사용 매뉴얼
개요
대상 사용자: INI-ICAM 플랫폼과 로그프레소를 함께 운영하는 보안 담당자
INI-ICAM 앱을 사용하면 로그프레소에서 INI-ICAM 플랫폼에 보안 이벤트를 직접 전송할 수 있습니다.
- 탐지 쿼리 결과를 ICAM 이벤트로 변환해 위험 점수 산정에 반영
- 단건(
ini-icam-send-event) 또는 다수 레코드 일괄(ini-icam-send-event-batch) 전송 dry-run모드로 데이터 유효성을 먼저 검증한 뒤 실제 전송
주요 화면·메뉴 경로
| 기능 | 경로 |
|---|---|
| 확장명령어 실행 | 분석 > 쿼리 |
| 접속 프로파일 관리 | 시스템 > 접속 프로파일 |
작업 시나리오
시나리오 1: 단건 이벤트 전송 및 검증
목적: 특정 보안 이벤트를 INI-ICAM 플랫폼에 수동으로 전송합니다. 먼저 시험 실행으로 접속과 데이터를 검증한 뒤 실제 전송합니다.
사전 조건:
- 설치 매뉴얼에 따라 접속 프로파일이 등록되어 있어야 합니다.
- ICAM 클라이언트에 이벤트 전송 권한(PIP)이 부여되어 있어야 합니다.
수행 절차:
- 분석 > 쿼리로 이동합니다.
- 아래 쿼리를 입력해 시험 실행으로 유효성을 먼저 확인합니다.
profile=값은 등록한 접속 프로파일 식별자로 변경하세요.
ini-icam-send-event profile=icam severity=8 category=malware src-ip="192.0.2.10" dst-ip="192.0.2.20" user="user@example.com" msg="C2 연결 의심" dry-run=t
_expected=success가 반환되면dry-run=f로 변경해 실제 전송합니다.
ini-icam-send-event profile=icam severity=8 category=malware src-ip="192.0.2.10" dst-ip="192.0.2.20" user="user@example.com" msg="C2 연결 의심" dry-run=f
결과 확인:
| profile | _result |
|---|---|
| icam | success |
시나리오 2: 탐지 이벤트 일괄 전송
목적: 로그프레소 테이블에 누적된 탐지 이벤트를 ICAM에 일괄 전송해 위험 점수를 갱신합니다.
사전 조건:
- 접속 프로파일이 등록되어 있어야 합니다.
- 테이블 내 레코드에
severity(정수)와category(문자열) 필드가 있어야 합니다.
수행 절차:
- 분석 > 쿼리로 이동합니다.
- 먼저 시험 실행으로 전체 레코드의 유효성을 검사합니다.
table my_detection_table
| search _time >= dateadd(now(), "hour", -1)
| fields severity, category, src_ip, dst_ip, user, msg
| ini-icam-send-event-batch profile=icam dry-run=t
_expected=fail인 레코드가 있으면_error필드에서 원인을 확인하고 입력 데이터를 수정합니다.- 유효성이 확인되면
dry-run=f로 변경해 실제 전송합니다.
table my_detection_table
| search _time >= dateadd(now(), "hour", -1)
| fields severity, category, src_ip, dst_ip, user, msg
| ini-icam-send-event-batch profile=icam dry-run=f
결과 확인:
| category | severity | profile | _result |
|---|---|---|---|
| malware | 9 | icam | success |
| authentication | 5 | icam | success |
| network | 3 | icam | fail |
_result=fail인 레코드는 _error 필드에서 원인을 확인합니다. 전송이 성공한 레코드는 ICAM 위험 점수 계산에 반영됩니다.
주의사항
- dry-run 기본값:
dry-run옵션의 기본값이t입니다. 실제 이벤트를 전송하려면 반드시dry-run=f를 명시해야 합니다. - user 불일치:
user옵션에 ICAM에 등록되지 않은 식별자를 지정해도 이벤트는 수신되지만, 해당 사용자의 위험 점수에는 반영되지 않습니다. ICAM에 등록된 사용자 ID를 사용하세요. - 토큰 캐싱: ICAM Bearer 토큰은 접속 프로파일당 캐싱됩니다. 프로파일 정보를 수정하면 캐시가 즉시 무효화되고 다음 호출 시 새 토큰이 발급됩니다.
- 배치 명령어 중단 불가:
ini-icam-send-event-batch실행 중 한 레코드가 실패해도 나머지 레코드는 계속 전송됩니다. 전송 중단이 필요하면 쿼리를 직접 취소해야 합니다.