Alerts
Overview
Alerts 페이지에서는 리소스 접근과 관련한 알림 기능을 제공합니다. 주요 이상 징후에 대한 트리거 조건을 미리 설정함으로써 정책 위반사항을 실시간으로 탐지할 수 있습니다. 잠재적인 보안 사고를 신속하게 식별하고 해결할 수 있으며, 사전 정의된 임계값을 초과하는 조회 또는 유출 등 민감한 정보를 보호할 수 있습니다.
이 문서에서는 다음과 같은 내용을 다룹니다.
지원하는 알림 유형
공통 알림을 비롯하여 DB 접근에 특화된 알림과 시스템 접근에 특화된 알림을 지원합니다.
서비스 별로 지원하는 알림 유형은 다음과 같습니다.
서비스 구분 | 알림 타입명 | 설명 |
|---|---|---|
SAC, DAC, KAC | New Request | 새로운 결재 요청 등록 알림 |
General | Unusual Login Attempt | IP 대역에 따른 사용자 로그인 행위 알림 |
DAC | SQL Execution | 정의된 조건에 해당하는 SQL 구문 실행 알림 |
DAC | Prevented SQL Execution | 권한 없는 구문 실행 알림 |
DAC | DB Connection Attempt | DB 접속 성공 또는 실패 알림 |
DAC | Sensitive Data Access | 정의된 조건에 해당하는 민감데이터 조회 알림 |
DAC | SQL Export | 정의된 조건에 해당하는 SQL 내보내기 실행 알림 |
SAC | Server Connection Attempt | 서버 접속 성공 또는 실패 알림 |
SAC | Restricted Command | 서버/서버 그룹별 차단된 명령어 실행 알림 |
SAC | Specific Command | 특정 명령어 실행 알림 |
SAC | File Transfer (SFTP) | SFTP를 통한 파일 전송 실행 알림 |
KAC | K8s API Request | 쿠버네티스 API 요청 알림
|
11.1.0 부터 New DAC Policy Managment 기능이 활성화 된 경우 아래와 같은 알림 유형을 사용할 수 있습니다.
New Request - DB Policy Exception Request
DB Policy Exception Request 는 Unmasking과 Restriced Data Access 두가지 유형이 있으나 구분해서 알림 생성을 할 수는 없습니다.Data Access
Column Data Masking : 신 정책 관리에서 생성한 Column Data Masking 정책에 걸려 제한된 마스킹 된 상태로 조회된 이벤트
Table Access Restriction : 신 정책 관리에서 생성한 Table Access Restriction 정책에 걸려 특정 테이블 접근이 제한된 이벤트
Column Access Restriction : 신 정책 관리에서 생성한 Column Access Restriction 정책에 걸려 특정 컬럼 접근이 제한된 이벤트
Sensitive Data Access Monitoring : 신 정책 관리에서 생성한 Sensitive Data Access Monitoring 정책의 조건에 해당되는 이벤트
알림 생성하기
Alerts 페이지 우상단 Create Alert 버튼을 클릭하여 새로운 알림을 생성합니다. OK 버튼을 클릭하여 알림 생성을 완료합니다.
Name : 알림 이름
Alert Type : 알림 유형을 선택합니다.
알림 유형별로 설정 가능한 조건이 상이합니다. 자세한 내용은 하단 문서를 참고해주세요.
Message Template : 알림 메시지 템플릿을 설정합니다.
Message Template Variable에서 지원하는 템플릿 변수를 활용하여 커스텀한 메시지를 작성할 수 있습니다.
Message Template Variable은 Alert Type 별로 상이합니다.
Channel : 알림 발송 채널
Administrator > General > Channels 에 등록된 채널 중 하나를 선택합니다.
채널에 대한 자세한 설명은 Channels 문서를 참고하세요.
Subject Title : Channel을 Email로 선택한 경우 표시됩니다. 이메일 알림의 제목을 직접 지정할 수 있으며, Message Template Variable에서 지원하는 변수를 동일하게 사용할 수 있습니다. 입력하지 않을 경우, 시스템에서 기본으로 설정된 제목으로 발송됩니다.
Send Test Message : 알림 테스트 메시지 발송
선택한 채널로, 입력한 메시지 템플릿 내용을 테스트 메시지로 전송합니다.
New Request
새로운 결재 요청 등록 알림
Request Type : Workflow 요청 유형
DB Access Request, SQL Request, SQL Export Request, Server Access Request, Access Role Request, Unmasking Request 중 택 일
All Requests (*) : 모든 요청 타입에 대해 알림 발송
Urgent Mode : 사후 승인 여부
All : 모든 승인 요청 건에 알림 발송
Urgent Mode Only : 사후 승인 요청 건만 알림 발송
Send email only to those involved in this request : Channel을 Email로 선택한 경우 표시됩니다. 이 옵션을 활성화하면 해당 요청의 관련자(요청자, 승인자 등)에게 Message Template의 내용을 담은 알림이 발송됩니다.
