Alerts

Overview

Alerts 페이지에서는 리소스 접근과 관련한 알림 기능을 제공합니다. 주요 이상 징후에 대한 트리거 조건을 미리 설정함으로써 정책 위반사항을 실시간으로 탐지할 수 있습니다. 잠재적인 보안 사고를 신속하게 식별하고 해결할 수 있으며, 사전 정의된 임계값을 초과하는 조회 또는 유출 등 민감한 정보를 보호할 수 있습니다.

Administrator > General > Company Management > Alerts

이 문서에서는 다음과 같은 내용을 다룹니다.

1 지원하는 알림 유형
2 알림 생성하기
- 2.1 New Request
- 2.2 Unusual Login Attempt
- 2.3 SQL Execution
- 2.4 Prevented SQL Execution
- 2.5 DB Connection Attempt
- 2.6 Sensitive Data Access
- 2.7 SQL Export
- 2.8 Server Connection Attempt
- 2.9 Restrict Command
- 2.10 Specific Command
- 2.11 File Transfer (SFTP)
- 2.12 K8s API Request 10.2.2
- 2.13 Data Access 11.1.0
3 알림 상세 정보 조회 및 수정
4 알림 발송 내역 조회
5 알림 삭제하기

지원하는 알림 유형

공통 알림을 비롯하여 DB 접근에 특화된 알림과 시스템 접근에 특화된 알림을 지원합니다.

서비스별로 지원하는 알림 유형은 다음과 같습니다.

서비스 구분	알림 타입명	설명

서비스 구분	알림 타입명	설명
SAC, DAC, KAC	New Request	새로운 결재 요청 등록 알림
General	Unusual Login Attempt	IP 대역에 따른 사용자 로그인 행위 알림
DAC	SQL Execution	정의된 조건에 해당하는 SQL 구문 실행 알림
DAC	Prevented SQL Execution	권한 없는 구문 실행 알림
DAC	DB Connection Attempt	DB 접속 성공 또는 실패 알림
DAC	Sensitive Data Access	정의된 조건에 해당하는 민감데이터 조회 알림
DAC	SQL Export	정의된 조건에 해당하는 SQL 내보내기 실행 알림
SAC	Server Connection Attempt	서버 접속 성공 또는 실패 알림
SAC	Restricted Command	서버/서버 그룹별 차단된 명령어 실행 알림
SAC	Specific Command	특정 명령어 실행 알림
SAC	File Transfer (SFTP)	SFTP를 통한 파일 전송 실행 알림
KAC	K8s API Request	쿠버네티스 API 요청 알림 10.2.2 이후 버전에서 지원

11.1.0부터 New DAC Policy Management 기능이 활성화된 경우 아래와 같은 알림 유형을 사용할 수 있습니다.

New Request - DB Policy Exception Request
DB Policy Exception Request는 Unmasking과 Restricted Data Access 두 가지 유형이 있으나 구분해서 알림을 생성할 수는 없습니다.
Data Access
- Column Data Masking : 신 정책 관리에서 생성한 Column Data Masking 정책에 걸려 제한된 마스킹 된 상태로 조회된 이벤트
- Table Access Restriction : 신 정책 관리에서 생성한 Table Access Restriction 정책에 걸려 특정 테이블 접근이 제한된 이벤트
- Column Access Restriction : 신 정책 관리에서 생성한 Column Access Restriction 정책에 걸려 특정 컬럼 접근이 제한된 이벤트
- Sensitive Data Access Monitoring : 신 정책 관리에서 생성한 Sensitive Data Access Monitoring 정책의 조건에 해당되는 이벤트

알림 생성하기

Alerts 페이지 우상단 Create Alert 버튼을 클릭하여 새로운 알림을 생성합니다. OK 버튼을 클릭하여 알림 생성을 완료합니다.

Administrator > General > Company Management > Alerts > Create Alert

Name : 알림 이름
Alert Type : 알림 유형을 선택합니다.
1. 알림 유형별로 설정 가능한 조건이 상이합니다. 자세한 내용은 하단 문서를 참고해주세요.
Message Template : 알림 메시지 템플릿을 설정합니다.
1. Message Template Variable에서 지원하는 템플릿 변수를 활용하여 커스텀한 메시지를 작성할 수 있습니다.
2. Message Template Variable은 Alert Type 별로 상이합니다.
Channel : 알림 발송 채널
1. Administrator > General > Channels 에 등록된 채널 중 하나를 선택합니다.
2. 채널에 대한 자세한 설명은 Channels 문서를 참고하세요.
Subject Title : Channel을 Email로 선택한 경우 표시됩니다. 이메일 알림의 제목을 직접 지정할 수 있으며, Message Template Variable에서 지원하는 변수를 동일하게 사용할 수 있습니다. 입력하지 않을 경우, 시스템에서 기본으로 설정된 제목으로 발송됩니다.
Send Test Message : 알림 테스트 메시지 발송
1. 선택한 채널로, 입력한 메시지 템플릿 내용을 테스트 메시지로 전송합니다.

