslog에서 주의를 요구하는 이벤트가 발생할 경우 사용자에게 경보한다. 

Sagan은 멀티-쓰레드, 실시간 이벤트-로그 모니터링 시스템이다. Sagan은 네트워크와 컴퓨터 시스템에서 발생하는 로그들을 분석할 수 있는데, 이때 룰을 분석하는 방법론으로써 "Snort" 룰과 동일한/유사한 룰을 사용하여, 악성패턴을 탐지하는데 사용한다. 만일, Sagan이 악성패턴을 탐지하면, 이때 발생한 이벤트를 snort database(MySQL/PorstgreSQL)에 저장하고, Sagan은 이를 Sort IDS/IPS에서 발생한 이벤트와 상관분석한다. 

즉, 일반 로그(이종, heterogeneous format)에서 특정 패턴을 스노트의 탐지 규칙 형식으로 탐지하고, 탐지될 경우 발생하는  이벤트를 전형적인 스노트의 출력 방식으로 출력하여, 스노트의 이벤트를 기준으로 표준화(standardization, homogeneous format)하고, 이를(공통 분모를 가진 것을) 상관분석한다는 얘기이다. 

Sagan은 중앙집중형 로깅 환경으로서도 사용할 수 있지만, 워크스테이션을 위한 단독형 호스트 IDS시스템의 일부로써도 동작한다.   

Sagan은 빠르다.

Sagan은 C로 작성되었고, 멀티-쓰레드 응용프로그램이다. Sagan은 Blocking I/O를 방지하기 위해 멀티-쓰레드로 작성되었다. 

Sagan은 "snort"와 유사한 규칙 집합을 갖는다.

DPI(Deep Packet Inspection)과 IDS/IPS영역을 경험해본 사람에게 snort는 결코 낯설지 않다. 또한, 좀더 심도있게 본 사람은 Snort의 Rule을 기술하는 언어에 조금 익숙해져 있을 것이다. 이렇게 snort rule의 신택스(syntax)을 아는 사람은 그 룰의 문법대로 탐지 규칙을 작성할 수 있다는 것이다.

Sagan은 Snort databases에 로그를 기록할 수 있다. 

Sagan은 그 탐지 결과를 snort의 데이터베이스 형태로 출력할 수 있다. 즉, 마치 스노트 센서 중 하나인 것처럼 "sensor id"로 구분되어 데이터베이스에 수록될 수 있다. 이로 인해 sagan의 이벤트 출력은 별도 분리되어 사용될 수 있으며, 콘솔이라고 볼수 있는 BASE라던지 Snorby에서 Sagan의 출력(일반로그+스노트 로그에 대한 탐지)을 Snort 출력처럼 분석/통계 등을 해볼 수 있을 것이다. 

Sagan의 출력 포맷

Sagan은 snort와 밀접하지만, 반드시, snort를 알아야만 하는 것은 아니다. Sagan은 다중 출력 포맷을 제공하는데, 표준 출력 파일 로그 포맷(snort와 유사), 전자우편으로 경보처리(libesmtp사용), Logzilla지원하여 특정 언어에 익숙한 사람이 커스터마이징 가능하게 했다( Perl/Python/C/etc).

Sagan은 능동적으로 개발되고 있다.

Softwink사(Softwink, Inc.)는 능동적으로 Sagan 소스 코드와 rule set을 관리하고 있다고 한다. 또한, 이를 이용해서 보안 모니터링을 수행하고 있다고 한다.

그 외의 기능 및 특징

1) Sagan은 설치가 용이하다. 전형적인, "./configure && make && make install"로 설치가 완료된다.

2) 경보에 쓰레졸드(threshold)기능, sagan의 규칙에 snort와 같은 포맷을 사용한다.

3) TCP/IP주소, 포트정보, 프로토콜을 로그로 부터 수집하려고 하여 보다 나은 상관분석이 가능하게 해준다.

4) 임의의 유형 장비에 대한  모니터링 (라우터, 방화벽, 관리되는 스위치, IDS/IPS, Unix/Linux system, Windiws event log, 무선 AP 등등)

5)  3rd-party에서 제작한 다양한 snort의 프로트엔드(GUI, 분석도구 등)를 사용할 수 있다. (BASE, Snorby, 그외 다수의 스노트 기반 보고/모니터링 시스템)

6) 오픈 소스이며, GNU/GPL 2 라이센스이다.

사이트 : http://sagan.quadrantsec.com/