%201.png){kind=logo}
Alerts
Overview
Alerts 페이지에서는 리소스 접근과 관련한 알림 기능을 제공합니다. 주요 이상 징후에 대한 트리거 조건을 미리 설정함으로써 정책 위반사항을 실시간으로 탐지할 수 있습니다. 잠재적인 보안 사고를 신속하게 식별하고 해결할 수 있으며, 사전 정의된 임계값을 초과하는 조회 또는 유출 등 민감한 정보를 보호할 수 있습니다.
Administrator > General > Company Management > Alerts
이 문서에서는 다음과 같은 내용을 다룹니다.
지원하는 알림 유형
공통 알림을 비롯하여 DB 접근에 특화된 알림과 시스템 접근에 특화된 알림을 지원합니다.
서비스 별로 지원하는 알림 유형은 다음과 같습니다.
서비스 구분 | 알림 타입명 | 설명 |
|---|---|---|
SAC, DAC, KAC | New Request | 새로운 결재 요청 등록 알림 |
General | Unusual Login Attempt | IP 대역에 따른 사용자 로그인 행위 알림 |
DAC | SQL Execution | 정의된 조건에 해당하는 SQL 구문 실행 알림 |
DAC | Prevented SQL Execution | 권한 없는 구문 실행 알림 |
DAC | DB Connection Attempt | DB 접속 성공 또는 실패 알림 |
DAC | Sensitive Data Access | 정의된 조건에 해당하는 민감데이터 조회 알림 |
DAC | SQL Export | 정의된 조건에 해당하는 SQL 내보내기 실행 알림 |
SAC | Server Connection Attempt | 서버 접속 성공 또는 실패 알림 |
SAC | Restricted Command | 서버/서버 그룹별 차단된 명령어 실행 알림 |
SAC | Specific Command | 특정 명령어 실행 알림 |
SAC | File Transfer (SFTP) | SFTP를 통한 파일 전송 실행 알림 |
KAC | K8s API Request | 쿠버네티스 API 요청 알림
|
11.1.0 부터 New DAC Policy Managment 기능이 활성화 된 경우 아래와 같은 알림 유형을 사용할 수 있습니다.
New Request - DB Policy Exception Request
DB Policy Exception Request 는 Unmasking과 Restriced Data Access 두가지 유형이 있으나 구분해서 알림 생성을 할 수는 없습니다.Data Access
Column Data Masking : 신 정책 관리에서 생성한 Column Data Masking 정책에 걸려 제한된 마스킹 된 상태로 조회된 이벤트
Table Access Restriction : 신 정책 관리에서 생성한 Table Access Restriction 정책에 걸려 특정 테이블 접근이 제한된 이벤트
Column Access Restriction : 신 정책 관리에서 생성한 Column Access Restriction 정책에 걸려 특정 컬럼 접근이 제한된 이벤트
Sensitive Data Access Monitoring : 신 정책 관리에서 생성한 Sensitive Data Access Monitoring 정책의 조건에 해당되는 이벤트
알림 생성하기
Alerts 페이지 우상단 Create Alert 버튼을 클릭하여 새로운 알림을 생성합니다. OK 버튼을 클릭하여 알림 생성을 완료합니다.
Administrator > General > Company Management > Alerts > Create Alert
Name : 알림 이름
Alert Type : 알림 유형을 선택합니다.
알림 유형별로 설정 가능한 조건이 상이합니다. 자세한 내용은 하단 문서를 참고해주세요.
Message Template : 알림 메시지 템플릿을 설정합니다.
Message Template Variable에서 지원하는 템플릿 변수를 활용하여 커스텀한 메시지를 작성할 수 있습니다.
Message Template Variable은 Alert Type 별로 상이합니다.
Channel : 알림 발송 채널
Administrator > General > Channels 에 등록된 채널 중 하나를 선택합니다.
채널에 대한 자세한 설명은 Channels 문서를 참고하세요.
