업무 관련 Snort 룰 작성 시 기준 정보

업무상 Snort 룰 생성 및 적용할 경우 어떤 기준에 의해 적용할 지 모호한 경우가 있음.

정확한 기준을 제시한 사이트나 기관이 없는 관계로 개인적인 경험과 주관적인 입장을 바탕으로 아래와 같이 제시함.

정책개발 케이스 기준, 상중하 위험도 산정 기준, 룰명명식 정의 기준에 관하여 제시함.

( 1 ) 정책개발 케이스 기준

구분	내용
정책개발 케이스 기준	1. 제로데이 보안 취약점 2. 침해사고 및 대내외 보안이슈 3. 주요 공격 기법 및 공격 툴 분석을 통한 탐지룰 개발 4. 고객 요청에 의한 사용자정책 개발 5. 벤더룰에 대한 정책 고도화

( 2 ) 상중하 위험도 산정 기준

구분	내용
상	- 침해사고 발생 가능성이 높은 이벤트 - 침해사고 발생 시 탐지되는 이벤트 (아웃바운드로 나가는 명령어 및 특정 정보노출 등) - 제로데이 관련 이벤트 (미패치로 긴급 모니터링이 필요한 경우) - 실시간 모니터링이 필요한 이벤트
중	- 고객사에서 사용 중인 상용 어플리케이션 관련 이벤트 (ex. 아파치, MySQL, 오라클 등 관련 DoS 및 RCE 이벤트) - 벤더룰에 없는 웹해킹 이벤트
하	- 단순 스캔성 및 정보성 이벤트 - 중 등급 이상 이벤트 분석 시 참고적으로 필요한 이벤트 (ex. 랜섬웨어 관련 백엔드 보안장비 이벤트 발생 시 같은 시간대의 PE 파일 다운로드 이벤트)

( 3 ) 룰명명식 정의 기준

구분	명명식 구분	내용
UDS	UDS_SID_RuleName_YYYYMMDD	- UDS 는 사용자 정의 정책(User Defined signature)의 약자로 룰개발 케이스 기준에 의거하여 만든 정책 - 예시 : UDS_0001_Malware Detected_20200521 - SID 사용 구간 : 1 ~ 4999 (SID 값 중복 확인 필수)
IUD	IUD_Issue Name_YYYYMMDD	- IUD 는 Issue URL Data 의 약자로 이슈(Issue) 정책 중 URL Data 접근 탐지 정책 - 예시 : IUD_www.malware.com_20200521 - HTTP Header의 HOST 문자열을 포함하여 특정 HOST 접근 시 탐지하도록 진행함. Content:"Host|3a 20| 를 포함하여 설정함.
IDQ	IDQ_Issue Name_YYYYMMDD	- IDQ 는 Issue DNS Query 의 약자로 이슈(Issue) 정책 중 DNS Query 접근 탐지 정책 - 예시 : IDQ_www.malware.com_20200521 - DNS Query는 UDP 53 Port를 기반으로 통신하므로 반드시 alert udp any any -> any 53을 기반으로 설정함.
IIC	IIC_Issue Name_YYYYMMDD	- IIC 는 Issue IP Connect 의 약자로 이슈(Issue) 정책 중 IP 기반 탐지 정책 - 예시 : IIC_Malware Hacked IP_20200521 - IP기반으로 탐지 하는 정책이므로 단일IP의 경우는 양방향으로 등록함. ex) alert tcp any any <> 1.1.1.1 any - IP 대역일 경우는 단방향으로 등록함. ex) alert tcp any any -> 1.1.1.0/24 any
VRM	VRM_SID_RuleName_YYYYMMDD	- VRM 는 벤더룰 수정(Vender Rule Modificated)의 약자로 벤더룰을 고도화하고자 수정된 정책 - 예시 : VRM_5001_Malware Detected_20200521 - SID 사용 구간 : 5001 ~ 9999 (SID 값 중복 확인 필수) - 벤더룰을 수정할 경우, 기존 벤더룰은 중지시켜야 함.

============================================================

본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.