New Request

새로운 결재 요청 등록 알림

Request Type : Workflow 요청 유형
- DB Access Request, SQL Request, SQL Export Request, Server Access Request, Access Role Request, Unmasking Request 중 택 일
- All Requests (*) : 모든 요청 타입에 대해 알림 발송
Urgent Mode : 사후 승인 여부
- All : 모든 승인 요청 건에 알림 발송
- Urgent Mode Only : 사후 승인 요청 건만 알림 발송
Send email only to those involved in this request : Channel을 Email로 선택한 경우 표시됩니다. 이 옵션을 활성화하면 해당 요청의 관련자(요청자, 승인자 등)에게 Message Template의 내용을 담은 알림이 발송됩니다.

10.2.2 슬랙 메시지 템플릿 변경 사항

Slack > API 방식의 Channel로 전송되는 알림 메시지에서 {{assignees}} 에 대한 Slack 사용자 멘션이 지원됩니다.
Request Type 선택에 따라 지원되는 템플릿 변수가 상이합니다. 자세한 내용은 별도의 New Request > 요청 타입별 템플릿 변수 문서를 참고해주세요.

10.2.8 슬랙 메시지 템플릿 변경 사항

Sensitive Data Access 이벤트에서 슬랙 메시지에 쿼리를 포함하여 전송하도록 개선되면서 {{queryPreview}} 변수가 추가되었습니다. 슬랙 특성상 3000자 이상의 메시지 발송 요청을 하면 에러 반환 없이 메시지 발송이 실패하므로 queryPreview를 통해 볼 수 있는 쿼리는 100자로 제한되어 있습니다.

11.1.0 Request Type 변경 사항

Databases > General > Configurations에서 New DAC Policy Management 기능이 활성화되어 있다면 Alert의 Request Type에 DB Policy Exception Request를 사용할 수 있습니다.
DB Policy Exception Request는 Column Data Masking, Table Access Restriction, Column Data Access Restriction에 대한 정책 예외 요청 이벤트가 발생했을 때 알림이 발송되도록 합니다.

11.2.0 이메일 알림 템플릿 변경 사항

Alert의 Channel을 Email로 지정할 경우, Subject Title (이메일 제목) 을 직접 입력하는 기능이 추가되었습니다.
Workflow 관련 Alert 설정 시 Channel이 Email인 경우, Send email only to those involved in this request 옵션을 제공합니다. 이 옵션을 활성화하면 해당 요청의 관련자(요청자, 승인자 등)에게 Message Template의 내용으로 알림이 발송됩니다.

11.3.0 Alert 생성화면에서 Channel 선택 항목

Alert 생성화면에서 Channel 선택 항목에서 대상을 식별하기 용이하도록 아이콘이 추가되었습니다.

Unusual Login Attempt

IP 대역에 따른 사용자 로그인 행위 알림

Action Count : 알림 발송할 인증 실패 횟수
- 2 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분)
- 1 이상 입력 가능합니다.

예) 비정상적인 로그인 시도 시 알림 발송 - 5분간 QueryPie 로그인 실패 3회 누적 시

Action Count : 3
Specific Time Internal (Minutes) : 5

SQL Execution

정의된 조건에 해당하는 SQL 구문 실행 알림

Rows : 알림 발송 기준 행 수
- 레코드 변경이 없는 SQL Event : 0 입력 시 정상 작동합니다.
  - Create, Drop, Revoke, Truncate 등
- 그 외 SQL Events : 1 이상 입력 시 정상 작동합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
- 0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
- 최대 1440까지 입력 가능합니다.
SQL Events : 알림 발송할 SQL 쿼리 (다중 선택)
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