Subject Title : Channel을 Email로 선택한 경우 표시됩니다. 이메일 알림의 제목을 직접 지정할 수 있으며, Message Template Variable에서 지원하는 변수를 동일하게 사용할 수 있습니다. 입력하지 않을 경우, 시스템에서 기본으로 설정된 제목으로 발송됩니다.
Send Test Message : 알림 테스트 메시지 발송
선택한 채널로, 입력한 메시지 템플릿 내용을 테스트 메시지로 전송합니다.
New Request
새로운 결재 요청 등록 알림
Request Type : Workflow 요청 유형
DB Access Request, SQL Request, SQL Export Request, Server Access Request, Access Role Request, Unmasking Request 중 택 일
All Requests (*) : 모든 요청 타입에 대해 알림 발송
Urgent Mode : 사후 승인 여부
All : 모든 승인 요청 건에 알림 발송
Urgent Mode Only : 사후 승인 요청 건만 알림 발송
Send email only to those involved in this request : Channel을 Email로 선택한 경우 표시됩니다. 이 옵션을 활성화하면 해당 요청의 관련자(요청자, 승인자 등)에게 Message Template의 내용을 담은 알림이 발송됩니다.
10.2.2 슬랙 메시지 템플릿 변경 사항
Slack > API 방식의 Channel로 전송되는 알림 메시지에서
{{assignees}}에 대한 Slack 사용자 멘션이 지원됩니다.Request Type 선택에 따라 지원되는 템플릿 변수가 상이합니다. 자세한 내용은 별도의 New Request > 요청 타입별 템플릿 변수 문서를 참고해주세요.
10.2.8 슬랙 메시지 템플릿 변경 사항
Sensitive Data Access 이벤트에서 슬랙 메시지에 쿼리를 포함하여 전송하도록 개선되면서
{{queryPreview}}변수가 추가되었습니다. 슬랙 특성상 3000자 이상의 메시지 발송 요청을 하면 에러 반환 없이 메시지 발송이 실패하므로 queryPreview를 통해 볼 수 있는 쿼리는 100자로 제한되어 있습니다.
11.1.0 Request Type 변경 사항
Databases > General > Configurations 에서 New DAC Policy Management 기능이 활성화 되어있다면 Alert의 Request Type에 DB Policy Exception Request 를 사용할 수 있습니다.
DB Policy Exception Request 는 Column Data Masking, Table Access Restriction, Column Data Access Restriction에 대한 정책 예외 요청 이벤트가 발생했을 때 알람이 발송되도록 합니다.
11.2.0 이메일 알림 템플릿 변경 사항
Alert의 Channel을 Email로 지정할 경우, Subject Title (이메일 제목) 을 직접 입력하는 기능이 추가되었습니다.
Workflow 관련 Alert 설정 시 Channel이 Email인 경우,
Send email only to those involved in this request옵션을 제공합니다. 이 옵션을 활성화하면 해당 요청의 관련자(요청자, 승인자 등)에게 Message Template의 내용으로 알림이 발송됩니다.
Unusual Login Attempt
IP 대역에 따른 사용자 로그인 행위 알림
Action Count : 알림 발송할 인증 실패 횟수
2 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분)
1 이상 입력 가능합니다.
예) 비정상적인 로그인 시도시 알림 발송 - 5분간 QueryPie 로그인 실패 3회 누적시
Action Count : 3
Specific Time Internal (Minutes) : 5
SQL Execution
정의된 조건에 해당하는 SQL 구문 실행 알림
Rows : 알림 발송 기준 행 수
레코드 변경이 없는 SQL Event : 0 입력 시 정상 작동합니다.
