INI-ICAM

다운로드 1
업데이트 2026. 7. 2.

사용 매뉴얼

개요

대상 사용자: INI-ICAM 플랫폼과 로그프레소를 함께 운영하는 보안 담당자

INI-ICAM 앱을 사용하면 로그프레소에서 INI-ICAM 플랫폼에 보안 이벤트를 직접 전송할 수 있습니다.

  • 탐지 쿼리 결과를 ICAM 이벤트로 변환해 위험 점수 산정에 반영
  • 단건(ini-icam-send-event) 또는 다수 레코드 일괄(ini-icam-send-event-batch) 전송
  • dry-run 모드로 데이터 유효성을 먼저 검증한 뒤 실제 전송

주요 화면·메뉴 경로

기능경로
확장명령어 실행분석 > 쿼리
접속 프로파일 관리시스템 > 접속 프로파일

작업 시나리오

시나리오 1: 단건 이벤트 전송 및 검증

목적: 특정 보안 이벤트를 INI-ICAM 플랫폼에 수동으로 전송합니다. 먼저 시험 실행으로 접속과 데이터를 검증한 뒤 실제 전송합니다.

사전 조건:

  • 설치 매뉴얼에 따라 접속 프로파일이 등록되어 있어야 합니다.
  • ICAM 클라이언트에 이벤트 전송 권한(PIP)이 부여되어 있어야 합니다.

수행 절차:

  1. 분석 > 쿼리로 이동합니다.
  2. 아래 쿼리를 입력해 시험 실행으로 유효성을 먼저 확인합니다. profile= 값은 등록한 접속 프로파일 식별자로 변경하세요.
ini-icam-send-event profile=icam severity=8 category=malware src-ip="192.0.2.10" dst-ip="192.0.2.20" user="user@example.com" msg="C2 연결 의심" dry-run=t
  1. _expected=success가 반환되면 dry-run=f로 변경해 실제 전송합니다.
ini-icam-send-event profile=icam severity=8 category=malware src-ip="192.0.2.10" dst-ip="192.0.2.20" user="user@example.com" msg="C2 연결 의심" dry-run=f

결과 확인:

profile_result
icamsuccess

시나리오 2: 탐지 이벤트 일괄 전송

목적: 로그프레소 테이블에 누적된 탐지 이벤트를 ICAM에 일괄 전송해 위험 점수를 갱신합니다.

사전 조건:

  • 접속 프로파일이 등록되어 있어야 합니다.
  • 테이블 내 레코드에 severity(정수)와 category(문자열) 필드가 있어야 합니다.

수행 절차:

  1. 분석 > 쿼리로 이동합니다.
  2. 먼저 시험 실행으로 전체 레코드의 유효성을 검사합니다.
table my_detection_table
| search _time >= dateadd(now(), "hour", -1)
| fields severity, category, src_ip, dst_ip, user, msg
| ini-icam-send-event-batch profile=icam dry-run=t
  1. _expected=fail인 레코드가 있으면 _error 필드에서 원인을 확인하고 입력 데이터를 수정합니다.
  2. 유효성이 확인되면 dry-run=f로 변경해 실제 전송합니다.
table my_detection_table
| search _time >= dateadd(now(), "hour", -1)
| fields severity, category, src_ip, dst_ip, user, msg
| ini-icam-send-event-batch profile=icam dry-run=f

결과 확인:

categoryseverityprofile_result
malware9icamsuccess
authentication5icamsuccess
network3icamfail

_result=fail인 레코드는 _error 필드에서 원인을 확인합니다. 전송이 성공한 레코드는 ICAM 위험 점수 계산에 반영됩니다.

주의사항

  • dry-run 기본값: dry-run 옵션의 기본값이 t입니다. 실제 이벤트를 전송하려면 반드시 dry-run=f를 명시해야 합니다.
  • user 불일치: user 옵션에 ICAM에 등록되지 않은 식별자를 지정해도 이벤트는 수신되지만, 해당 사용자의 위험 점수에는 반영되지 않습니다. ICAM에 등록된 사용자 ID를 사용하세요.
  • 토큰 캐싱: ICAM Bearer 토큰은 접속 프로파일당 캐싱됩니다. 프로파일 정보를 수정하면 캐시가 즉시 무효화되고 다음 호출 시 새 토큰이 발급됩니다.
  • 배치 명령어 중단 불가: ini-icam-send-event-batch 실행 중 한 레코드가 실패해도 나머지 레코드는 계속 전송됩니다. 전송 중단이 필요하면 쿼리를 직접 취소해야 합니다.

관련 문서