예 1) 100건 이상의 대량 데이터 조회 시 알림 발송

Rows : 100
SQL Events : SELECT

예 2) 데이터 변경 및 삭제 시도 시 알림 발송

Rows : 1
SQL Events : UPDATE, DELETE

Prevented SQL Execution

권한 없는 구문 실행 알림

Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

DB Connection Attempt

DB 접속 성공 또는 실패 알림

Alert Trigger Condition : 알림 발송 조건 (복수 선택)
- Success : DB 접속 성공 시 알림 발송
- Failure : DB 접속 실패 시 알림 발송
Connection Failure Trigger with Interval : 접속 실패 횟수/기간 알림 조건 설정
- Failure가 선택된 경우에만 활성화 가능합니다. 활성화 시 추가 입력 조건이 노출됩니다.
- Action Count : 횟수 기준
  - 1 이상 입력 가능합니다.
- Specific Time Interval (Minutes) : 기간 기준 (분)
  - 1 이상 입력 가능합니다.
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

예) 비정상적인 데이터베이스 접속 시도 시 알림 발송 - 5분간 DB 접속 실패 3회 누적 시

Alert Trigger Condition : Failure
Connection Failure Trigger with Internal : On
Action Count : 3
Specified Time Internal (Minutes) : 5

Sensitive Data Access

정의된 조건에 해당하는 민감데이터 조회 알림

Criteria : 알림 발송 기준을 선택합니다.
- Sensitive Level : Sensitive Data Policy > Rule에 설정된 데이터별 민감 레벨 기준
  - Low, Medium, High 중 택 일
- Policy : 특정 Sensitive Data Policy 기준
  - 등록된 Sensitive Data Policy 중 택 일
Rows : 알림 발송 기준 행 수 (10.2.2 이후 버전)
- 1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
- 0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
- 최대 1440까지 입력 가능합니다.

Sensitive Data Access 알림 타입 사용을 위해서는 민감 데이터 정책에 개인정보가 포함된 테이블 및 컬럼을 사전 정의해야 합니다. 자세한 내용은 Sensitive Data 문서를 참고해주세요.

예1) 민감레벨 High 로 설정된 개인정보 데이터 조회 시 알림 발송

Criteria : Sensitive Level
Sensitive Level : High

예2) 특정 데이터베이스에 포함된 개인정보 데이터 조회 시 알림 발송

Criteria : Policy
Policy : {사전에 등록된 Sensitive Data 정책}

SQL Export

정의된 조건에 해당하는 SQL 내보내기 실행 알림

Rows : 알림 발송 기준 행 수
- 1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
- 0 입력 시, 시간 조건 없이 단건의 SQL 내보내기를 기준으로 합니다.
- 최대 1440까지 입력 가능합니다.
Connection : SQL 내보내기 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

예) 100건 이상의 대량 데이터 내보내기 시도 시 알림 발송

Alert Type : SQL Export
Trigger Condition (Rows) : 100

Server Connection Attempt

서버 접속 성공 또는 실패 알림

Result : 알림 발송 조건
- Success : 서버 접속 성공 시 알림 발송
- Failure : 서버 접속 실패 시 알림 발송

11.3.0에서 Failure의 하위 옵션으로 Set trigger threshold on failed attempt 옵션이 추가되어 실패 횟수의 임계값으로 alert를 발생시킬 수 있도록 변경되었습니다.

Action Count : 이벤트가 발생한 횟수입니다. 1 이상의 값을 입력할 수 있습니다.
Time Interval : 이벤트 발생하는 시간 범위입니다.

예) 다음과 같은 설정의 경우 Server 접속 실패 이벤트가 5분 이내에 3회 발생 시 알림을 발송하게 됩니다.

Action Count : 3
Specific Time Internal (Minutes) : 5

Connection : 알림 발송할 대상 커넥션 (다중 선택)
- 서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
  - 다중 선택으로 인해 대상이 중복 선택된 경우에도 알림은 1회만 발송
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

예) 사용자가 서버 접속을 시도했으나 실패할 경우에만 알림 발송

Alert Type : Server Connection Attempt
Alert Trigger Condition : Failure 에만 체크

Restrict Command

서버/서버 그룹별 차단된 명령어 실행 알림

Connection : 알림 발송할 대상 커넥션 (다중 선택)
- 서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
  - 다중 선택으로 인해 대상이 중복 선택된 경우에도 알림은 1회만 발송
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

Specific Command

특정 명령어 실행 알림

Connection : 알림 발송할 대상 커넥션 (다중 선택)
- 서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
  - 다중 선택으로 인해 대상이 중복 선택된 경우에도 알림은 1회만 발송
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
Command : 실행 시 알림 발송할 명령어 조건
- Keyword : 명령어에 입력된 키워드 포함 시 알림 발송
- RegExr : 정규표현식에 해당하는 명령어 실행 시 알림 발송