10.2.2 슬랙 메시지 템플릿 변경 사항
Slack > API 방식의 Channel로 전송되는 알림 메시지에서
{{assignees}}에 대한 Slack 사용자 멘션이 지원됩니다.Request Type 선택에 따라 지원되는 템플릿 변수가 상이합니다. 자세한 내용은 별도의 New Request > 요청 타입별 템플릿 변수 문서를 참고해주세요.
10.2.8 슬랙 메시지 템플릿 변경 사항
Sensitive Data Access 이벤트에서 슬랙 메시지에 쿼리를 포함하여 전송하도록 개선되면서
{{queryPreview}}변수가 추가되었습니다. 슬랙 특성상 3000자 이상의 메시지 발송 요청을 하면 에러 반환 없이 메시지 발송이 실패하므로 queryPreview를 통해 볼 수 있는 쿼리는 100자로 제한되어 있습니다.
11.1.0 Request Type 변경 사항
Databases > General > Configurations 에서 New DAC Policy Management 기능이 활성화 되어있다면 Alert의 Request Type에 DB Policy Exception Request 를 사용할 수 있습니다.
DB Policy Exception Request 는 Column Data Masking, Table Access Restriction, Column Data Access Restriction에 대한 정책 예외 요청 이벤트가 발생했을 때 알람이 발송되도록 합니다.
11.2.0 이메일 알림 템플릿 변경 사항
Alert의 Channel을 Email로 지정할 경우, Subject Title (이메일 제목) 을 직접 입력하는 기능이 추가되었습니다.
Workflow 관련 Alert 설정 시 Channel이 Email인 경우,
Send email only to those involved in this request옵션을 제공합니다. 이 옵션을 활성화하면 해당 요청의 관련자(요청자, 승인자 등)에게 Message Template의 내용으로 알림이 발송됩니다.
11.3.0 Alert 생성화면에서 Channel 선택 항목
Alert 생성화면에서 Channel 선택 항목에서 대상을 식별하기 용이하도록 아이콘이 추가되었습니다.
Unusual Login Attempt
IP 대역에 따른 사용자 로그인 행위 알림
Action Count : 알림 발송할 인증 실패 횟수
2 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분)
1 이상 입력 가능합니다.
예) 비정상적인 로그인 시도시 알림 발송 - 5분간 QueryPie 로그인 실패 3회 누적시
Action Count : 3
Specific Time Internal (Minutes) : 5
SQL Execution
정의된 조건에 해당하는 SQL 구문 실행 알림
Rows : 알림 발송 기준 행 수
레코드 변경이 없는 SQL Event : 0 입력 시 정상 작동합니다.
Create,Drop,Revoke,Truncate등
그 외 SQL Events : 1 이상 입력 시 정상 작동합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
SQL Events : 알림 발송할 SQL 쿼리 (다중 선택)
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예 1) 100건 이상의 대량 데이터 조회시 알림 발송
Rows : 100
SQL Events :
SELECT
예 2) 데이터 변경 및 삭제 시도시 알림 발송
Rows : 1
SQL Events :
UPDATE,DELETE
Prevented SQL Execution
권한 없는 구문 실행 알림
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
DB Connection Attempt
DB 접속 성공 또는 실패 알림
Alert Trigger Condition : 알림 발송 조건 (복수 선택)
Success : DB 접속 성공 시 알림 발송
Failure : DB 접속 실패 시 알림 발송
Connection Failure Trigger with Interval : 접속 실패 횟수/기간 알림 조건 설정
Failure가 선택된 경우에만 활성화 가능합니다. 활성화 시 추가 입력 조건이 노출됩니다.
Action Count : 횟수 기준
1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 기간 기준 (분)
1 이상 입력 가능합니다.
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예) 비정상적인 데이터베이스 접속 시도시 알림 발송 - 5분간 DB 접속 실패 3회 누적시
Alert Trigger Condition : Failure
Connection Failure Trigger with Internal : On
Action Count : 3
Specified Time Internal (Minutes) : 5
Sensitive Data Access
정의된 조건에 해당하는 민감데이터 조회 알림
Criteria : 알림 발송 기준을 선택합니다.
Sensitive Level : Sensitive Data Policy > Rule에 설정된 데이터별 민감 레벨 기준
Low, Medium, High 중 택 일
Policy : 특정 Sensitive Data Policy 기준
등록된 Sensitive Data Policy 중 택 일
Rows : 알림 발송 기준 행 수 (10.2.2 이후 버전)
1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Sensitive Data Access 알림 타입 사용을 위해서는 민감 데이터 정책에 개인정보가 포함된 테이블 및 컬럼을 사전 정의해야 합니다. 자세한 내용은 Sensitive Data 문서를 참고해주세요.