Create,Drop,Revoke,Truncate등
그 외 SQL Events : 1 이상 입력 시 정상 작동합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
SQL Events : 알림 발송할 SQL 쿼리 (다중 선택)
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예 1) 100건 이상의 대량 데이터 조회시 알림 발송
Rows : 100
SQL Events :
SELECT
예 2) 데이터 변경 및 삭제 시도시 알림 발송
Rows : 1
SQL Events :
UPDATE,DELETE
Prevented SQL Execution
권한 없는 구문 실행 알림
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
DB Connection Attempt
DB 접속 성공 또는 실패 알림
Alert Trigger Condition : 알림 발송 조건 (복수 선택)
Success : DB 접속 성공 시 알림 발송
Failure : DB 접속 실패 시 알림 발송
Connection Failure Trigger with Interval : 접속 실패 횟수/기간 알림 조건 설정
Failure가 선택된 경우에만 활성화 가능합니다. 활성화 시 추가 입력 조건이 노출됩니다.
Action Count : 횟수 기준
1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 기간 기준 (분)
1 이상 입력 가능합니다.
Connection : 쿼리 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예) 비정상적인 데이터베이스 접속 시도시 알림 발송 - 5분간 DB 접속 실패 3회 누적시
Alert Trigger Condition : Failure
Connection Failure Trigger with Internal : On
Action Count : 3
Specified Time Internal (Minutes) : 5
Sensitive Data Access
정의된 조건에 해당하는 민감데이터 조회 알림
Criteria : 알림 발송 기준을 선택합니다.
Sensitive Level : Sensitive Data Policy > Rule에 설정된 데이터별 민감 레벨 기준
Low, Medium, High 중 택 일
Policy : 특정 Sensitive Data Policy 기준
등록된 Sensitive Data Policy 중 택 일
Rows : 알림 발송 기준 행 수 (10.2.2 이후 버전)
1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Sensitive Data Access 알림 타입 사용을 위해서는 민감 데이터 정책에 개인정보가 포함된 테이블 및 컬럼을 사전 정의해야 합니다. 자세한 내용은 Sensitive Data 문서를 참고해주세요.
예1) 민감레벨 High 로 설정된 개인정보 데이터 조회시 알림 발송
Criteria : Sensitive Level
Sensitive Level : High
예2) 특정 데이터베이스에 포함된 개인정보 데이터 조회시 알림 발송
Criteria : Policy
Policy : {사전에 등록된 Sensitive Data 정책}
SQL Export
정의된 조건에 해당하는 SQL 내보내기 실행 알림
Rows : 알림 발송 기준 행 수
1 이상 입력 가능합니다.
Specific Time Interval (Minutes) : 알림 발송 기준 시간(분) (10.2.2 이후 버전)
0 입력 시, 시간 조건 없이 단건의 SQL 내보내기를 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Connection : SQL 내보내기 실행 시 알림 발송할 대상 커넥션 (10.2.2 이후 버전 - 다중 선택)
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예) 100건 이상의 대량 데이터 내보내기 시도시 알림 발송
Alert Type : SQL Export
Trigger Condition (Rows) : 100
Server Connection Attempt
서버 접속 성공 또는 실패 알림
Alert Trigger Condition : 알림 발송 조건
Success : DB 접속 성공 시 알림 발송
Failure : DB 접속 실패 시 알림 발송
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
예) 사용자가 서버 접속을 시도했으나 실패할 경우에만 알림 발송
Alert Type : Server Connection Attempt
Alert Trigger Condition : Failure 에만 체크
Restrict Command
서버/서버 그룹별 차단된 명령어 실행 알림
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
Specific Command
특정 명령어 실행 알림
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