File Transfer (SFTP)

SFTP를 통한 파일 전송 실행 알림

Alert Trigger Condition : 알림 발송 조건 (다중 선택)
- FIle Upload : 파일 업로드 시 알림 발송
- File Download : 파일 다운로드 시 알림 발송
Connection : 알림 발송할 대상 커넥션 (다중 선택)
- 서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
  - 다중 선택으로 인해 대상이 중복 선택된 경우에도 알림은 1회만 발송
- All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성

K8s API Request 10.2.2

쿠버네티스 API 요청 알림

Result : API 요청 결과 (다중 선택)
- Success : 요청 성공 시 알림 발송
- Failure : 요청 실패 시 알림 발송
Clusters : API 요청 알림 발송 대상 클러스터
- All Clusters (*) : 추후 추가될 모든 클러스터를 대상으로 알림 조건 생성
Verbs : 알림 발송 대상 Verb
- 현재 지원 대상 - create, update, patch, delete, deletecollection (5종)
Resource Kind : 알림 발송 대상 리소스 종류
- 현재 지원 대상 - pods, pods/exec, pods/log, pods/portforward, services, ingresses, deployments, replicasets 등 (총 24종)
- All Resources (*) : 추후 추가될 모든 리소스 종류를 대상으로 알림 조건 생성

Data Access 11.1.0

Databases > General > Configurations에서 New DAC Policy Management 기능이 활성화되어 있고 관련 정책들이 존재해야 사용할 수 있습니다.

Data Access 알림은 Column Data Masking, Table Access Restriction, Column Access Restriction, Sensitive Data Access Monitoring 의 네가지 policy type을 선택할 수 있습니다.

Column Data Masking
- Policy : 알림 발생 조건이 될 대상 정책 이름을 지정합니다.
- Rows : 알림 발생 기준 행 수를 지정합니다.
- Time Interval : 알림 발생 기준 시간(분 단위)입니다.
  - 0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
  - 최대 1440까지 입력 가능합니다.
Table Access Restriction
- Policy : 알림 발생 조건이 될 대상 정책 이름을 지정합니다.
- Unauthorized Access Attempt Count : 알림 발생 조건이 되는 접근 횟수를 지정합니다. 만약 Time interval 값이 0이면 시간 조건 없이 단건의 이벤트에 대해 알림이 발생하므로 Unauthorized Access Attempt Count는 1로 고정됩니다. 최솟값은 1, 최댓값은 2147483647입니다.
- Time Interval : 알림 발생 기준 시간(분 단위)입니다.
  - 0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
  - 최대 1440까지 입력 가능합니다.
Column Access Restriction
- Rows : 알림 발생 기준 행 수를 지정합니다.
- Time Interval : 알림 발생 기준 시간(분 단위)입니다.
  - 0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
  - 최대 1440까지 입력 가능합니다.
Sensitive Data Access Monitoring
- Policy : 알림 발생 조건이 될 대상 정책 이름을 지정합니다.
- Rows : 알림 발생 기준 행 수를 지정합니다.
- Time Interval : 알림 발생 기준 시간(분 단위)입니다.
  - 0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
  - 최대 1440까지 입력 가능합니다

알림 상세 정보 조회 및 수정

Alerts 페이지에서 상세 내용을 조회하려는 알림을 선택합니다. 상세 페이지 Details 탭에서 알림 생성 시에 입력한 알림 조건 및 메시지를 조회하고 수정할 수 있습니다. 우상단 Save Changes 버튼을 클릭하면 수정 내용이 반영됩니다.

Administrator > General > Company Management > Alerts > List Details (Details)

알림 발송 내역 조회

Alerts 목록에서 발송 내역을 조회하려는 알림을 선택합니다. 이후 상세 페이지 내 Log에서 내역을 조회할 수 있습니다.

Administrator > General > Company Management > Alerts > List Details (Logs)

알림 삭제하기

기존에 등록된 알림을 삭제하는 두 가지 경로를 제공합니다.

Alerts 페이지에서 삭제하기 : Alerts 목록 내 삭제하고자 하는 알림을 체크박스로 선택하면 Delete 버튼이 노출됩니다. 버튼을 클릭하면 확인 모달이 노출되며, OK 버튼을 클릭하여 삭제를 완료합니다.
알림 상세 페이지에서 삭제하기 : 삭제하고자 하는 알림의 상세 페이지 우상단 Delete 버튼을 클릭하면 확인 모달이 노출되며, OK 버튼을 클릭하여 삭제를 완료합니다.