예1) 민감레벨 High 로 설정된 개인정보 데이터 조회시 알림 발송
Criteria : Sensitive Level
Sensitive Level : High
예2) 특정 데이터베이스에 포함된 개인정보 데이터 조회시 알림 발송
Criteria : Policy
Policy : {사전에 등록된 Sensitive Data 정책}
SQL Export
정의된 조건에 해당하는 SQL 내보내기 실행 알림
Rows : 알림 발송 기준 행 수
1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
0 입력 시, 시간 조건 없이 단건의 SQL 내보내기를 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Connection : SQL 내보내기 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예) 100건 이상의 대량 데이터 내보내기 시도시 알림 발송
Alert Type : SQL Export
Trigger Condition (Rows) : 100
Server Connection Attempt
서버 접속 성공 또는 실패 알림
Result : 알림 발송 조건
Success : 서버 접속 성공 시 알림 발송
Failure : 서버 접속 실패 시 알림 발송
11.3.0 에서 Failure의 하위 옵션으로 Set trigger threshold on failed attempt 옵션이 추가 되어 실패 횟수의 임계값으로 alert 를 발생시킬 수 있도록 변경되었습니다.
Action Count : 이벤트가 발생한 회수입니다. 1 이상의 값을 입력할 수 있습니다.
Time Interval : 이벤트 발생하는 시간 범위입니다.
예) 다음과 같은 설정의 경우 Server 접속 실패 이벤트가 5분 이내에 3회 발생시 알람을 발송하게 됩니다.
Action Count : 3
Specific Time Internal (Minutes) : 5
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예) 사용자가 서버 접속을 시도했으나 실패할 경우에만 알림 발송
Alert Type : Server Connection Attempt
Alert Trigger Condition : Failure 에만 체크
Restrict Command
서버/서버 그룹별 차단된 명령어 실행 알림
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
Specific Command
특정 명령어 실행 알림
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
Command : 실행 시 알림 발송할 명령어 조건
Keyword : 명령어에 입력된 키워드 포함시 알림 발송
RegExr : 정규표현식에 해당하는 명령어 실행시 알림 발송
File Transfer (SFTP)
SFTP를 통한 파일 전송 실행 알림
Alert Trigger Condition : 알림 발송 조건 (다중 선택)
FIle Upload : 파일 업로드 시 알림 발송
File Download : 파일 다운로드 시 알림 발송
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
K8s API Request 10.2.2
쿠버네티스 API 요청 알림
Result : API 요청 결과 (다중 선택)
Success : 요청 성공 시 알림 발송
Failure : 요청 실패 시 알림 발송
Clusters : API 요청 알림 발송 대상 클러스터
All Clusters (*) : 추후 추가될 모든 클러스터를 대상으로 알림 조건 생성
Verbs : 알림 발송 대상 Verb
현재 지원 대상 -
create,update,patch,delete,deletecollection(5종)
Resource Kind : 알림 발송 대상 리소스 종류
현재 지원 대상 -
pods,pods/exec,pods/log,pods/portforward,services,ingresses,deployments,replicasets등 (총 24종)All Resources (*) : 추후 추가될 모든 리소스 종류를 대상으로 알림 조건 생성
Data Access 11.1.0
Databases > General > Configurations 에서 New DAC Policy Management 기능이 활성화 되어있고 관련 정책들이 존재해야 사용할 수 있습니다.
Data Access 알림은 Column Data Masking, Table Access Restriction, Column Access Restriction, Sensitive Data Access Monitoring 의 네가지 policy type을 선택할 수 있습니다.
Column Data Masking
Policy : 알람 발생 조건이 될 대상 정책 이름을 지정합니다.
Rows : 알람 발생 기준 행 수를 지정합니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Table Access Restriction
Policy : 알람 발생 조건이 될 대상 정책 이름을 지정합니다.
Unauthorized Access Attempt Count : 알람 발생 조건이 되는 접근 회수를 지정합니다. 만약 Time interval 값이 0 이면 시간 조건 없이 단건의 이벤트에 대해 알람이 발생하므로 Unauthorized Access Attempt Count는 1로 고정됩니다. 최소 값은 1, 최대값은 2147483647 입니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Column Access Restriction
Rows : 알람 발생 기준 행 수를 지정합니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Sensitive Data Access Monitoring
Policy : 알람 발생 조건이 될 대상 정책 이름을 지정합니다.
Rows : 알람 발생 기준 행 수를 지정합니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다
알림 상세 정보 조회 및 수정
Alerts 페이지에서 상세 내용을 조회하려는 알림을 선택합니다. 상세 페이지 Details 탭에서 알림 생성 시에 입력한 알림 조건 및 메시지를 조회하고 수정할 수 있습니다. 우상단 Save Changes 버튼을 클릭하면 수정 내용이 반영됩니다.
알림 발송 내역 조회
Alerts 목록에서 발송 내역을 조회하려는 알림을 선택합니다. 이후 상세 페이지 내 Log에서 내역을 조회할 수 있습니다.
알림 삭제하기
기존에 등록된 알림을 삭제하는 두 가지 경로를 제공합니다.
Alerts 페이지에서 삭제하기 : Alerts 목록 내 삭제하고자 하는 알림을 체크박스로 선택하면
Delete버튼이 노출됩니다. 버튼을 클릭하면 확인 모달이 노출되며,OK버튼을 클릭하여 삭제를 완료합니다.알림 상세 페이지에서 삭제하기 : 삭제하고자 하는 알림의 상세 페이지 우상단
Delete버튼을 클릭하면 확인 모달이 노출되며,OK버튼을 클릭하여 삭제를 완료합니다.