Command : 실행 시 알림 발송할 명령어 조건
Keyword : 명령어에 입력된 키워드 포함시 알림 발송
RegExr : 정규표현식에 해당하는 명령어 실행시 알림 발송
File Transfer (SFTP)
SFTP를 통한 파일 전송 실행 알림
Alert Trigger Condition : 알림 발송 조건 (다중 선택)
FIle Upload : 파일 업로드 시 알림 발송
File Download : 파일 다운로드 시 알림 발송
Connection : 알림 발송할 대상 커넥션 (다중 선택)
서버 및 서버 그룹 선택 가능하며, 중복 선택 가능
다중 선택으로 인하여 대상이 중복 선택된 경우에도 알림은 1회만 발송
All Connections (*) : 추후 추가될 모든 커넥션 대상으로 알림 조건 생성
K8s API Request 10.2.2
쿠버네티스 API 요청 알림
Result : API 요청 결과 (다중 선택)
Success : 요청 성공 시 알림 발송
Failure : 요청 실패 시 알림 발송
Clusters : API 요청 알림 발송 대상 클러스터
All Clusters (*) : 추후 추가될 모든 클러스터를 대상으로 알림 조건 생성
Verbs : 알림 발송 대상 Verb
현재 지원 대상 -
create,update,patch,delete,deletecollection(5종)
Resource Kind : 알림 발송 대상 리소스 종류
현재 지원 대상 -
pods,pods/exec,pods/log,pods/portforward,services,ingresses,deployments,replicasets등 (총 24종)All Resources (*) : 추후 추가될 모든 리소스 종류를 대상으로 알림 조건 생성
Data Access 11.1.0
Databases > General > Configurations 에서 New DAC Policy Management 기능이 활성화 되어있고 관련 정책들이 존재해야 사용할 수 있습니다.
Data Access 알림은 Column Data Masking, Table Access Restriction, Column Access Restriction, Sensitive Data Access Monitoring 의 네가지 policy type을 선택할 수 있습니다.
Column Data Masking
Policy : 알람 발생 조건이 될 대상 정책 이름을 지정합니다.
Rows : 알람 발생 기준 행 수를 지정합니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Table Access Restriction
Policy : 알람 발생 조건이 될 대상 정책 이름을 지정합니다.
Unauthorized Access Attempt Count : 알람 발생 조건이 되는 접근 회수를 지정합니다. 만약 Time interval 값이 0 이면 시간 조건 없이 단건의 이벤트에 대해 알람이 발생하므로 Unauthorized Access Attempt Count는 1로 고정됩니다. 최소 값은 1, 최대값은 2147483647 입니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Column Access Restriction
Rows : 알람 발생 기준 행 수를 지정합니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다.
Sensitive Data Access Monitoring
Policy : 알람 발생 조건이 될 대상 정책 이름을 지정합니다.
Rows : 알람 발생 기준 행 수를 지정합니다.
Time Interval : 알람 발생 기준 시간 (분 단위) 입니다.
0 입력 시, 시간 조건 없이 단건의 SQL 실행을 기준으로 합니다.
최대 1440까지 입력 가능합니다
알림 상세 정보 조회 및 수정
Alerts 페이지에서 상세 내용을 조회하려는 알림을 선택합니다. 상세 페이지 Details 탭에서 알림 생성 시에 입력한 알림 조건 및 메시지를 조회하고 수정할 수 있습니다. 우상단 Save Changes 버튼을 클릭하면 수정 내용이 반영됩니다.
Administrator > General > Company Management > Alerts > List Details (Details)
알림 발송 내역 조회
Alerts 목록에서 발송 내역을 조회하려는 알림을 선택합니다. 이후 상세 페이지 내 Log에서 내역을 조회할 수 있습니다.
Administrator > General > Company Management > Alerts > List Details (Logs)
알림 삭제하기
기존에 등록된 알림을 삭제하는 두 가지 경로를 제공합니다.
Alerts 페이지에서 삭제하기 : Alerts 목록 내 삭제하고자 하는 알림을 체크박스로 선택하면
Delete버튼이 노출됩니다. 버튼을 클릭하면 확인 모달이 노출되며,OK버튼을 클릭하여 삭제를 완료합니다.알림 상세 페이지에서 삭제하기 : 삭제하고자 하는 알림의 상세 페이지 우상단
Delete버튼을 클릭하면 확인 모달이 노출되며,OK버튼을 클릭하여 삭제를 완료합니다.